快好知 kuaihz

交换机如何防止arp攻击

在网络方面的arp攻击是很普遍的,所以很多朋友都会用交换机来防止arp攻击,那交换机如何防止arp攻击呢?了解网络安全常识,首先就要了解常见电脑黑客攻击类型与预防方法,下面本站小编就带您认识一下吧。

1、配置静态ARP

首先,确认网关设备、局域网内重要服务器以及本机的IP地址、MAC地址。

通过在DOS界面输入ipconfig/all命令可查本机IP、MAC和网关IP。通过在DOS界面输入arp –a命令可查网关IP所对应的MAC地址。局域网内其他重要服务器的IP、MAC需登陆服务器再通过ipconfig /all查询。

其次,配置静态ARP绑定。

新建一个记事本文档,输入以下命令:

arp–d //清空ARP缓存表

arp -d

arp -d

arp -s 192.168.16.1 00-00-00-00-01//配置静态ARP,绑定网关的IP与MAC

arp -s 192.168.16.2 00-00-00-00-02//配置静态ARP,绑定服务器的IP与MAC

arp -s 192.168.16.3 00-00-00-00-03//配置静态ARP,绑定本机的IP与MAC

注:如果网关是两交换机启用了vrrp后的虚拟ip,则应该将网关ip绑定vrrp的虚mac,格式为00-00-5e-00-01-[vrid](vrid是指启用vrrp的备份组号)。

配置完成后,将其另存为arp.bat文件(注意后缀名需为bat)。

最后,将arp.bat文件放入主机的启动项中。

打开电脑的启动项目录。具体操作是点击“开始”→“程序” →“启动”右键单击选择“打开所有用户”;

将arp.bat文件放入打开的目录中,这样程序就会在每次开机时自动运行;

2、网关设备侧攻击防范

首先,对二层交换机(接入设备)配置规范。

在与PC直接相连的端口上配置静态MAC,同时禁止动态学习MAC。

[S2403H]mac-address static 0002-0002-0002 interface Ethernet0/7 vlan10

[S2403H]interface Ethernet0/7

[S2403H- Ethernet0/7] mac-address max-mac-count 0

注:配置顺序一定要注意,要先配置静态MAC,再在端口下禁止动态学习MAC;如要对静态MAC绑定的数据做任何修改和删除,也要先在对应端口下删除mac-address max-mac-count 0,修改完成后再在端口重新添加mac-addressmax-mac-count 0。否则设备易出错,切记!

完成了如上配置后,某端口下只能连接指定MAC的PC,如果有非法PC企图接入网络或原合法PC机中毒后企图发起一些变换MAC的攻击,则新的MAC地址不会被端口所学习。这样,大大加强了二层网络的安全性。

其次,三层交换机(网关设备)配置规范。

在三层交换机上配置静态ARP绑定下挂PC机的IP与MAC地址,防止下挂PC随意变动IP地址或发起ARP攻击。

最后,交换机既作网关又作接入时的配置规范(综合前两项)。

在与PC直接相连的端口上配置静态MAC,同时禁止动态学习MAC;

暂时不被使用的端口应该手动shutdown;

配置静态ARP绑定下挂PC机的IP与MAC地址,防止下挂PC随意变动IP地址或发起ARP攻击。

关于网络安全小知识,本站小编为您介绍和普及这么多了,看完上面的介绍,您对“交换机如何防止arp攻击”这个问题了解多少了呢?综上我们可以看到,预防arp攻击最好的办法就是相关的安全操作以及安全设置,只有这样才能够减少arp的攻击频率。


本站资源来自互联网,仅供学习,如有侵权,请通知删除,敬请谅解!
搜索建议:交换机如何防止arp攻击  交换机  交换机词条  防止  防止词条  攻击  攻击词条  如何  如何词条  arp  arp词条  
信息手机arp攻击

 手机如何防止arp攻击

由于网络的共同性,所以arp攻击不仅会对电脑,对手机同样有着威胁,那手机如何防止arp攻击呢?了解网络安全常识,首先就要了解常见电脑黑客攻击类型与预防方法,下面...(展开)