6)双向绑定让ARP欺骗失效:

ARP欺骗病毒是最让网络管理员头疼的内网疾病之一,当企业内网出现ARP欺骗病毒时最明显的症状主要有两点,我们可以通过这两点确定ARP欺骗病毒的存在与爆发。

首先我们会发现ping网关地址出现时断时续的问题,一会可以ping通一会又是request timed out。如图16)

其次当我们在本机执行arp -a查看本机ARP缓存时会发现MAC地址出现重复的现象,例如192.168.1.1与192.168.1.252的MAC地址是一个,那么就可以肯定那台IP地址是192.168.1.252的主机感染了ARP欺骗病毒在冒充网关欺骗别的地址。如图17)

遇到ARP欺骗病毒时我们最先要做的就是通过路由器自身的ARP数据包发送功能来抵消ARP欺骗病毒带来的损害,一般可以设置为Arp每秒发送2到3个数据包为宜,不要太多,否则会导致广播泛滥的。另外我们还需要通过双向绑定来彻底杜绝ARP欺骗病毒带来的危害。所谓双向绑定就是指在路由器上执行客户端IP与MAC地址的绑定,而在客户端上执行路由器网关IP与MAC地址的绑定。

路由器上的绑定:

登录路由器管理界面,然后激活防止ARP病毒攻击即可,具体方法是进入路由器的防火的基本配置栏将“防止ARP病毒攻击”在这一行的“激活”并确定。这样路由器会自动将客户机的MAC地址与分配的IP地址进行绑定。另外在DHCP功能中对IP/MAC进行绑定也是可以的,一般中高级路由器都提供了一个显示新加入的IP地址的功能,通过这个功能可以一次查找到网络内部的所有PC机的IP/MAC的对应列表,然后针对这个列表进行绑定IP/MAC操作即可。

客户机上的绑定:

对每台pc上绑定网关的IP和其MAC地址在每台PC机上进入dos操作,输入arp ―s 192.168.1.1(网关IP) 00-0f-3d-83-74-28(网关MAC),回车后完成每台PC机的绑定。不过这个操作每次重新启动计算机后都需要重复设置,所以可以把此命令做成一个批处理文件,放在操作系统的启动里面,批处理文件可以这样写——

@echo off 
arp -d 
arp -s路由器LAN IP 路由器LAN MAC

通过双向绑定可以有效的杜绝ARP欺骗病毒的爆发,即使有机器感染了该病毒后也可以将危害降低到最低。

  1. 免疫墙路由器和内网安全管理技术
  2. 网管支招:如何从地址下手封杀内网迅雷下载


共7页: 上一页1234567下一页

相关内容