网管支招:从路由下手与内网服务抢带宽(1)(7)
6)双向绑定让ARP欺骗失效:
ARP欺骗病毒是最让网络管理员头疼的内网疾病之一,当企业内网出现ARP欺骗病毒时最明显的症状主要有两点,我们可以通过这两点确定ARP欺骗病毒的存在与爆发。
首先我们会发现ping网关地址出现时断时续的问题,一会可以ping通一会又是request timed out。如图16)
其次当我们在本机执行arp -a查看本机ARP缓存时会发现MAC地址出现重复的现象,例如192.168.1.1与192.168.1.252的MAC地址是一个,那么就可以肯定那台IP地址是192.168.1.252的主机感染了ARP欺骗病毒在冒充网关欺骗别的地址。如图17)
遇到ARP欺骗病毒时我们最先要做的就是通过路由器自身的ARP数据包发送功能来抵消ARP欺骗病毒带来的损害,一般可以设置为Arp每秒发送2到3个数据包为宜,不要太多,否则会导致广播泛滥的。另外我们还需要通过双向绑定来彻底杜绝ARP欺骗病毒带来的危害。所谓双向绑定就是指在路由器上执行客户端IP与MAC地址的绑定,而在客户端上执行路由器网关IP与MAC地址的绑定。
路由器上的绑定:
登录路由器管理界面,然后激活防止ARP病毒攻击即可,具体方法是进入路由器的防火的基本配置栏将“防止ARP病毒攻击”在这一行的“激活”并确定。这样路由器会自动将客户机的MAC地址与分配的IP地址进行绑定。另外在DHCP功能中对IP/MAC进行绑定也是可以的,一般中高级路由器都提供了一个显示新加入的IP地址的功能,通过这个功能可以一次查找到网络内部的所有PC机的IP/MAC的对应列表,然后针对这个列表进行绑定IP/MAC操作即可。
客户机上的绑定:
对每台pc上绑定网关的IP和其MAC地址在每台PC机上进入dos操作,输入arp ―s 192.168.1.1(网关IP) 00-0f-3d-83-74-28(网关MAC),回车后完成每台PC机的绑定。不过这个操作每次重新启动计算机后都需要重复设置,所以可以把此命令做成一个批处理文件,放在操作系统的启动里面,批处理文件可以这样写——
@echo off arp -d arp -s路由器LAN IP 路由器LAN MAC |
通过双向绑定可以有效的杜绝ARP欺骗病毒的爆发,即使有机器感染了该病毒后也可以将危害降低到最低。
- 免疫墙路由器和内网安全管理技术
- 网管支招:如何从地址下手封杀内网迅雷下载
评论暂时关闭