從現(xiàn)在的網(wǎng)絡(luò)連接通暢de方式來(lái)看,ARP欺騙分為二種,一種是對(duì)路由器ARP表de欺騙;另一種是對(duì)內(nèi)網(wǎng)PCde網(wǎng)關(guān)欺騙。第一種ARP欺騙de原理是截獲網(wǎng)關(guān)數(shù)據(jù)。它通知路由器一系列錯(cuò)誤de內(nèi)網(wǎng)MAC地址,并按照一定de頻率不斷進(jìn)行,使真實(shí)de地址信息無(wú)法通過(guò)更新保存在路由器中,結(jié)果路由器de所有數(shù)據(jù)只能發(fā)送給錯(cuò)誤deMAC地址,造成正常PC無(wú)法收到信息。第二種ARP欺騙de原理是偽造網(wǎng)關(guān)。它de原理是建立假網(wǎng)關(guān),讓被它欺騙dePC向假網(wǎng)關(guān)發(fā)數(shù)據(jù),而不是通過(guò)正常de路由器途徑上網(wǎng)。在PC看來(lái),就是上不了網(wǎng)了,網(wǎng)絡(luò)掉線了。
基于以上兩種ARP欺騙de方式,我公司在上海電信外高橋數(shù)據(jù)中心采用獨(dú)立網(wǎng)段加上雙向綁定de方法設(shè)立了防ARP欺騙攻擊專(zhuān)區(qū),拓樸結(jié)構(gòu)示意圖如下:
ARP欺騙攻擊防護(hù)實(shí)現(xiàn)方式:
外部防護(hù)
1、此防護(hù)區(qū)域使用獨(dú)立計(jì)算機(jī)網(wǎng)關(guān),從電信路由層以獨(dú)立VLANde物理結(jié)構(gòu)方式接入,與其他非防護(hù)區(qū)域服務(wù)器完全隔離
內(nèi)部防護(hù)
2、防護(hù)專(zhuān)區(qū)中心交換機(jī)以機(jī)柜為單位劃分VLAN,保證機(jī)柜之間無(wú)法直接通信,防止機(jī)柜之間deARP 欺騙攻擊。防護(hù)專(zhuān)區(qū)中心交換機(jī)進(jìn)行 IP段MAC—交換機(jī)端口 配對(duì)綁定,服務(wù)器只能在指定交換機(jī)機(jī)柜和指定交換機(jī)端口使用,防止內(nèi)部ARP攻擊機(jī)截獲網(wǎng)關(guān)數(shù)據(jù),進(jìn)行欺騙攻擊。
3、機(jī)柜交換機(jī)進(jìn)行 IPMAC交換機(jī)端口 配對(duì)綁定,服務(wù)器只能在指定交換機(jī)端口使用,防止內(nèi)部ARP攻擊機(jī)發(fā)送虛假I(mǎi)P 地址,虛假M(fèi)AC地址,偽造網(wǎng)關(guān),進(jìn)行欺騙攻擊。
4、機(jī)柜交換機(jī)進(jìn)行 網(wǎng)關(guān)IP網(wǎng)關(guān)MAC 靜態(tài)綁定,為機(jī)柜內(nèi)部服務(wù)器提供靜態(tài)de網(wǎng)關(guān)MaC地址解析。
ARP欺騙攻擊防護(hù)de實(shí)現(xiàn)方式介紹 就為大家介紹完了,希望大家已經(jīng)掌握了。
上海廣樂(lè)網(wǎng)絡(luò)科技有限公司 
滬ICP備14038021號(hào)-2 版權(quán)所有. 上海市市轄區(qū)浦東新區(qū)盛夏路666號(hào)盛銀大廈E棟 13151091625
