ARP欺騙防護(hù)實(shí)現(xiàn)方式介紹

從影響網(wǎng)絡(luò)連接通暢的方式來看，ARP欺騙分為二種，一種是對(duì)路由器ARP表的欺騙；另一種是對(duì)內(nèi)網(wǎng)PC的網(wǎng)關(guān)欺騙。

第一種ARP欺騙的原理是——截獲網(wǎng)關(guān)數(shù)據(jù)。它通知路由器一系列錯(cuò)誤的內(nèi)網(wǎng)MAC地址，并按照一定的頻率不斷進(jìn)行，使真實(shí)的地址信息無法通過更新保存在路由器中，結(jié)果路由器的所有數(shù)據(jù)只能發(fā)送給錯(cuò)誤的MAC地址，造成正常PC無法收到信息。第二種ARP欺騙的原理是——偽造網(wǎng)關(guān)。它的原理是建立假網(wǎng)關(guān)，讓被它欺騙的PC向假網(wǎng)關(guān)發(fā)數(shù)據(jù)，而不是通過正常的路由器途徑上網(wǎng)。在PC看來，就是上不了網(wǎng)了，“網(wǎng)絡(luò)掉線了”。

基于以上兩種ARP欺騙的方式，我公司在上海電信外高橋數(shù)據(jù)中心采用獨(dú)立網(wǎng)段加上雙向綁定的方法設(shè)立了防ARP欺騙攻擊專區(qū)，拓樸結(jié)構(gòu)示意圖如下：

ARP欺騙攻擊防護(hù)實(shí)現(xiàn)方式:

外部防護(hù)

1、此防護(hù)區(qū)域使用獨(dú)立網(wǎng)關(guān)，從電信路由層以獨(dú)立VLAN的物理結(jié)構(gòu)方式接入，與其他非防護(hù)區(qū)域服務(wù)器完全隔離

內(nèi)部防護(hù)

2、防護(hù)專區(qū)中心交換機(jī)以機(jī)柜為單位劃分VLAN，保證機(jī)柜之間無法直接通信，防止機(jī)柜之間的ARP 欺騙攻擊。防護(hù)專區(qū)中心交換機(jī)進(jìn)行 IP段—MAC---交換機(jī)端口 配對(duì)綁定，服務(wù)器只能在指定交換機(jī)機(jī)柜和指定交換機(jī)端口使用,防止內(nèi)部ARP攻擊機(jī)截獲網(wǎng)關(guān)數(shù)據(jù)，進(jìn)行欺騙攻擊。

3、機(jī)柜交換機(jī)進(jìn)行 IP—MAC—交換機(jī)端口 配對(duì)綁定，服務(wù)器只能在指定交換機(jī)端口使用，防止內(nèi)部ARP攻擊機(jī)發(fā)送虛假IP 地址，虛假M(fèi)AC地址，偽造網(wǎng)關(guān)，進(jìn)行欺騙攻擊。

4、機(jī)柜交換機(jī)進(jìn)行 網(wǎng)關(guān)IP—網(wǎng)關(guān)MAC 靜態(tài)綁定，為機(jī)柜內(nèi)部服務(wù)器提供靜態(tài)的網(wǎng)關(guān)MaC地址解析。

ARP欺騙攻擊防護(hù)的實(shí)現(xiàn)方式介紹 就為大家介紹完了，希望大家已經(jīng)掌握了。

【編輯推薦】

1. 淺析讓內(nèi)網(wǎng)安全問題
2. 剖析ARP緩存感染攻擊
3. 對(duì)黑金ARP病毒原理的闡述
4. 深入解析ARP欺騙攻擊防護(hù)之ARP
5. 深入解析ARP欺騙攻擊防護(hù)之根本防護(hù)
6. 深入解析ARP欺騙攻擊防護(hù)之方法介紹