伪ARP制造方法及如何防止内部攻击1.doc

伪ARP制造方法及如何防止内部攻击 ARP欺骗分为二种一种是对路由器ARP表欺骗；另一种是对内网PC网关欺骗。第一种ARP欺骗原理是 ——截获网关数据。它通知路由器一系列错误内网MAC地址，并按照一定频率不断进行，使真实地址信息无法通过更新保存在路由器中，结果路由器 所有数据只能发送给错误MAC地址，造成正常PC无法收到信息。第二种ARP欺骗原理是——伪造网关。它原理是建立假网关，让被它欺骗PC向假网关发数据，而不是通过正常路由器途径上网。在PC看来，就是上不了网了，“网络掉线了”。 基于以上两种ARP欺骗方式，我公司在上海电信外高桥数据中心采用独立网段加上双向绑定方法设立了防ARP欺骗攻击专区，拓朴结构示意图如下： ARP欺骗攻击防护实现方式: 外部防护 1、此防护区域使用独立计算机网关，从电信路由层以独立VLAN物理结构方式接入，与其他非防护区域服务器完全隔离 内部防护 2、防护专区中心交换机以机柜为单位划分VLAN，保证机柜之间无法直接通信，防（更多电脑知识，计算机基础知识入门，请到电脑知识网）止机柜之间ARP 欺骗攻击。防护专区中心交换机进行 IP段—MAC---交换机端口 配对绑定，服务器只能在指定交换机机柜和指定交换机端口使用,防止内部ARP攻击机截获网关数据，进行欺骗攻击。 3、机柜交换机进行 IP—MAC—交换机端口 配对绑定，服务器只能在指定交换机端口使用，防止内部ARP攻击机发送虚假IP 地址，虚假MAC地址，伪造网关，进行欺骗攻击。 4、机柜交换机进行 网关IP—网关MAC 静态绑定，为机柜内部服务器提供静态网关MaC地址解析。 ARP欺骗攻击防护实现方式介绍 就为大家介绍完了，希望大家已经掌握了。