常见电脑黑客攻击类型与预防方法有哪些?ARP攻击是局域网中比较常见的黑客攻击,交换机也会遭到黑客攻击,而交换机ARP攻击没有太好的解决办法,目前有几种方法不过不能彻底解决比如在DHCP上设置保留、在本机上设置IP与MAC绑定、装防护软件等,作用不大。下面https://www.nc005.com/小编和大家分享一种方法,那就是在交换机上做IP与MAC绑定。
Cisco中有以下三种方案可供选择,方案1和方案2实现的功能是一样的,即在具体的交换机端口上绑定特定的主机的MAC地址(网卡硬件地址),方案3是在具体的交换机端口上同时绑定特定的主机的MAC地址(网卡硬件地址)和IP地址。
方法1——基于端口的MAC地址绑定 以思科2950交换机为例,登录进入交换机,输入管理口令进入配置模式: Switch#config terminal #进入配置模式
Switch(config)# Interface fastethernet 0/1 #进入具体端口配置模式
Switch(config-if)#Switchport port-secruity #配置端口安全模式
Switch(config-if )switchport port-security mac-address 0009.6bc4.d4bf (主机的MAC地址)
#配置该端口要绑定的主机的MAC地址
Switch(config-if )no switchport port-security mac-address 0009.6bc4.d4bf (主机的MAC地址) #删除绑定主机的MAC地址
方法2——基于MAC地址的扩展访问列表
Switch(config)Mac access-list extended MAC10
#定义一个MAC地址访问控制列表并且命名该列表名为MAC10
#定义MAC地址为0009.6bc4.d4bf的主机可以访问任意主机 Switch(config)permit any host 0009.6bc4.d4bf
#定义所有主机可以访问MAC地址为0009.6bc4.d4bf的主机 Switch(config-if )interface Fa0/20 #进入配置具体端口的模式
Switch(config-if )mac access-group MAC10 in
#在该端口上应用名为MAC10的访问列表(即前面我们定义的访问策略) Switch(config)no mac access-list extended MAC10 #清除名为MAC10的访问列表
此功能与应用与第一种方法相同,但它是基于端口做的MAC地址访问控制列表限制,可以限定特定源MAC地址与目的地址范围。
方案3——IP地址的MAC地址绑定
只能将应用1或2与基于IP的访问控制列表组合来使用才能达到IP-MAC 绑定功能。
Switch(config)Mac access-list extended MAC10
#定义一个MAC地址访问控制列表并且命名该列表名为MAC10 Switch(config)permit host 0009.6bc4.d4bf any
#定义MAC地址为0009.6bc4.d4bf的主机可以访问任意主机 Switch(config)permit any host 0009.6bc4.d4bf
#定义所有主机可以访问MAC地址为0009.6bc4.d4bf的主机 Switch(config)Ip access-list extended IP10
#定义一个IP地址访问控制列表并且命名该列表名为IP10 Switch(config)Permit 192.168.0.1 0.0.0.0 any
#定义IP地址为192.168.0.1的主机可以访问任意主机 Switch(config)Permit any 192.168.0.1 0.0.0.0
#定义所有主机可以访问IP地址为192.168.0.1的主机 Switch(config-if )interface Fa0/20 #进入配置具体端口的模式
Switch(config-if )mac access-group MAC10 in
#在该端口上应用名为MAC10的访问列表(即前面我们定义的访问策略) Switch(config-if )Ip access-group IP10 in
#在该端口上应用名为IP10的访问列表(即前面我们定义的访问策略) Switch(config)no mac access-list extended MAC10 #清除名为MAC10的访问列表
Switch(config)no Ip access-group IP10 in #清除名为IP10的访问列表
以上就是交换机解决arp攻击的方法,具体方法选择还需根据情况而定,希望以上网络安全小知识可以解决您遇到的问题。