在网络方面的arp攻击是很普遍的,所以很多朋友都会用交换机来防止arp攻击,那交换机如何防止arp攻击呢?了解网络安全常识,首先就要了解常见电脑黑客攻击类型与预防方法,下面https://www.nc005.com/小编就带您认识一下吧。
1、配置静态ARP
首先,确认网关设备、局域网内重要服务器以及本机的IP地址、MAC地址。
通过在DOS界面输入ipconfig /all命令可查本机IP、MAC和网关IP。通过在DOS界面输入arp –a命令可查网关IP所对应的MAC地址。局域网内其他重要服务器的IP、MAC需登陆服务器再通过ipconfig /all查询。
其次,配置静态ARP绑定。
新建一个记事本文档,输入以下命令:
arp–d //清空ARP缓存表
arp -d
arp -d
arp -s 192.168.16.1 00-00-00-00-01 //配置静态ARP,绑定网关的IP与MAC
arp -s 192.168.16.2 00-00-00-00-02 //配置静态ARP,绑定服务器的IP与MAC
arp -s 192.168.16.3 00-00-00-00-03 //配置静态ARP,绑定本机的IP与MAC
注:如果网关是两交换机启用了vrrp后的虚拟ip,则应该将网关ip绑定vrrp的虚mac,格式为00-00-5e-00-01-[vrid](vrid是指启用vrrp的备份组号)。
配置完成后,将其另存为arp.bat文件(注意后缀名需为bat)。
最后,将arp.bat文件放入主机的启动项中。
打开电脑的启动项目录。具体操作是点击“开始”→“程序” →“启动”右键单击选择“打开所有用户”;
将arp.bat文件放入打开的目录中,这样程序就会在每次开机时自动运行;
2、网关设备侧攻击防范
首先,对二层交换机(接入设备)配置规范。
在与PC直接相连的端口上配置静态MAC,同时禁止动态学习MAC。
[S2403H]mac-address static 0002-0002-0002 interface Ethernet0/7 vlan 10
[S2403H]interface Ethernet0/7
[S2403H- Ethernet0/7] mac-address max-mac-count 0
注:配置顺序一定要注意,要先配置静态MAC,再在端口下禁止动态学习MAC;如要对静态MAC绑定的数据做任何修改和删除,也要先在对应端口下删除mac-address max-mac-count 0,修改完成后再在端口重新添加mac-address max-mac-count 0。否则设备易出错,切记!
完成了如上配置后,某端口下只能连接指定MAC的PC,如果有非法PC企图接入网络或原合法PC机中毒后企图发起一些变换MAC的攻击,则新的MAC地址不会被端口所学习。这样,大大加强了二层网络的安全性。
其次,三层交换机(网关设备)配置规范。
在三层交换机上配置静态ARP绑定下挂PC机的IP与MAC地址,防止下挂PC随意变动IP地址或发起ARP攻击。
最后,交换机既作网关又作接入时的配置规范(综合前两项)。
在与PC直接相连的端口上配置静态MAC,同时禁止动态学习MAC;
暂时不被使用的端口应该手动shutdown;
配置静态ARP绑定下挂PC机的IP与MAC地址,防止下挂PC随意变动IP地址或发起ARP攻击。
关于网络安全小知识,https://www.nc005.com/小编为您介绍和普及这么多了,看完上面的介绍,您对“交换机如何防止arp攻击”这个问题了解多少了呢?综上我们可以看到,预防arp攻击最好的办法就是相关的安全操作以及安全设置,只有这样才能够减少arp的攻击频率。