华为交换机如何防范ARP攻击
说完如何识别ARP攻击后,我们来看看如何防范这些攻击
操作方法
- 01
1 网络主机侧攻击防范----配置静态ARP 1.1 确认网关设备、局域网内重要服务器以及本机的IP地址、MAC地址 通过在DOS界面输入ipconfig /all命令可查本机IP、MAC和网关IP 通过在DOS界面输入arp –a命令可查网关IP所对应的MAC地址 局域网内其他重要服务器的IP、MAC需登陆服务器再通过ipconfig /all查询 1.2 配置静态ARP绑定 新建一个记事本文档,输入以下命令: arp –d //清空ARP缓存表 arp -d arp -d arp -s 192.168.16.1 00-00-00-00-01 //配置静态ARP,绑定网关的IP与MAC arp -s 192.168.16.2 00-00-00-00-02 //配置静态ARP,绑定服务器的IP与MAC arp -s 192.168.16.3 00-00-00-00-03 //配置静态ARP,绑定本机的IP与MAC 注:如果网关是两交换机启用了vrrp后的虚拟ip,则应该将网关ip绑定vrrp的虚mac ,格 式为00-00-5e-00-01-[vrid] (vrid是指启用vrrp的备份组号) 配置完成后,将其另存为arp.bat文件(注意后缀名需为bat) 1.3 将arp.bat文件放入主机的启动项中 打开电脑的启动项目录。具体操作是点击“开始”→“程序” →“启动”右键单击选择“打开所有用户” 将arp.bat文件放入打开的目录中,这样程序就会在每次开机时自动运行
- 02
2 网关设备侧攻击防范 2.1 二层交换机(接入设备)配置规范 在与PC直接相连的端口上配置静态MAC,同时禁止动态学习MAC [S2403H]mac-address static 0002-0002-0002 interface Ethernet0/7 vlan 10 [S2403H]interface Ethernet0/7 [S2403H- Ethernet0/7] mac-address max-mac-count 0 注:配置顺序一定要注意,要先配置静态MAC,再在端口下禁止动态学习MAC;如要对静态MAC绑定的数据做任何修改和删除,也要先在对应端口下删除mac-address max-mac-count 0,修改完成后再在端口重新添加mac-address max-mac-count 0。否则设备易出错,切记! 暂时不被使用的端口应该手动shutdown [S2403H]interface Ethernet0/8 [S2403H-Ethernet0/7] shutdown 完成了如上配置后,某端口下只能连接指定MAC的PC,如果有非法PC企图接入网络或原合法PC机中毒后企图发起一些变换MAC的攻击,则新的MAC地址不会被端口所学习。这样,大大加强了二层网络的安全性。 2.2 三层交换机(网关设备)配置规范 在三层交换机上配置静态ARP绑定下挂PC机的IP与MAC地址,防止下挂PC随意变动IP地址或发起ARP攻击: [S3528G]arp static 192.168.16.2 0002-0002-0002 10 Ethernet0/3 [S3528G]arp static 192.168.16.3 0003-0003-0003 10 Ethernet0/3 [S3528G]arp static 192.168.16.4 0004-0004-0004 10 Ethernet0/3 S3528G S2403H-1 S2403H-2 PC网关 PC-1 PC-3 PC-4 PC-5 PC-6 常见组网结构 如图 2.3 交换机既作网关又作接入时的配置规范(综合前两项) 在与PC直接相连的端口上配置静态MAC,同时禁止动态学习MAC 暂时不被使用的端口应该手动shutdown 配置静态ARP绑定下挂PC机的IP与MAC地址,防止下挂PC随意变动IP地址或发起ARP攻击。