從現在的網絡連接通暢de方式來看,ARP欺騙分為二種,一種是對路由器ARP表de欺騙;另一種是對內網PCde網關欺騙。第一種ARP欺騙de原理是——截獲網關數據。它通知路由器一系列錯誤de內網MAC地址,並按照一定de頻率不斷進行,使真實de地址信息無法通過更新保存在路由器中,結果路由器de所有數據只能發送給錯誤deMAC地址,造成正常PC無法收到信息。第二種ARP欺騙de原理是——偽造網關。它de原理是建立假網關,讓被它欺騙dePC向假網關發數據,而不是通過正常de路由器途徑上網。在PC看來,就是上不了網了,“網絡掉線了”。
基於以上兩種ARP欺騙de方式,我公司在上海電信外高橋數據中心采用獨立網段加上雙向綁定de方法設立了防ARP欺騙攻擊專區,拓樸結構示意圖如下:
ARP欺騙攻擊防護實現方式:
外部防護
1、此防護區域使用獨立計算機網關,從電信路由層以獨立VLANde物理結構方式接入,與其他非防護區域服務器完全隔離
內部防護
2、防護專區中心交換機以機櫃為單位劃分VLAN,保證機櫃之間無法直接通信,防止機櫃之間deARP 欺騙攻擊。防護專區中心交換機進行 IP段—MAC---交換機端口 配對綁定,服務器只能在指定交換機機櫃和指定交換機端口使用,防止內部ARP攻擊機截獲網關數據http://.,進行欺騙攻擊。
3、機櫃交換機進行 IP—MAC—交換機端口 配對綁定,服務器只能在指定交換機端口使用,防止內部ARP攻擊機發送虛假IP 地址,虛假MAC地址,偽造網關,進行欺騙攻擊。
4、機櫃交換機進行 網關IP—網關MAC 靜態綁定,為機櫃內部服務器提供靜態de網關MaC地址解析。
ARP欺騙攻擊防護de實現方式介紹 就為大家介紹完了,希望大家已經掌握了。
ARP欺騙防護實現方式介紹.