‹‹ 上一主题 | 下一主题 ››
 12 12
发新话题
打印

[转贴] ARP 解决思路

周工

黑鹰一郎


论坛历史版主

Rank: 7Rank: 7Rank: 7

帖子
121 
精华
1 
积分
956 
盟币
106  
楼主 发表于 2007-8-20 20:50  只看该作者

ARP 解决思路

本文网址:http://bbs.bitscn.com/121219 复制

解决思路】  
  1、不要把你的网络安全信任关系建立在IP基础上或MAC基础上,(rarp同样存在欺骗的问题),理想的关系应该建立在IP+MAC基础上。  
  2、设置静态的MAC-->IP对应表,不要让主机刷新你设定好的转换表。  
  3、除非很有必要,否则停止使用ARP,将ARP做为永久条目保存在对应表中。  
  4、使用ARP服务器。通过该服务器查找自己的ARP转换表来响应其他机器的ARP广播。确保这台ARP服务器不被黑。  
  5、使用"proxy"代理IP的传输。  
  6、使用硬件屏蔽主机。设置好你的路由,确保IP地址能到达合法的路径。(静态配置路由ARP条目),注意,使用交换集线器和网桥无法阻止ARP欺骗。  
  7、管理员定期用响应的IP包中获得一个rarp请求,然后检查ARP响应的真实性。  
  8、管理员定期轮询,检查主机上的ARP缓存。  
  9、使用防火墙连续监控网络。注意有使用SNMP的情况下,ARP的欺骗有可能导致陷阱包丢失。   
  【HiPER用户的解决方案】  
  建议用户采用双向绑定的方法解决并且防止ARP欺骗。  
  1、在PC上绑定路由器的IP和MAC地址:  
  1)首先,获得路由器的内网的MAC地址(例如HiPER网关地址192.168.16.254的MAC地址为0022aa0022aa局域网端口MAC地址>)。  
  2)编写一个批处理文件rarp.bat内容如下:  
  @echo off  
  arp -d  
  arp -s 192.168.16.254 00-22-aa-00-22-aa  
  将文件中的网关IP地址和MAC地址更改为您自己的网关IP地址和MAC地址即可。  
  将这个批处理软件拖到“windows--开始--程序--启动”中。  
  3)如果是网吧,可以利用收费软件服务端程序(pubwin或者万象都可以)发送批处理文件rarp.bat到所有客户机的启动目录。Windows2000的默认启动目录为“C:/Documents and Settings/All Users「开始」菜单程序启动”。  
  2、在路由器上绑定用户主机的IP和MAC地址(440以后的路由器软件版本支持):

TOP

周工

黑鹰一郎


论坛历史版主

Rank: 7Rank: 7Rank: 7

帖子
121 
精华
1 
积分
956 
盟币
106  
沙发 发表于 2007-8-20 20:52  只看该作者

华为路由器iP与MAC地址绑定的简便操作方法

IP与MAC地址绑定的简便操作方法,请大家学习

ARP静态绑定步骤:
1、首先telnet或者通过console口登录到路由器。
2、在路由器上执行dis arp的命令,这时路由器会把学习到的动态ARP都显示出来。
3、把显示结果拷贝出来,如下:
10.106.32.20    000a-6a20-1400 D                                  Eth0/0
10.106.32.30    000a-6a20-1e00 D                                  Eth0/0
10.106.32.49    000a-6a20-3100 D                                  Eth0/0
10.106.32.42    000a-6a20-2a00 D                                  Eth0/0
10.106.32.54    000a-6a20-3600 D                                  Eth0/0
10.106.32.19    000a-6a20-1300 D                                  Eth0/0
10.106.32.13    000a-6a20-0d00 D                                  Eth0/0
10.106.32.52    000a-6a20-3400 D                                  Eth0/0
10.106.32.12    000a-6a20-0c00 D                                  Eth0/0
10.106.32.16    000a-6a20-1000 D                                  Eth0/0
10.106.32.53    000a-6a20-3500 D                                  Eth0/0
10.106.32.29    000a-6a20-1d00 D                                  Eth0/0
10.106.32.58    000a-6a20-3a00 D                                  Eth0/0
10.106.32.47    000a-6a20-2f00 D                                  Eth0/0
10.106.32.50    000a-6a20-3200 D                                  Eth0/0
10.106.32.21    000a-6a20-1500 D                                  Eth0/0
10.106.32.25    000a-6a20-1900 D                                  Eth0/0
10.106.32.36    000a-6a20-2400 D                                  Eth0/0
10.106.32.59    000a-6a20-3b00 D                                  Eth0/0
10.106.32.41    000a-6a20-2900 D                                  Eth0/0
10.106.32.57    000a-6a20-3900 D                                  Eth0/0
10.106.32.22    000a-6a20-1600 D                                  Eth0/0
4、利用文本编辑工具,如UltraEdit,选择显示信息前一部分,如下:
10.106.32.20    000a-6a20-1400
10.106.32.30    000a-6a20-1e00
10.106.32.49    000a-6a20-3100
10.106.32.42    000a-6a20-2a00
10.106.32.54    000a-6a20-3600
10.106.32.19    000a-6a20-1300
10.106.32.13    000a-6a20-0d00
10.106.32.52    000a-6a20-3400
10.106.32.12    000a-6a20-0c00
10.106.32.16    000a-6a20-1000
10.106.32.53    000a-6a20-3500
10.106.32.29    000a-6a20-1d00
10.106.32.58    000a-6a20-3a00
10.106.32.47    000a-6a20-2f00
10.106.32.50    000a-6a20-3200
10.106.32.21    000a-6a20-1500
10.106.32.25    000a-6a20-1900
10.106.32.36    000a-6a20-2400
10.106.32.59    000a-6a20-3b00
10.106.32.41    000a-6a20-2900
10.106.32.57    000a-6a20-3900
10.106.32.22    000a-6a20-1600
5、对选择的信息进行替换操作,使用arp static 10.106替换10.106,结果如下:
arp static 10.106.32.20    000a-6a20-1400
arp static 10.106.32.30    000a-6a20-1e00
arp static 10.106.32.49    000a-6a20-3100
arp static 10.106.32.42    000a-6a20-2a00
arp static 10.106.32.54    000a-6a20-3600
arp static 10.106.32.19    000a-6a20-1300
arp static 10.106.32.13    000a-6a20-0d00
arp static 10.106.32.52    000a-6a20-3400
arp static 10.106.32.12    000a-6a20-0c00
arp static 10.106.32.16    000a-6a20-1000
arp static 10.106.32.53    000a-6a20-3500
arp static 10.106.32.29    000a-6a20-1d00
arp static 10.106.32.58    000a-6a20-3a00
arp static 10.106.32.47    000a-6a20-2f00
arp static 10.106.32.50    000a-6a20-3200
arp static 10.106.32.21    000a-6a20-1500
arp static 10.106.32.25    000a-6a20-1900
arp static 10.106.32.36    000a-6a20-2400
arp static 10.106.32.59    000a-6a20-3b00
arp static 10.106.32.41    000a-6a20-2900
arp static 10.106.32.57    000a-6a20-3900
arp static 10.106.32.22    000a-6a20-1600
6、登录到路由器的系统模式,把上面的替换结果直接贴到路由器上即可。
7、如果路由器再学到新的ARP也可以按照如上方法进行配置

TOP

心缘

试用网管

Rank: 1

帖子
122 
精华
0 
积分
118 
盟币
6  
板凳 发表于 2007-10-8 11:04  只看该作者
学习下,拷贝下来

TOP

play_lion

试用网管

Rank: 1

帖子
49 
精华
0 
积分
31 
盟币
0  
地板 发表于 2007-10-19 09:47  只看该作者
受教了

TOP

fxm25

试用网管

Rank: 1

帖子
140 
精华
0 
积分
33 
盟币
0  
5楼 发表于 2007-11-10 21:30  只看该作者

TOP

tiany420

正式网管

Rank: 2

帖子
119 
精华
0 
积分
510 
盟币
70  
6楼 发表于 2007-11-13 14:23  只看该作者
做起來太難了,好多不現實的做法。公司不可能給我們網管這麼大的投入啊!!!唉!!!

TOP

vincent180963

试用网管

Rank: 1

帖子
91 
精华
0 
积分
164 
盟币
53  
7楼 发表于 2007-11-20 17:48  只看该作者
感谢楼主!

TOP

lovexxjzx

试用网管

Rank: 1

帖子
25 
精华
0 
积分
24 
盟币
0  
8楼 发表于 2007-11-25 16:11  只看该作者

TOP

hello1

试用网管

Rank: 1

帖子
117 
精华
0 
积分
16 
盟币
1  
9楼 发表于 2007-12-17 12:40  只看该作者

TOP

ruan073045

试用网管

Rank: 1

帖子
75 
精华
0 
积分
82 
盟币
1  
10楼 发表于 2007-12-22 15:31  只看该作者
好呀好呀好呀

TOP

‹‹ 上一主题 | 下一主题 ››
 12 12
发新话题
版块跳转 
拒绝任何人以任何形式在本论坛发表与中华人民共和国法律相抵触的言论! 24小时违法信息处理:QQ58284700 TEL29989777
沪ICP备05002360号 / 增值电信业务经营许可证沪B2-20050290 / 当前时区 GMT+8, 现在时间是 2008-5-17 05:17 /