深入解析ARP欺騙攻擊防護之實現方式介紹
作者:佚名
本文主要向大家了ARP欺騙攻擊防護的實現方式的內容分,希望通過以下的介紹能夠幫助大家理解。
ARP欺騙防護實現方式介紹
從影響網絡連接通暢的方式來看,ARP欺騙分為二種,一種是對路由器ARP表的欺騙;另一種是對內網PC的網關欺騙。
第一種ARP欺騙的原理是——截獲網關數據。它通知路由器一系列錯誤的內網MAC地址,并按照一定的頻率不斷進行,使真實的地址信息無法通過更新保存在路由器中,結果路由器的所有數據只能發送給錯誤的MAC地址,造成正常PC無法收到信息。第二種ARP欺騙的原理是——偽造網關。它的原理是建立假網關,讓被它欺騙的PC向假網關發數據,而不是通過正常的路由器途徑上網。在PC看來,就是上不了網了,“網絡掉線了”。
基于以上兩種ARP欺騙的方式,我公司在上海電信外高橋數據中心采用獨立網段加上雙向綁定的方法設立了防ARP欺騙攻擊專區,拓樸結構示意圖如下:
ARP欺騙攻擊防護實現方式:
外部防護
1、此防護區域使用獨立網關,從電信路由層以獨立VLAN的物理結構方式接入,與其他非防護區域服務器完全隔離
內部防護
2、防護專區中心交換機以機柜為單位劃分VLAN,保證機柜之間無法直接通信,防止機柜之間的ARP 欺騙攻擊。防護專區中心交換機進行 IP段—MAC---交換機端口 配對綁定,服務器只能在指定交換機機柜和指定交換機端口使用,防止內部ARP攻擊機截獲網關數據,進行欺騙攻擊。
3、機柜交換機進行 IP—MAC—交換機端口 配對綁定,服務器只能在指定交換機端口使用,防止內部ARP攻擊機發送虛假IP 地址,虛假MAC地址,偽造網關,進行欺騙攻擊。
4、機柜交換機進行 網關IP—網關MAC 靜態綁定,為機柜內部服務器提供靜態的網關MaC地址解析。
ARP欺騙攻擊防護的實現方式介紹 就為大家介紹完了,希望大家已經掌握了。
【編輯推薦】
責任編輯:佚名
來源:
上海網域網
