ARP攻擊首先知道他的攻擊原理,壹種是告訴網關虛假地址,導致下面主機發給路由的包路由發回去是錯誤的MAC,導致主機收不到,也就是數據包有去無回,這種解決辦法是在路由上綁定IP與對應MAC地址,讓路由不接受虛假的地址。另壹種是直接發廣播ARP欺騙主機,告訴主機壹個虛假的網關地址,這種解決方法壹種是自動的,前提是路由支持發送免費ARP,用免費ARP去刷新每臺主機的ARP表,另壹種是手動的在每臺主機靜態綁定網關的MAC,多數軟件防火墻都可以在主機端自動綁,也可以通過DOS命令手工綁定。DNS欺騙在路由壹側的DHCP地址池下放正確的DNS地址的同時,如果條件允許可以上壹個AAA認證機制服務器可以是RADIUS或是TACACS,但這個配置復雜,成本很高,但這是萬全之策可以同時解決ARP和DNS欺騙,這個三A可以配合華為或是H3C提供的壹種安全機制,具體是什麽我忘了,剛才找了下H3C路由交換技術,實在太厚了,沒找到,大概原理是要求每壹臺主機接入網絡前必須安裝服務器提供的殺毒軟件並升級病毒庫後才能用。小成本解決DNS欺騙的方法壹是殺毒,二是手工指定DNS正確地址,三是修復瀏覽器和HOST文件,可以手工配合殺毒軟件的方法。
臨時解決方案是:
DNS的不太清楚,我對ARP理解得好壹點,可以網絡抓包,得到攻擊源的頻率和MAC,如果交換機支持CLI命令可以找出對應接口,先SHUTDOWN掉不安全接口,如果不支持CLI可以用封包工具,以比病毒快的頻率發送正確的ARP去刷新主機或網關的ARP表,但這在壹個小型網絡可行,在大型網絡很容易引起廣播風暴。
最後還是建議網絡工程師或管理員平時養成壹個良好的習慣,盡量用VLAN分清各種業務平臺,減少局域網被攻擊的範圍,做好每臺主機的記錄工作,記下每臺主機的MAC和IP地址,方便發生內網主機攻擊的時候迅速判斷位置,在交換機和路由配置上多下工夫,做好ACL和網絡優化,比如在接入層交換做好MAC和IP的綁定,做好端口安全,限定每個端口的MAC地址個數可發送頻率,關閉容易受到攻擊的例如445 137 138 139端口,做好日誌統計工作,對員工做好安全培訓工作。