上海哲涛网络科技有限公司欢迎您,联系电话:021-52765253,QQ:1055532045
哲涛软件讨论/辩论首页 >> SUM租用平台讨论区 >> SUM租用平台功能讨论区 >> ARP监控/ARP攻击监控
讨论主题:ARP监控/ARP攻击监控
发表人:antina

登录次数:3
ARP监控/ARP攻击监控 发表于:2009-2-20 16:52:5
 SUM服务器监控软件可以进行各种网络设备所端口进行ARP监控, 通过监控ARP发包情况,用户可以定义阀值进行报警,以便即时掌握ARP包的发送状态。 

 
ARP欺骗的防范
  1、运营商可采用Super VLAN或PVLAN技术
  所谓Super VLAN也叫VLAN聚合,这种技术在同一个子网中化出多个Sub VLAN,而将整个IP子网指定为一个VLAN聚合(Super VLAN),所有的Sub VLAN都使用Super VLAN的默认网关IP地址,不同的Sub VLAN仍保留各自独立的广播域。子网中的所有主机只能与自己的默认网关通信。如果将交换机或IP DSLAM设备的每个端口化为一个Sub VLAN,则实现了所有端口的隔离,也就避免了ARP欺骗。
  PVLAN即私有VLAN(Private VLAN) ,PVLAN采用两层VLAN隔离技术,只有上层VLAN全局可见,下层VLAN相互隔离。如果将交换机或IP DSLAM设备的每个端口化为一个(下层)VLAN,则实现了所有端口的隔离。
  PVLAN和SuperVLAN技术都可以实现端口隔离,但实现方式、出发点不同。PVLAN是为了节省VLAN,而SuperVlan的初衷是节省IP地址。
  2、单位局域网可采用IP与MAC绑定
  在PC上IP+MAC绑,网络设备上IP+MAC+端口绑。但不幸的是Win 98/me、未打arp补丁的win 2000/xp sp1(现在大多都已经打过了)等系统 使用arp -s所设置的静态ARP项还是会被ARP欺骗所改变。
  如果网络设备上只做IP+MAC绑定,其实也是不安全的,假如同一二层下的某台机器发伪造的arp reply(源ip和源mac都填欲攻击的那台机子的)给网关,还是会造成网关把流量送到欺骗者所连的那个(物理)端口从而造成网络不通。
  对于采用了大量傻瓜交换机的局域网,用户自己可以采取支持arp过滤的防火墙等方法。推荐Look ‘n’Stop防火墙,支持arp协议规则自定义。
  最后就是使用ARPGuard啦(才拉到正题上),但它只是保护主机和网关间的通讯。
  SUM服务器监控软件可以进行各种网络设备所端口进行ARP监控, 通过监控ARP发包情况,用户可以定义阀值进行报警,以便即时掌握ARP包的发送状态。