19137900000 微信同号
- 技术服务:7*24小时全程专业护航,2分钟响应!
- 网络安全 :自建CHInaddos,AntiDDoS,中新金盾
- 实时监控:提供免费网络流量报告,DDOS报告!
- SLA保证 :数据中心网络连通率99.9%完全让您无忧
- 网站备案:易阳科技全程免费域名备案,无需担忧!
- 售后无忧:不满意支持退款服务,让您购买使用放心!
(一) ARP
(Address Resolution Protocol,地址解析协议)是一个位于TCP/IP协议栈中的底层协议,负责将某个IP地址解析成对应的MAC地址。ARP协议的基本功能就是通过目标设备的IP地址,查询目标设备的MAC地址,以保证通信的进行。
(二)防范方法
1、捆绑MAC和IP地址
杜绝IP 地址盗用现象。如果是通过代理服务器上网:到代理服务器端让网络管理员把上网的静态IP 地址与所记录计算机的网卡地址进行捆绑。如: arp-s 192.16.10.400-EO-4C-6C-08-75.这样,就将上网的静态IP 地址192.16.10.4 与网卡地址为00-EO-4C-6C-08-75 的计算机绑定在一起了,即使别人盗用您的IP 地址,也无法通过代理服务器上网。如果是通过交换机连接,可以将计算机的IP地址、网卡的MAC 地址以及交换机端口绑定。
2、修改MAC地址,欺骗arp欺骗技术
就是假冒MAC 地址,所以最稳妥的一个办法就是修改机器的MAC 地址,只要把MAC 地址改为别的,就可以欺骗过arp 欺骗,从而达到突破封锁的目的。
3、使用arp服务器
使用ARP 服务器。通过该服务器查找自己的ARP 转换表来响应其他机器的ARP 广播。确保这台arp 服务器不被攻击。
4、交换机端口设置
(1)端口保护(类似于端口隔离):arp 欺骗技术需要交换机的两个端口直接通讯,端口设为保护端口即可简单方便地隔离用户之间信息互通,不必占用VLAN 资源。同一个交换机的两个端口之间不能进行直接通讯,需要通过转发才能相互通讯。
(2)数据过滤:如果需要对报文做更进一步的控制用户可以采用ACL(访问控制列表)。ACL 利用IP 地址、TCP/UDP 端口等对进出交换机的报文进行过滤,根据预设条件,对报文做出允许转发或阻塞的决定。
5、禁止网络接口做arp 解析
在相对系统中禁止某个网络接口做ARP 解析(对抗ARP欺骗攻击),可以做静态ARP 协议设置(因为对方不会响应ARP 请求报义)如: ARP –s XXX.XXX.XX.X 08-00-20-a8-2e-ac在很多操作系统中如:Unix , NT 等,都可以结合“禁止相应网络接口做ARP 解析”和“使用静态ARP 表”的设置来对抗ARP 欺骗攻击。而Linux 系统,其静态ARP 表项不会被动态刷新,所以不需要“禁止相应网络接口做ARP 解析”,即可对抗arp 欺骗攻击。
6、使用硬件屏蔽主机
设置好你的路由,确保IP 地址能到达合法的路径。(静态配置路由ARP 条目),注意,使用交换集线器和网桥无法阻止arp 欺骗。
7、易阳机房定期检查arp缓存
管理员定期用响应的IP 包中获得一个rarp 请求, 然后检查ARP 响应的真实性。定期轮询, 检查主机上的arp 缓存。使用防火墙连续监控网络。注意有使用SNMP 的情况下,arp 的欺骗有可能导致陷阱包丢失。
我们的数据中心采用行业领先的网络架构和高品质的硬件设备拥有超过1000Gbps的带宽接入,为您提供从1M/s到10Gb/s的带宽接入选择!
易阳自建数据中心,河南省新乡市带宽资源最为充足的电信机房之一,网络带宽升级性价比更高!
江苏全业务机房,采用华为ntiDDoS防火墙,最高防护DDOS可达400G,电信,联通,移动,全网接入核心机房!
我们为您提供可定制DIY或者品牌的机架式的服务器,采用高效节能的英特尔处理器,企业级SSD固态硬盘和ECC服务器内存;