Cisco中的ARP命令介紹及防范技巧

　　最近一段時間，arp欺騙病毒十分猖獗，經常造成局域網內主機斷網。

　　從影響網絡連接通暢的方式來看，ARP欺騙分為二種，一種是對路由器ARP表的欺騙；另一種是對內網PC的網關欺騙。

　　第一種ARP欺騙的原理是——截獲網關數據。它通知路由器一系列錯誤的內網MAC地址，并按照一定的頻率不斷進行，使真實的地址信息無法通過更新保存在路由器中，結果路由器的所有數據只能發送給錯誤的MAC地址，造成正常PC無法收到信息。第二種ARP欺騙的原理是——偽造網關。它的原理是建立假網關，讓被它欺騙的PC向假網關發數據，而不是通過正常的路由器途徑上網。在PC看來，就是上不了網了，“網絡掉線了”。

　　一般來說，ARP欺騙攻擊的后果非常嚴重，大多數情況下會造成大面積掉線。

　　有經驗的網關會利用arp命令來查找發出arp欺騙包的主機，然后采取相應的措施。但這些都是亡羊補牢的辦法，能不能把防范做在前面，讓那些中毒的主機無所作為呢？

　　其實，cisco也有類似的命令，能夠在有arp欺騙的情況下保護網關和其它主機，使網絡得以暢通。

　　命令格式：

　　arp IP add mac arpa intID，比如：

　　arp 10.1.1.222 0000.ac01.2ca9 arpa fastethe.net 3/19

　　它的作用相當于：在快速以太3/19口上，能與它連接的只能是1001.1.222，mac地址只能是0000.ac01.2ca9 ，其它一律拒絕。

　　在匯聚和接入交換機之間，通過這第條命令兩端互相綁定對端的ip和mac地址，這樣可以防止接入交換機下的pc中毒后發出虛假的arp信息，導致匯聚和接入交換機之間的通信異常。比如匯聚在請求對端接入交換機的mac地址時，pc首先發出了回應也就是以接入交換機的管理ip和自己的（或者偽裝的）mac封裝了arp reply那么匯聚的arp表就會出現錯誤，導致整個接入交換機下的用戶無法上網，這也是一種arp欺騙。利用了上面的命令就可以將匯聚和接入交換機的 arp條目固化，防止出現上述情況。

　　同理，在接入層交換機上做出綁定，那么當接入交換機請求目的主機的mac時，會直接從自己的固化arp表中去查找，而不會再向整個網絡發布arp廣播，這樣即使有arp欺騙的主機存在，它也不會有向整個網絡發難的機會。

　

熱門推薦：

五大絕招 輕松搞定企業的WLAN安全

網管需選用的5款遠程控制軟件

原文轉自：http://www.kjueaiud.com