防范ARP攻击策略面面观及实用技巧一则

防范方法

　　1、捆绑MAC和IP地址

　　杜绝IP 地址盗用现象。如果是通过代理服务器上网：到代理服务器端让网络管理员把上网的静态IP 地址与所记录计算机的网卡地址进行捆绑。如： arp-s 192.16.10.400-EO-4C-6C-08-75.这样，就将上网的静态IP 地址192.16.10.4 与网卡地址为00-EO-4C-6C-08-75 的计算机绑定在一起了，即使别人盗用您的IP 地址，也无法通过代理服务器上网。如果是通过交换机连接，可以将计算机的IP地址、网卡的MAC 地址以及交换机端口绑定。

　　2、修改MAC地址，欺骗arp欺骗技术

　　就是假冒MAC 地址，所以最稳妥的一个办法就是修改机器的MAC 地址，只要把MAC 地址改为别的，就可以欺骗过arp 欺骗，从而达到突破封锁的目的。

　　3、使用arp服务器

　　使用ARP 服务器。通过该服务器查找自己的ARP 转换表来响应其他机器的ARP 广播。确保这台arp 服务器不被攻击。

　　4、交换机端口设置

　　(1)端口保护(类似于端口隔离)：arp 欺骗技术需要交换机的两个端口直接通讯，端口设为保护端口即可简单方便地隔离用户之间信息互通，不必占用VLAN 资源。同一个交换机的两个端口之间不能进行直接通讯，需要通过转发才能相互通讯。

　　(2)数据过滤：如果需要对报文做更进一步的控制用户可以采用ACL(访问控制列表)。ACL 利用IP 地址、TCP/UDP 端口等对进出交换机的报文进行过滤，根据预设条件，对报文做出允许转发或阻塞的决定。华为和Cisco 的交换机均支持IP ACL 和MAC ACL，每种ACL 分别支持标准格式和扩展格式。标准格式的ACL 根据源地址和上层协议类型进行过滤，扩展格式的ACL 根据源地址、目的地址以及上层协议类型进行过滤，异词检查伪装MAC 地址的帧。

　　5、禁止网络接口做arp 解析

　　在相对系统中禁止某个网络接口做ARP 解析(对抗ARP欺骗攻击)，可以做静态ARP 协议设置(因为对方不会响应ARP 请求报义)如： ARP –s XXX.XXX.XX.X 08-00-20-a8-2e-ac在很多操作系统中如：Unix ， NT 等，都可以结合“禁止相应网络接口做ARP 解析”和“使用静态ARP 表”的设置来对抗ARP 欺骗攻击。而Linux 系统，其静态ARP 表项不会被动态刷新，所以不需要“禁止相应网络接口做ARP 解析”，即可对抗arp