1、通过ACL对ARP攻击进行控制,只允许网关的ARP通过
access-list 200 deny arp ingress any egress any
access-list 300 permit 64646401 ffffffff 50
access-group link-group 200 subitem 0
access-group user-group 300 subitem 0
说明:
根据接口地址,添加允许的目的地址IP的ARP。
access-list 300 permit 64646401 ffffffff 50
其中64646464代表目的接口IP 100.100.100.01
ffffffff代表掩码的位数
50是包文的偏移量,ARP的目的地址IP的偏移量。
类似的如果我们需要多允许接口地址为100.100.101.1的ARP,那么acl如下:
access-list 301 permit 64646501 ffffffff 50
同理可以添加所有的接口。
关于偏移量的说明:
偏移量从零开始,一直计算到需要控制的字节。
另外,针对以太网帧的数据,需要注意以下增量:
untag 报文:基本的偏移量加上以太网的12字节
tag报文: 基本的偏移量加上以太网和tag头的8字节
2、做好端口隔离
防止ARP对最终用户欺骗
3、ARP对网关的欺骗
网关接口路由器或者三层交换机做好ARP静态绑定,防止ARP对网关的ARP欺骗。
由于对于运营商来说,LAN下面的用户量巨大,所以该方法比较笨,可是,目前也没有更好的办法。
4、其他的一些辅佐方法
a、查找中毒电脑,让客户进行杀毒或者重装系统。
b、通过对中毒电脑进行mac地址封杀,暂时性的减轻影响。
没有评论:
发表评论