【解決思路】
1����、不要把你的網(wǎng)絡(luò)安全信任關(guān)系建立在IP基礎(chǔ)上或MAC基礎(chǔ)上��,(rarp同樣存在欺騙的問題)�����,理想的關(guān)系應(yīng)該建立在IP+MAC基礎(chǔ)上����。
2����、設(shè)置靜態(tài)的MAC-->IP對(duì)應(yīng)表,不要讓主機(jī)刷新你設(shè)定好的轉(zhuǎn)換表�。
3、除非很有必要�,否則停止使用ARP,將ARP做為*條目保存在對(duì)應(yīng)表中���。
4����、使用ARP服務(wù)器。通過該服務(wù)器查找自己的ARP轉(zhuǎn)換表來響應(yīng)其他機(jī)器的ARP廣播����。確保這臺(tái)ARP服務(wù)器不被黑。
5���、使用"proxy"代理IP的傳輸�。
6����、使用硬件屏蔽主機(jī)。設(shè)置好你的路由��,確保IP地址能到達(dá)合法的路徑���。(靜態(tài)配置路由ARP條目)��,注意����,使用交換集線器和網(wǎng)橋無法阻止ARP欺騙。
7�、管理員定期用響應(yīng)的IP包中獲得一個(gè)rarp請(qǐng)求,然后檢查ARP響應(yīng)的真實(shí)性����。
8、管理員定期輪詢�����,檢查主機(jī)上的ARP緩存����。
9��、使用防火墻連續(xù)監(jiān)控網(wǎng)絡(luò)����。注意有使用SNMP的情況下,ARP的欺騙有可能導(dǎo)致陷阱包丟失���。
【HiPER用戶的解決方案】
建議用戶采用雙向綁定的方法解決并且防止ARP欺騙�����。
1���、在PC上綁定路由器的IP和MAC地址:
1)首先����,獲得路由器的內(nèi)網(wǎng)的MAC地址(例如HiPER網(wǎng)關(guān)地址192.168.16.254的MAC地址為0022aa0022aa)����。
2)編寫一個(gè)批處理文件rarp.bat內(nèi)容如下:
@echo off
arp -d
arp -s 192.168.16.254 00-22-aa-00-22-aa
將文件中的網(wǎng)關(guān)IP地址和MAC地址更改為您自己的網(wǎng)關(guān)IP地址和MAC地址即可。
將這個(gè)批處理軟件拖到“windows--開始--程序--啟動(dòng)”中�。
3)如果是網(wǎng)吧,可以利用收費(fèi)軟件服務(wù)端程序(pubwin或者萬象都可以)發(fā)送批處理文件rarp.bat到所有客戶機(jī)的啟動(dòng)目錄���。Windows2000的默認(rèn)啟動(dòng)目錄為“C:/Documents and Settings/All Users「開始」菜單程序啟動(dòng)”���。
2、在路由器上綁定用戶主機(jī)的IP和MAC地址(440以后的路由器軟件版本支持):
在HiPER管理界面--配置--用戶管理中將局域網(wǎng)每臺(tái)主機(jī)均作綁定���。
您的位置:
更新時(shí)間:2009-12-18 
瀏覽次數(shù):1576
