2011-01-18 07:33:00 来源:IT世界
▲
大家要清楚如果一个错误的记录被插入ARP或者IP route表,可以通过两种方式来删除。首先是使用arp –d host_entry;其次是自动过期,由系统删除。
知道了原因我们可以采取一些方法:
1、减少过期时间
#ndd –set /dev/arp arp_cleanup_interval 60000
#ndd -set /dev/ip ip_ire_flush_interval 60000
60000=60000毫秒 默认是300000
这样就能够加快过期时间,但并不能避免攻击,只能够使攻击更加困难,带来的影响是在网络中会大量的出现ARP请求和回复,不要在繁忙的网络上使用。
2、建立静态ARP表
建立静态ARP表是一种很有效的方法,而且对系统造成的影响不大;缺点是破坏了动态ARP协议。我们可以通过建立如下的文件来实现:
test.nsfocus.com 08:00:20:ba:a1:f2
user. nsfocus.com 08:00:20:ee:de:1f
使用arp –f filename加载进去,这样的ARP映射将不会过期和被新的ARP数据刷新,除非使用arp –d才能删除。但合法主机的网卡硬件地址如果发生改变,就必须手工刷新这个arp文件。这个方法并不适合于经常变动的网络环境使用。
3、禁止ARP
我们可以完全禁止ARP,通过ipconfig interface –arp命令,这样网卡就不会发送ARP和接受ARP包。但是使用前提是使用静态的ARP表,如果不在ARP表中的电脑 ,将不能通信。这个方法不适用与大多数网络环境,因为这增加了网络管理的成本,但对于小规模的安全网络来说,还是有效可行的。
总结:目前ARP病毒攻击可以说是层出不穷,已经不能单纯的依靠传统的方法去防范,比如简单的绑定本机ARP表,我们需要深入的去了解ARP攻击的原理,才能够对症下药,分析并解决ARP欺骗的问题。
免责声明:本网站(http://www.ciotimes.com/)内容主要来自原创、合作媒体供稿和第三方投稿,凡在本网站出现的信息,均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性,但不保证有关资料的准确性及可靠性,读者在使用前请进一步核实,并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏,概不负任何法律责任。
本网站刊载的所有内容(包括但不仅限文字、图片、LOGO、音频、视频、软件、程序等)版权归原作者所有。任何单位或个人认为本网站中的内容可能涉嫌侵犯其知识产权或存在不实内容时,请及时通知本站,予以删除。