刚刚搞定arp病毒,真是麻烦啊,还好有个比较好的级联交换机
前几天在内网速度好慢,sniffer抓包看看大量的广播报文占总流量的35%全部是 arp请求及其回应。交换机学习到大量的虚假MAC地址。最后决定使用华为3026级联交换机的用户自定义访问控制列表对arp 以太网帧进行过滤。原则是所有的arp请求包目的地址不是网关的全部抛弃,arp响应包不是发自网关mac地址的全部抛弃。呵呵,效果还不错。有同样arp问题的网管可以试一下 不熟悉华为设备,现在是不是3com了?请问 2126、5024是否支持你说的过滤? 简单方法是划vlan,最好一户划一个vlan。要毒只毒得到他自己 如果划了Vlan。那么langame都连不上。这个方案个人感觉不可取。 如果是网吧就杀毒,如果是小区宽带就划vlan,用pppoe 网吧也可以ppooe 我也划了Vlan了,但是vlan的划分并不能减少在ROS的LAN口的广播包的数量因为所有的广播包最终都会汇聚到ROS的LAN口,进行包过滤才是最有效的方法 端口+MAC+IP绑定,交换上作简单的ACL处理,内网杀毒,建立完善的上网登录制度。:victory: 土办法处理arp:
先把所有机器的mac、ip和交换机端口登记在案,做一张excel表
怀疑有arp时,用个sniffer看看哪些机器干的好事,根据上表shutdown端口或者拔掉网线,然后单机杀毒 原帖由 pknimda 于 2006-12-28 23:23 发表
土办法处理arp:
先把所有机器的mac、ip和交换机端口登记在案,做一张excel表
怀疑有arp时,用个sniffer看看哪些机器干的好事,根据上表shutdown端口或者拔掉网线,然后单机杀毒
据说ARP可以攻击交换机 精品兄,哪里说ARP可以攻击交换机?? arp病毒会伪造大量的arp应答包,包中的MAC 地址都是伪造的。会被交换机学习到,如果交换机的arp表容量有限,你想想结果会怎样 原帖由 hp12514 于 2006-12-29 09:14 发表
arp病毒会伪造大量的arp应答包,包中的MAC 地址都是伪造的。会被交换机学习到,如果交换机的arp表容量有限,你想想结果会怎样
撑的不死也神智不清,会乱发包的. 我不写了么,port+mac+ip绑定,交换机建立静态地址表,作简单ACL列表,还攻击啥呀!?
早就说过,几百块钱的“交换机(就是HUB)”不行,影响生产~~不能用。 原帖由 naboo 于 2006-12-29 12:46 发表
我不写了么,port+mac+ip绑定,交换机建立静态地址表,作简单ACL列表,还攻击啥呀!?
早就说过,几百块钱的“交换机(就是HUB)”不行,影响生产~~不能用。
可惜没普通千兆的交换机支持此功能,有此功能的千兆的交换机又太贵。
页:
[1]
2