刚刚搞定arp病毒，真是麻烦啊，还好有个比较好的级联交换机

hp12514 · 发表于 2006-12-28 09:48:56

马上注册，结交更多好友，享用更多功能，让你轻松玩转社区。

您需要登录才可以下载或查看，没有账号？注册

×

前几天在内网速度好慢，sniffer抓包看看大量的广播报文占总流量的35％全部是 arp请求及其回应。交换机学习到大量的虚假MAC地址。最后决定使用华为3026级联交换机的用户自定义访问控制列表对arp 以太网帧进行过滤。原则是所有的arp请求包目的地址不是网关的全部抛弃，arp响应包不是发自网关mac地址的全部抛弃。呵呵，效果还不错。有同样arp问题的网管可以试一下

pknimda · 发表于 2006-12-28 09:51:22

不熟悉华为设备，现在是不是3com了？

请问 2126、5024是否支持你说的过滤？

汉字 · 发表于 2006-12-28 10:55:46

简单方法是划vlan,最好一户划一个vlan。要毒只毒得到他自己

cliex · 发表于 2006-12-28 10:58:52

如果划了Vlan。那么langame都连不上。这个方案个人感觉不可取。

风中的云 · 发表于 2006-12-28 11:40:23

如果是网吧就杀毒，如果是小区宽带就划vlan，用pppoe

tpy372 · 发表于 2006-12-28 13:04:06

网吧也可以ppooe

hp12514 · 发表于 2006-12-28 13:10:27

我也划了Vlan了，但是vlan的划分并不能减少在ROS的LAN口的广播包的数量因为所有的广播包最终都会汇聚到ROS的LAN口，进行包过滤才是最有效的方法

naboo · 发表于 2006-12-28 15:36:45

端口+MAC+IP绑定，交换上作简单的ACL处理，内网杀毒，建立完善的上网登录制度。

pknimda · 发表于 2006-12-28 23:23:48

土办法处理arp：
先把所有机器的mac、ip和交换机端口登记在案，做一张excel表
怀疑有arp时，用个sniffer看看哪些机器干的好事，根据上表shutdown端口或者拔掉网线，然后单机杀毒

专卖精品 · 发表于 2006-12-28 23:27:33

原帖由 pknimda 于 2006-12-28 23:23 发表
土办法处理arp：
先把所有机器的mac、ip和交换机端口登记在案，做一张excel表
怀疑有arp时，用个sniffer看看哪些机器干的好事，根据上表shutdown端口或者拔掉网线，然后单机杀毒

据说ARP可以攻击交换机

naboo · 发表于 2006-12-29 08:49:37

精品兄，哪里说ARP可以攻击交换机？？

hp12514 · 发表于 2006-12-29 09:14:50

arp病毒会伪造大量的arp应答包，包中的MAC 地址都是伪造的。会被交换机学习到，如果交换机的arp表容量有限，你想想结果会怎样

ssffzz1 · 发表于 2006-12-29 10:18:47

原帖由 hp12514 于 2006-12-29 09:14 发表
arp病毒会伪造大量的arp应答包，包中的MAC 地址都是伪造的。会被交换机学习到，如果交换机的arp表容量有限，你想想结果会怎样

撑的不死也神智不清,会乱发包的.

naboo · 发表于 2006-12-29 12:46:35

我不写了么，port+mac+ip绑定，交换机建立静态地址表，作简单ACL列表，还攻击啥呀！？

早就说过，几百块钱的“交换机（就是HUB）”不行，影响生产～～不能用。

webjump · 发表于 2006-12-29 17:58:09

原帖由 naboo 于 2006-12-29 12:46 发表
我不写了么，port+mac+ip绑定，交换机建立静态地址表，作简单ACL列表，还攻击啥呀！？

早就说过，几百块钱的“交换机（就是HUB）”不行，影响生产～～不能用。

可惜没普通千兆的交换机支持此功能，有此功能的千兆的交换机又太贵。

账号		自动登录	找回密码
密码			注册

[其它] 刚刚搞定arp病毒，真是麻烦啊，还好有个比较好的级联交换机

马上注册，结交更多好友，享用更多功能，让你轻松玩转社区。