一.首先給大家說說什麼是ARP
ARP(Address Resolution Protocol)是地址解析協議,是一種將IP地址轉化成物理地址的協議。從IP地址到物理地址的映射有兩種方式:表格方式和非表格方式。ARP具體說來就是將網絡層(IP層,也就是相當於OSI的第三層)地址解析為數據連接層(MAC層,也就是相當於OSI的第二層)的MAC地址。
ARP原理:某機器A要向主機B發送報文,會查詢本地的ARP緩存表,找到B的IP地址對應的MAC地址後,就會進行數據傳輸。如果未找到,則廣播A一個ARP請求報文(攜帶主機A的IP地址Ia——物理地址Pa),請求IP地址為Ib的主機B回答物理地址Pb。網上所有主機包括B都收到ARP請求,但只有主機B識別自己的IP地址,於是向A主機發回一個ARP響應報文。其中就包含有B的MAC地址,A接收到B的應答後,就會更新本地的ARP緩存。接著使用這個MAC地址發送數據(由網卡附加MAC地址)。因此,本地高速緩存的這個ARP表是本地網絡流通的基礎,而且這個緩存是動態的。
二.arp攻擊的處理
1. 服務器上架會進行安全排查,包括系統漏洞掃描,免費安裝殺毒軟件和防火牆,敏感端口屏蔽,修改默認遠程端口,提供第3方遠程軟件,例如pcanywhere和remoteadmin。
2. 免費安裝arp防火牆,並進行arp綁定,包括2個方面,1,服務器的網關mac綁定,2,交換機的ipmac綁定
3.如果出現了arp攻擊,會對攻擊的機器實行斷網處理,然後通知客戶維護,直到確認處理完成,再重新接入網絡,並對arp攻擊ip進行備案。
4.大帶寬獨享用戶,會劃分單獨的vlan,隔絕arp的攻擊包
分享到:
閱讀更多 安防人 的文章
