请教关于ARP的问题

chencheng14 · 发表于 2007-5-30 08:46:17

对于伪造客户机地址而达到欺骗网关的目的，造成一些客户机要换IP上网的情况，好像在客户机上检测不到有欺骗，对于这种情况应该怎么样监控病毒主机呢？在网关上用ARP -a可以吧，但这样的方法有一定的时效性，不能记录长点的时间的，请问还有什么方法呢？？再有如果进行双绑，对于哪一种ARP的攻击是没有用的呢？？？？就被ARP烦死了，盼望高手们指教下，先多谢了。

ValorZ · 发表于 2007-5-30 09:35:17

如果确实双向绑定了，那么你就免疫arp病毒了

chencheng14 · 发表于 2007-5-30 09:59:32

由于某些原因，我只能在一部分机上进行双绑，所以想监控其它没有双绑的机有没有进行欺骗，请问有什么办法么？再有听说现在有的ARP连双绑也没作用了啊

ValorZ · 发表于 2007-5-30 10:26:21

原帖由 chencheng14 于 2007-5-30 09:59 发表
由于某些原因，我只能在一部分机上进行双绑，所以想监控其它没有双绑的机有没有进行欺骗，请问有什么办法么？再有听说现在有的ARP连双绑也没作用了啊

从arp原理上来说，双绑正确就能免疫arp病毒。

这里所说的免疫是指不会被其他中arp病毒的计算机攻击。不是说不会中arp病毒。

roylong · 发表于 2007-5-30 11:21:01

如果无法对所有的主机进行ARP绑定
就和我一样，嘿
那可以在出现用户报告的时候检查路由器，交换机上面的MAC表，消极的
或者安装ARP单机防火墙，这个目前有破解版的
安装后常见的ARP包括对单机和网关的攻击都可以防御，还可以对找到中毒单机有帮助

推荐

chencheng14 · 发表于 2007-5-30 15:15:58

多谢了，楼上的兄弟，请教下，装上ARP防火墙单机版好像不能防止对网关的欺骗啊，至少我的情况是这样，还有如果有没有时间限制的单机版能不能发份给我，我找不到，我的邮箱是chencheng14@21cn.com

chencheng14 · 发表于 2007-5-30 17:22:03

再有怎么可以监测到中毒的机子啊，因为不能时时守在服务器上啊。

跟随你的心 · 发表于 2007-5-30 20:20:44

在路由上绑定！这样就差不多了，IP与MAC绑定！

roylong · 发表于 2007-5-30 22:35:42

arp单机防火墙可以防御对网关的攻击
这个我试验过，没问题的

你可以调整下主动防御的模式