如何防止服务器被ARP挂马

netfoxs · 发表于 2007-7-11 23:02:11

公司托管在电信机房的服务器最近经常被arp挂马，导致很多客户意见很大，安装arp防火墙效果好像也不是很好，不知道各位有什么比较好的解决方案？

我个人有下面这样的想法，不知道可不可行，请各位指正：
安装某个防火墙（如look n stop等），然后设置规则如下：
1. 允许本地发出去的 arp 数据包
2. 允许接收网关MAC发来的 ARP 数据包
3. 拒绝所有其他机器来的 ARP 数据包

以上只是设想，还没有在服务器上实验，大家说说是否可行

菜鸟人飞 · 发表于 2007-7-16 11:02:58

被ARP挂马，什么意思，麻烦netfoxs解释一下：）

你的服务器的IP段是怎么设置的？多台服务器都在一个IP段吗？
安装ARP防火墙后，你的服务器会大量发送ARP数据包，这样可能会导致别人认为你是攻击主机。
另外，楼主所说的规则，可能会存在一些漏洞，比如你只接收网关MAC来的ARP数据包，但如果现在存在伪造网关MAC的攻击，你的服务器仍然会遭受到这样的攻击。

建议楼主寻求电信帮助（问题出在他们一端，他们有这个责任），让其在你对应的IP段进行ARP攻击查找，查到源头，这样才能确保你服务器的安全。

土豆 · 发表于 2007-7-16 11:58:06

ARP挂马，新颖的说法，期待楼主解释

skyrdong · 发表于 2007-7-26 08:10:18

电信机房托管分配IP好像用VLAN的

zealotcc · 发表于 2007-7-26 08:36:56

楼主的意思是挂的马有arp攻击吗？

xndd · 发表于 2007-10-18 09:06:13

就是中了arp病毒吧

落落 · 发表于 2007-10-26 20:27:56

其实如果上的网站正规的话,基本上不用为这些事情担心的