從現(xiàn)在的網(wǎng)絡連接通暢de方式來看，ARP欺騙分為二種，一種是對路由器ARP表de欺騙；另一種是對內(nèi)網(wǎng)PCde網(wǎng)關欺騙。第一種ARP欺騙de原理是 ——截獲網(wǎng)關數(shù)據(jù)。它通知路由器一系列錯誤de內(nèi)網(wǎng)MAC地址，并按照一定de頻率不斷進行，使真實de地址信息無法通過更新保存在路由器中，結果路由器 de所有數(shù)據(jù)只能發(fā)送給錯誤deMAC地址，造成正常PC無法收到信息。第二種ARP欺騙de原理是——偽造網(wǎng)關。它de原理是建立假網(wǎng)關，讓被它欺騙 dePC向假網(wǎng)關發(fā)數(shù)據(jù)，而不是通過正常de路由器途徑上網(wǎng)。在PC看來，就是上不了網(wǎng)了，“網(wǎng)絡掉線了”。
基于以上兩種ARP欺騙de方式，我公司在上海電信外高橋數(shù)據(jù)中心采用獨立網(wǎng)段加上雙向綁定de方法設立了防ARP欺騙攻擊專區(qū)，拓樸結構示意圖如下：
ARP欺騙攻擊防護實現(xiàn)方式:
外部防護
1、此防護區(qū)域使用獨立計算機網(wǎng)關，從電信路由層以獨立VLANde物理結構方式接入，與其他非防護區(qū)域服務器完全隔離
內(nèi)部防護
2、防護專區(qū)中心交換機以機柜為單位劃分VLAN，保證機柜之間無法直接通信，防（更多電腦知識，計算機基礎知識入門，請到http://www.pc6c.com電腦知識網(wǎng)）止機柜之間deARP 欺騙攻擊。防護專區(qū)中心交換機進行 IP段—MAC---交換機端口 配對綁定，服務器只能在指定交換機機柜和指定交換機端口使用,防止內(nèi)部ARP攻擊機截獲網(wǎng)關數(shù)據(jù)，進行欺騙攻擊。
3、機柜交換機進行 IP—MAC—交換機端口 配對綁定，服務器只能在指定交換機端口使用，防止內(nèi)部ARP攻擊機發(fā)送虛假IP 地址，虛假MAC地址，偽造網(wǎng)關，進行欺騙攻擊。
4、機柜交換機進行 網(wǎng)關IP—網(wǎng)關MAC 靜態(tài)綁定，為機柜內(nèi)部服務器提供靜態(tài)de網(wǎng)關MaC地址解析。
ARP欺騙攻擊防護de實現(xiàn)方式介紹就為大家介紹完了，希望大家已經(jīng)掌握了。