系统集成论坛

标题: IDC机房防ARP攻击方法 [打印本页]

作者: 思考的牛 时间: 2011-5-31 16:35
标题: IDC机房防ARP攻击方法
给IDC客户的一些建议：

由于机房客户复杂（主要是小客户增加了很多，这些小客户的技术水平参差不齐，如：有的客户没有给系统打补丁，有的杀毒软件没有升级，有的没有安装防火墙。给机房的其他用户带来了很大的困扰），从多方面考虑，给出以下建议：

（1）使用稳定、高版本的操作系统

如：windows2003，linux内核在2.4以上。

（2）及时更新系统的补丁

（3）不要打开没有必要的服务

（4）安装杀毒软件，并及时更新病毒库

   ·IDC机房提供网络版杀毒服务器（增值业务）

   ·客户自己安装

（5）安装防火墙，最好安装具有针对客户服务器业务的防火墙

如：arp防火墙

（6）建议双向mac绑定

向客服申请。

=================================================================================

处理arp攻击的一般思路

【arp攻击交换机路由表】故障主机的IP--->mac---->arp病毒宿主的IP---->封mac

（1）故障主机的IP发现途径

·what's up（提供完整易用的监控机制，全方位监控应用服务与网络设备）

      #show ip arp vlan1                //显示同一vlan内的mac、vlan

   ·受攻击的客户报障；

   #show ip arp（ip||mac）                      //显示对应的mac或ip

（2）通过此故障ip查找造成此故障的mac

（3）通过mac查找造成此次故障的ip（主机）

   备份的mac与ip对应表查看ip

（4）封掉此mac（关端口&&拔网线）

（5）通知客户、客服、5680

（6）clear arp

=================================================================

查看· arp 源 mac

>show interfaces description       //显示所有端口、状态、协议、描述、vlan

#show run int f0/1                         //显示一个端口的描述、vlan、模式、IP

#show ip int brief                               //vlan、IP、port

--------------------------------------------------------------------------------------

#show ip arp vlan1                            //显示同一vlan内的mac、vlan

---------------------------------------------------------------------------------------------

#show ip arp（ip||mac）                      //显示对应的mac或ip

--------------------------------------------------------------------------------------------------------------

#show arp | inc 10.1.1.168                      //显示此ip对应的mac、vlan

--------------------------------------------------------------------------------------------------------------

#show mac-address-table | include aaaa.bbbb.cccc    //mac、动态、端口

--------------------------------------------------------------------------------------------------------

====================================================================

封·解封(mac)

（1）在三层设备

   #show ip arp | inc 10.11.12.13    //找到此ip对应的mac

（2）在二层设备

#config t

#f0/9

#mac access-list extended qu6zhi                //列表

#mac access-group san-xi-yi-ze in             //生效

-----------------------------------------------------------------------------------------------------------------------

#no mac access-group san-xi-yi-ze in       //失效

欢迎光临系统集成论坛 (http://bbs.xtjc.com/)