监控安装 ERP

系统集成论坛

 找回密码
 注册通行证

QQ登录

只需一步,快速开始

路由器交换机防火墙系统集成商城 优质产品采购平台
查看: 1899|回复: 0
打印 上一主题 下一主题

IDC机房防ARP攻击方法

[复制链接]
跳转到指定楼层
1
发表于 2011-5-31 16:35:28 | 只看该作者 回帖奖励 |正序浏览 |阅读模式
华为金牌代理
给IDC客户的一些建议:


由于机房客户复杂(主要是小客户增加了很多,这些小客户的技术水平参差不齐,如:有的客户没有给系统打补丁,有的杀毒软件没有升级,有的没有安装防火墙。给机房的其他用户带来了很大的困扰),从多方面考虑,给出以下建议:

(1)使用稳定、高版本的操作系统

如:windows2003,linux内核在2.4以上。

(2)及时更新系统的补丁

(3)不要打开没有必要的服务

(4)安装杀毒软件,并及时更新病毒库

     ·IDC机房提供网络版杀毒服务器(增值业务)

     ·客户自己安装

(5)安装防火墙,最好安装具有针对客户服务器业务的防火墙

如:arp防火墙

(6)建议双向mac绑定

向客服申请。

=================================================================================


处理arp攻击的一般思路



【arp攻击交换机路由表】故障主机的IP--->mac---->arp病毒宿主的IP---->封mac


(1)故障主机的IP发现途径

    ·what's up(提供完整易用的监控机制,全方位监控应用服务与网络设备)

        #show ip arp vlan1                 //显示同一vlan内的mac、vlan

     ·受攻击的客户报障;

      #show ip arp(ip||mac)                       //显示对应的mac或ip

(2)通过此故障ip查找造成此故障的mac

(3)通过mac查找造成此次故障的ip(主机)

      备份的mac与ip对应表查看ip

(4)封掉此mac(关端口&&拔网线)

(5)通知客户、客服、5680

(6)clear arp


=================================================================

查看· arp 源 mac


>show interfaces description         //显示所有端口、状态、协议、描述、vlan

#show run int f0/1                          //显示一个端口的描述、vlan、模式、IP

#show ip int brief                                //vlan、IP、port

--------------------------------------------------------------------------------------

#show ip arp vlan1                             //显示同一vlan内的mac、vlan

---------------------------------------------------------------------------------------------

#show ip arp(ip||mac)                         //显示对应的mac或ip

--------------------------------------------------------------------------------------------------------------

#show arp | inc 10.1.1.168                        //显示此ip对应的mac、vlan

--------------------------------------------------------------------------------------------------------------


#show mac-address-table | include aaaa.bbbb.cccc       //mac、动态、端口

--------------------------------------------------------------------------------------------------------


====================================================================


封·解封(mac)



(1)在三层设备

     #show ip arp | inc 10.11.12.13       //找到此ip对应的mac




(2)在二层设备

    #config t

    #f0/9

    #mac access-list extended qu6zhi                 //列表

    #mac access-group san-xi-yi-ze in               //生效

-----------------------------------------------------------------------------------------------------------------------


    #no mac access-group san-xi-yi-ze in         //失效
我分享,我成长!系统集成 XTJC.COM
您需要登录后才可以回帖 登录 | 注册通行证

本版积分规则

联系我们| 手机版|系统集成论坛 ( 京ICP备11008917号 )

GMT+8, 2024-11-23 15:30 , Processed in 0.105304 second(s), 28 queries .

系统集成论坛

BBS.XTJC.COM

快速回复 返回顶部 返回列表