【解決思路】
1,、不要把你的網(wǎng)絡安全信任關系建立在IP基礎上或MAC基礎上,(rarp同樣存在欺騙的問題),,理想的關系應該建立在IP+MAC基礎上,。
2、設置靜態(tài)的MAC-->IP對應表,,不要讓主機刷新你設定好的轉(zhuǎn)換表,。
3、除非很有必要,,否則停止使用ARP,,將ARP做為*條目保存在對應表中。
4,、使用ARP服務器,。通過該服務器查找自己的ARP轉(zhuǎn)換表來響應其他機器的ARP廣播。確保這臺ARP服務器不被黑。
5,、使用"proxy"代理IP的傳輸,。
6、使用硬件屏蔽主機,。設置好你的路由,,確保IP地址能到達合法的路徑。(靜態(tài)配置路由ARP條目),,注意,,使用交換集線器和網(wǎng)橋無法阻止ARP欺騙。
7,、管理員定期用響應的IP包中獲得一個rarp請求,然后檢查ARP響應的真實性,。
8,、管理員定期輪詢,檢查主機上的ARP緩存,。
9,、使用防火墻連續(xù)監(jiān)控網(wǎng)絡。注意有使用SNMP的情況下,,ARP的欺騙有可能導致陷阱包丟失,。
【HiPER用戶的解決方案】
建議用戶采用雙向綁定的方法解決并且防止ARP欺騙。
1,、在PC上綁定路由器的IP和MAC地址:
1)首先,,獲得路由器的內(nèi)網(wǎng)的MAC地址(例如HiPER網(wǎng)關地址192.168.16.254的MAC地址為0022aa0022aa)。
2)編寫一個批處理文件rarp.bat內(nèi)容如下:
@echo off
arp -d
arp -s 192.168.16.254 00-22-aa-00-22-aa
將文件中的網(wǎng)關IP地址和MAC地址更改為您自己的網(wǎng)關IP地址和MAC地址即可,。
將這個批處理軟件拖到“windows--開始--程序--啟動”中,。
3)如果是網(wǎng)吧,可以利用收費軟件服務端程序(pubwin或者萬象都可以)發(fā)送批處理文件rarp.bat到所有客戶機的啟動目錄,。Windows2000的默認啟動目錄為“C:/Documents and Settings/All Users「開始」菜單程序啟動”,。
2、在路由器上綁定用戶主機的IP和MAC地址(440以后的路由器軟件版本支持):
在HiPER管理界面--配置--用戶管理中將局域網(wǎng)每臺主機均作綁定,。
