真假ARP的防范区别以及解决方法(2)

　　3.极力推荐的方法.静态绑定.

　　ARP解决最有效的方法，就是从根本杜绝他的欺骗途径。

　　欺骗是通过ARP的动态实时的规则欺骗内网机器，所以我们把ARP全部设置为静态可以根本解决对内网PC的欺骗。

　　方法为：找到路由器的lan口的MAC地址，把MAC地址通过静态的方式帮定到每台PC上面。通过命令，ARP -S 可以实现。 首先，建立一个批处理文件。内容只有一行命令，“ARP -S 内网网关 网关的MAC地址 ”，例如：“ARP -S 192.168.1.1 00-13-32-33-12-11 ”.把批处理文件放到启动里面,这样每次开机都会执行这个文件,即使出现ARP欺骗,由于我们设置的是静态方式,PC也不会去理会欺骗的ARP.

　　如果设置成功会在PC上面通过执行 arp -a 可以看到相关的提示:

Internet Address Physical Address Type(注意这里)
192.168.1.1 00-0f-7a-05-0d-a4 static(静态)
一般不绑定,在动态的情况下:
Internet Address Physical Address Type
192.168.1.1 00-0f-7a-05-0d-a4 dynamic(动态)

　　ARP对路由的欺骗.

　　做了静态绑定之后,为什么还会掉线呢?还是ARP吗?不幸的是,还是ARP( ARP对路由欺骗).因为有种情况下的问题,没有得到解决.大家设想一下,现在的处理方法如果碰到欺骗者不是冒充网关,而是冒充内网的PC会如何呢?答案是掉线,冒充谁,谁掉线.因为路由器收到欺骗ARP后找不到你了,转发给你的信息全部给了欺骗者的机器啦... 我们在PC上面可以绑定网关.难道在路由上面也绑定PC吗? 答案是否定的,难道我内网每台PC的MAC地址都在路由里面绑定,累死了,而且几百个MAC地址看着就眼晕,而且如果有任何改动都需要调整路由器,几百条记录也太累了吧.针对这个问题对多台设备进行了测试,包括3个版本的软路由,欣X,侠X,艾X等等的产品(大家也想测试的话,给当地的厂家代理商说你要试用,简单啊).最终结果不尽人意．

　　ARP的问题这里基本都提到了,如果还有想法请大家提出来.我们一起讨论.......

　　后面在补充一种ARP欺骗的问题,他就是对交换机,很多带管理的交换机他们都有一张ARP表格需要维护,而且通过这张表来提高数据的交换效率.如果出现ARP欺骗,交换机就无法给目标IP发送数据啦,所以需要在交换机里面做静态ARP绑定.

标签：

版权申明：本站文章部分自网络，如有侵权，请联系：west999com@outlook.com
特别注意：本站所有转载文章言论不代表本站观点，本站所提供的摄影照片，插画，设计作品，如需使用，请与原作者联系，版权归原作者所有