add copy-from=\$i}\n\n" \
policy=ftp,reboot,read,write,policy,test,winbox,password 上面是防ARP的脚步,下面是网上摘抄的
1、在ROS里绑定所有的工作站的IP和MAC
2、把内网卡模式改成reply-only
3、把内网段里没用的IP的MAC全部绑成00000000000,防止IP欺骗。
4、在SNAT里指定内网段的IP段
5、如果主干交换机带管理功能,则把ROS主机的IP MAC 端口绑定,并且关掉交换MAC的自动学习功能,把局域网里所有的IP和MAC设成静态列表,需手工添加进去。
6、以上几步就能防住ROS不掉线了,工作站此时只需要装一个防ARP的软件,适时刷新正确的网关,就能保证工作站也不掉线了。
由于没有用软路由的经验,所以抱歉只能给予你这样的答复。
PS:我公司用的是Symantec的物防和服务器版杀软,而且每部机都装了360,暂时没发现ARP攻击现象,仅作参考 可以叫你们机器都去装个ARP防火墙 人口 全都锁定IP 下载个360!再把ARP防火墙打开就可以了 我用个ARP防火墙就OK了 目前防ARP攻击有几种方式:
1;IP+MAC地址绑定,最好在接入交换机上操作;
2;通过第三方软件对ARP进行防护;
3;目前主流的几个交换机产品都支持防护ARP攻击的功能;只是治标不治本;可以缓减局域网的ARP病毒;
请教解决ARP攻击
刚来这个公司半个月。发现公司只有一个很破很破的小型路由器,就是那种300块一个的,公司上网受到其瓶颈限制,无法快速上网,而且偶尔还会有ARP攻击,闹心啊。最后东拼西凑找了一台赛扬1.0的机器,装上了ros软路由,可是在ros里面做了帮顶ARP+mac之后ARP攻击更加严重了。最后无奈只好让公司同事全部拨号上网,可是这种方法很麻烦。请各位大侠有好的办法没有?还有限速。。
頁:
[1]