请教解决ARP攻击

lg010011

add name="IP" source=":foreach i in=\[/ip arp find dynamic=yes \] do={/ip arp \
add copy-from=\$i}\n\n" \
policy=ftp,reboot,read,write,policy,test,winbox,password

lg010011

上面是防ARP的脚步，下面是网上摘抄的

1、在ROS里绑定所有的工作站的IP和MAC
2、把内网卡模式改成reply-only
3、把内网段里没用的IP的MAC全部绑成00000000000，防止IP欺骗。
4、在SNAT里指定内网段的IP段
5、如果主干交换机带管理功能，则把ROS主机的IP MAC 端口绑定，并且关掉交换MAC的自动学习功能，把局域网里所有的IP和MAC设成静态列表，需手工添加进去。
6、以上几步就能防住ROS不掉线了，工作站此时只需要装一个防ARP的软件，适时刷新正确的网关，就能保证工作站也不掉线了。

由于没有用软路由的经验，所以抱歉只能给予你这样的答复。

PS：我公司用的是Symantec的物防和服务器版杀软，而且每部机都装了360，暂时没发现ARP攻击现象，仅作参考

tonygto22

可以叫你们机器都去装个ARP防火墙 人口 全都锁定IP

lb525359

下载个360！再把ARP防火墙打开就可以了

sssoyy525

我用个ARP防火墙就OK了

s.beakham

目前防ARP攻击有几种方式:
1;IP+MAC地址绑定,最好在接入交换机上操作;
2;通过第三方软件对ARP进行防护;
3;目前主流的几个交换机产品都支持防护ARP攻击的功能;只是治标不治本;可以缓减局域网的ARP病毒;

passing0307

刚来这个公司半个月。发现公司只有一个很破很破的小型路由器，就是那种300块一个的，公司上网受到其瓶颈限制，无法快速上网，而且偶尔还会有ARP攻击，闹心啊。最后东拼西凑找了一台赛扬1.0的机器，装上了ros软路由，可是在ros里面做了帮顶ARP+mac之后ARP攻击更加严重了。最后无奈只好让公司同事全部拨号上网，可是这种方法很麻烦。请各位大侠有好的办法没有？还有限速。。