也就是实现你的ip和mac绑定
具体命令,华为
普通的静态arp:
arp static ip-address mac-address
vlan内的静态arp:
arp static ip-address mac-address vid vlan-id interface interface-type interface-number
Cisco:
R1(config)#arp
ABCD IP address of ARP entry
vrf Configure static ARP for a Routing/Forwarding instance
R1(config)#arp 88991
HHH 48-bit hardware address of ARP entry
R1(config)#arp 88991 aaaaaa
arpa ARP type ARPA
sap ARP type SAP (HP's ARP type)
smds ARP type SMDS
snap ARP type SNAP (FDDI and TokenRing)
srp-a ARP type SRP (side A)
srp-b ARP type SRP (side B)
R1(config)#arp 88991 aaaaaa
R1(config)#do show run | b arp
arp 88991 00aa00aa00aa ARPA
!
!
mpls ldp router-id Loopback0
!
!
control-plane
!
!
!
!
!
!
line con 0
exec-timeout 0 0
logging synchronous
stopbits 1
line aux 0
stopbits 1
line vty 0 4
login
!
!
--More--解决的思路就是,摒弃这种动态更新ARP缓存的方式,改用由管理员静态指定的方式。在一个局域网中要实现正常的上网行为,就必须要保证两个方面通信正常,(1)主机(电脑)上的指向本地网关的IP+MAC正确;(2)网关(通常是路由)上,指向本地电脑的IP+MAC正确。根据上面两个原则,我们就可以保证所有主机和路由器的通信正常,就可以防止被欺骗而引起掉线。解决方案就是要做双向绑定;在本地所有电脑上绑定路由器的IP+MAC地址;在网关(路由器)上绑定所有电脑的IP+MAC地址。
1、如何在路由器上绑定所有主机(电脑)的IP+MAC地址;通常的,在路由器上绑定所有的主机的IP+MAC地址比较简单,艾泰科技甚至提供出了一键绑定所有主机IP+MAC地址的功能,只需要点击“全部绑定”就可以一次性绑定所有电脑的IP+MAC地址,如下图:
2、如何在主机上绑定网关(路由器)的IP+MAC地址;
1)首先,获得路由器的内网的MAC地址(例如HiPER网关地址19216816254的MAC地址为0022aa0022aa)。
2)打开记事本,编写一个批处理文件rarpbat,保存后缀名为bat,内容如下:
@echo off
arp -d
arp -s 19216816254 00-22-aa-00-22-aa
注意:将文件中的网关IP地址和MAC地址更改为您自己的网关IP地址和MAC地址。
3)将这个批处理软件拖到“windows--开始--程序--启动”中,保证Windows每次开机都可以执行这个批处理文件。
3、做完上面两个步骤后,双向绑定就已经完成了。
在运行里输入arp -a命令,查看你的ARP情况,
然后做个文本档,在里面输入
@echo off
arp -d
arp -s 1921681x
xx-xx-xx-xx-xx-xx
上面的x为你的IP地址
下面的X为你MAC地址
在输入arp -a你能看的到你的这些数据
然后把这个TXT文档重命名为BAT
放到Windows程序里有个开机启动,拖动到里面就可以了,这个为了防止别人利用一些网管工具篡改你的ARP达到每次启动时都自动刷新你的ARP和MAC,其实不用这么麻烦,在奇虎360安全卫士实时保护里有一个绑定的功能
打开奇虎360安全卫士主面板后,你能看到有一个实时保护的选项,然后点开后,看到有个设置,看到下面功能设置里有4个选项:
系统防火墙,
ARP防火墙,
保护360卫士,
360主动防御服务
点开第二个ARP防火墙
然后点手动绑定网关
然后根据你的IP/MAC/网关去设置就好了
网关一般为你默认网关 如19216811
也可以设置其他的,不过相应的要改MAC地址。
给你看下我的设置吧。如下
确实ARP攻击很郁闷的,能防御网速也降下来了
因为这个攻击对路由器实在是造成了很大负载。
资源都浪费了,建议大家如果是为了恶意控制别人的网络的话,最好还是别用,另外说下彩影ARP防火墙还是蛮好用的,能抵御ARP攻击,比360和金山要好,个人感觉。
有免费版本也有收费版本
用户计算机所在网段:运行cmd,输入ipconfig命令,查出用户正常分配到的IP地址:本机IP和网关IP然后查询网关的MAC地址在cmd窗口中输入以下命令arp –d //清空ARP缓存arp -s “网关IP”(无引号) “网关mac(无引号)” //静态绑定网关MAC地址arp –a //查看ARP缓存记录如果不想开机就失效编写一个简单的批处理文件然后让它每次开机时自动运行,批处理文件如下:@echo offecho 'arp set'arp -darp -s 网关IP 网关MACexit 查看原帖>>思科(cisco)路由器的ip地址与mac地址绑定的命令是:arp ip地址 mac地址 arpa。
如局域网某一用户的IP地址为:202196191190,MAC地址为:001040bcb54e,在Cisco的路由器或交换机的路由模块上使用命令:
如何查看IP地址对应的MAC地址在CMD命令提示符下输入“ipconfig /all”。
自己做绑定一般在计算机上来 *** 作如windowsXP *** 作系统用arp -s 19216801 00-00-00-00-00-00命令完成;“19216801”指网关的IP地址,“00-00-00-00-00-00”指网关的mac地址,网关的mac地址用arp -a命令可以看到,这种绑定是静态的,但在系统重起后会失效。
如果是windows Vista *** 作系统则麻烦一点,先用netsh i i show in来查看你的本地连接的的Idx(编号),再用netsh -c "i i" add neighbors 9 "19216801" "00-00-00-00-00-00",“9”是本地连接的编号,不同计算机编号不同;这种绑定也是静态的,而且计算机重起步会失效。
以上的方法都能对arp欺骗起到一定防护作用。
启用DHCP的思科路由器上做ARP绑定方法:
1、进入路由器:打开浏览器-输入19216811(一般路由器地址是这个)进路由器登录界面。
2、输入正确的用户名和密码进入路由器管理后台。
3、我们要先查看已有的IP和对应在的MAC地址栏。点击左侧的“DHCP服务器”,选择“客户端列表”,记下右边显示的对应的IP和MAC地址,这个一定要记正确。
4、再点击左侧的“静态地址分配”链接,在右边点击“添加新条目”按钮。
5、在右边输入正确的对应的MAC和IP地址,再将“状态”选择为“生效”,再单击“保存”按钮保存。
欢迎分享,转载请注明来源:内存溢出
微信扫一扫
支付宝扫一扫
评论列表(0条)