今天主机访问一度出现中断,据网管检测发现某同网段主机进行ARP欺骗攻击,为了防范该攻击,网管建议进行MAP和IP绑定,在网上查了一下,参照[1]进行了以下配置:
目标
将本主机的网关的IP和MAC地址进行绑定,静态存储在ARP缓存地址表中,这样就不用再进行ARP解析了,假设网关IP和MAC地址分别是:192.168.1.1和00:02:B3:38:08:62。
检查ARP缓存地址表
分别使用命令arp和arp -a,检查当前缓存了哪些IP-MAC映射关系,有没有静态绑定关系,使用arp命令显示的列表中,如果出现标志:
- C:表示arp高速缓存中的条目
- M:表示静态的arp条目
建立地址绑定表
使用下面的命令建立一个地址绑定表文件,以方便后续步骤的设定。
[root@ftpsvr ~]# echo '192.168.1.1 00:02:B3:38:08:62 ' > /etc/ip-mac
[root@ftpsvr ~]# more /etc/ip-mac
192.168.1.1 00:02:B3:38:08:62
[root@ftpsvr ~]# more /etc/ip-mac
192.168.1.1 00:02:B3:38:08:62
设置开机自动绑定
在/etc/rc.local中增加下面一行
arp -f /etc/ip-mac
手动执行绑定
[root@ftpsvr ~]# arp -f /etc/ip-mac
确认绑定是否成功
使用arp命令查看是否出现了M标志,使用arp -a命令查看是否出现PERM标志。
其它操作
- 清除ARP缓存:arp -d
- 添加信任主机:将被信任的主机的IP和MAC绑定关系增加到ip-mac文件中
