一种新思路的ARP欺骗攻击的防范

四、ARP攻击防范措施

1.防范措施一，安装360ARP防火墙、瑞星防火墙、AntiARP防火墙或其他具有防范ARP攻击的防火墙。

2.防范措施二，在SOHO、宽带、网吧专用路由器上设置IP与MAC地址绑定，防止ARP攻击。

（1）进入路由器WEB页面，通过"ARP映射表"可以批量导入计算机IP地址与MAC地址对应信息，进行绑定操作。

（2）通过"静态ARP绑定设置"，可以启用和编辑"ARP绑定"。

3.防范措施三，网管员可以通过二层或三层交换机设置，将IP和MAC地址进行绑定，可以防止用户进行恶意的ARP欺骗，下面以锐捷二层交换机RG-S2328G为例介绍。

「配置命令」

4.防范措施四，网管员可以通过措施三防止ARP欺骗，但需要在每个接入端口上配置地址绑定，工作量过大，因此可以考虑采用交换机DAI功能解决ARP欺骗攻击的问题。DAI（动态ARP检测），交换机的DAI功能可以检查端口收到的ARP报文的合法性，并可以丢弃非法的ARP报文，防止ARP欺骗攻击。交换机DAI技术，是以DHCP Snooping的绑定表为基础，对于没有使用DHCP的服务器个别机器，采用静态添加ARP实现。下面以锐捷三层交换机RG-S3760-24和二层交换机RG-S2328G为例介绍（两台交换机均支持DHCP与DAI），图3所示。

「配置步骤」

（1）配置DHCP服务器将一台PC配置为DHCP服务器，可以使用Windows server配置DHCP服务器，或第三方DHCP服务器软件。DHCP服务器中的地址池为172.16.1.0/24.

（2）交换机RG-S2328G基本配置及DHCP监听配置（接入层）。