问题描述:
有没有软件能管理的,人员流动性太大了,不太好管理,各位有没有什么好的方案共享一下
问题解答:
在企业局域网中,恐怕网管员经常遇到的一个问题是:局域网ARP攻击。ARP攻击具有巨大的危害,将会使得局域网电脑大面积掉线,严重影响员工上网,也导致企业信息化系统无法正常运转,从而间接影响了单位的经常的生产和经营活动。为此,企业局域网必须严防ARP攻击行为、防范ARP欺骗,防止ARP攻击导致的断网现象。
那么,什么是ARP攻击、ARP欺骗呢?ARP攻击的原理其实就是攻击主机会向局域网电脑广播一个错误的ARP信息,一般而言发送的ARP攻击包不外乎攻击者的MAC地址加上网关的IP地址,这样局域网电脑在受到这种ARP攻击报文时,会更新自己电脑的ARP表项,然后就认为攻击源主机的MAC地址就是网关的MAC地址,由于局域网通讯是通过MAC地址来进行传输的,因此受到ARP攻击的电脑就会将报文发送到发动ARP攻击的电脑上了,然后攻击源主机就会获取被攻击电脑的所有上网报文,然后再通过一定的技术手段解析出报文里面的具体信息,如密码、口令等;当然,大多数ARP攻击行为是为了控制电脑的数据包的发送进而控制电脑的上网速度,达到限制局域网电脑网速,然后独占上网流量的目的。此外,一些恶意的ARP攻击行为会伪造一个错误的MAC地址然后广播给局域网所有的电脑,然后让局域网受到攻击的电脑将公网报文发送到一个不存在的MAC地址,从而达到使得整个局域网电脑无法上网的目的。
是有点麻烦,那就用PPPOE吧,PPPOE拨号过程中有验证,不像DHCP那么容易受攻击,需要上网的客人自己办理上网账号和密码,目前支持PPPOE拨入的路由器不多,而且都很贵,建议使用ROS!
前期打的基础非常重要,我奉劝你 别怕辛苦 每个机器都安装上还原,当然杀毒软件防火墙一个都不能少,如果你酒店所有设备的配置都是一样的话 那太好了 做好一个完整的系统就可以了。防火墙杀毒软件一个都不能少。如果WINSERVER弄得好的话 可以模仿大型IT企业那样去维护。限制端口。定时更新。不过比较麻烦 要是能实施起来的话 那非常方便
不上网就不怕了。
看样子是局域网比较混乱,没有做好 ip管理
ARP攻击防范:
双向绑定:
在小规模网络中推荐使用双向绑定,在路由器和终端上都进行IP-MAC绑定的措施,它可以对ARP欺骗的两边,伪造网关和截获数据,都具有约束的作用。这是从ARP欺骗原理上进行的防范措施,也是最普遍应用的办法。它对付最普通的ARP欺骗是有效的。
本机也可以绑定,只是效果不好
本地绑定弊端就是,每次开机都要绑定一次
开始---运行---cmd---arp -s 192.168.1.5(ip地址)mac地址,针对静态内网地址可以绑定
ARP个人防火墙:
在一些杀毒软件中加入了ARP个人防火墙的功能,它是通过在终端电脑上对网关进行绑定,保证不受网络中假网关的影响,从而保护自身数据不被窃取的措施。ARP防火墙使用范围很广,但也会有问题,如,它不能保证绑定的网关一定是正确的。如果一个网络中已经发生了ARP欺骗,有人在伪造网关,那么,ARP个人防火墙上来就会绑定这个错误的网关,这是具有极大风险的。
VLAN和交换机端口绑定:
通过划分VLAN和交换机端口绑定,以图防范ARP,也是常用的防范方法。做法是细致地划分VLAN,减小广播域的范围,使ARP在小范围内起作用,而不至于发生大面积影响。同时,一些网管交换机具有MAC地址学习的功能,学习完成后,再关闭这个功能,就可以把对应的MAC和端口进行绑定,避免了病毒利用ARP攻击篡改自身地址。也就是说,把ARP攻击中被截获数据的风险解除了。这种方法也能起到一定的作用。
上海旅游网