当前位置：首页 > wzjs >正文

网站域名备案更改吗网站后缀org

wzjs 2025/9/6 23:32:07

网站域名备案更改吗,网站后缀org,艺术字体在线生成器毛笔字,西安网站建设推荐q479185700上墙内网最容易的攻击方式就是网关欺骗比如某个用户不小心配置了一个网关同样的IP；错误将路由器的LAN口接入到了内网；不一而足某单位2次遇到这种情况，稍有感触，做下记录。现象：部分客户端网络正常；另外一部…

内网最容易的攻击方式就是网关欺骗

比如某个用户不小心配置了一个网关同样的IP；错误将路由器的LAN口接入到了内网；不一而足
某单位2次遇到这种情况，稍有感触，做下记录。

现象：部分客户端网络正常；另外一部分网络异常；同网段的可以通讯，跨网段通讯异常；上网业务异常；网络时好时坏

华为所作的工作如下：
当网络中存在攻击者Attacker仿冒网关或用户误配主机IP地址为网关地址时，其发送的ARP报文会使得网络中其他用户误以为Attacker即网关，造成正常用户跟网关的数据通信中断。在设备与网关相连的接口上配置ARP网关保护功能，可以防止伪造网关攻击。当来自网关的ARP报文到达设备时：
开启对网关地址保护功能的接口：正常接收转发该ARP报文。
未开启对网关地址保护功能的接口：丢弃该ARP报文。
操作步骤
执行命令system-view，进入系统视图。
执行命令interface interface-type interface-number，进入接口视图。
执行命令arp trust source ip-address，开启ARP网关保护功能，并配置被保护的网关IP地址。
缺省情况下，ARP网关保护功能处于关闭状态。
每个接口下最多可以指定8个被保护的网关IP地址，全局最多支持指定32个被保护的网关IP地址。全局在不同的接口下指定相同的网关IP地址，这种情况认为指定了多个被保护的网关IP地址。
如下图：华为ARP网关防护是在接入层交换机的上行口配置的。
在这里插入图片描述
H3C 配置也比较简单，如下图示例，配置位置比华为灵活，可以在接入交换机上面配置，也可以在核心交换机上面配置：

配置步骤
system-view
[SwitchB] interface GigabitEthernet 1/0/1
[SwitchB-GigabitEthernet1/0/1] arp filter source 10.1.1.1
[SwitchB-GigabitEthernet1/0/1] quit
[SwitchB] interface GigabitEthernet 1/0/2
[SwitchB-GigabitEthernet1/0/2] arp filter source 10.1.1.1

锐捷交换机的配置方法：

在接客户机的端口上开启防网关arp欺骗功能
Ruijie>enable
Ruijie#configure terminal
Ruijie(config)#interface FastEthernet 0/1
Ruijie(config-if-FastEthernet 0/1)#anti-arp-spoofing ip 192.168.1.254 ------>配置防网关arp欺骗

但是中兴交换机却没有类似该命令。

处理方式：最好的方式就是利用mac地址表找到接口所街设备，把它下电，或者修改ip。但显然不是长久之计，而且并不是每次运维人员都在现场，也不是每次都能第一时间将设备找到。
这个时候就需要想办法，将这个mac地址的流量过滤掉。当我们通过查看客户端ARP表，或者通过抓包，发现内存存在某个非法设备MAC对应内网网关，通过dis mac-address | inc xxxx或者 show mac table | inc xxxx 层级查找到非法MAC地址对应的端口所在的接入交换机后，就可以使用MAC黑洞将该设备拉黑。具体配置以H3C交换机为例：
sys
[H3C]sysname SW
[SW]vlan 3
[SW-vlan3]quit
[SW]mac-address blackhole 94c3-6ebf-0400 vlan 3
[SW]save
如果是中兴交换机则先进入 mac视图
然后执行 filter MAC-ADDRESS vlan 3 将指定MAC 拉黑。
或者如果设备直连可网管交换机，可以将对应接口关闭。
但是以上这些做法有个问题，比如底下接入层接了小的傻瓜式的HUB交换机，这个时候，即使汇聚，核心做了这些操作，由于ARP广播的问题，HUB所在接入层设备还是依然会学习到错误的网关MAC地址，导致跨网段通信异常，这个时候就需要终端做ARP网关绑定了，例如，windows下，cmd 输入
arp -s 192.168.1.1 00-1A-2B-3C-4D-5E 将正确的网关IP和网关MAC绑定。
但是问题是如果接入终端是哑终端呢，目前没有办法做到让哑终端能够绑定IP-MAC，例如考勤机，摄像头，不过可以通过端口安全，端口手工指定MAC的方式，例如https://www.h3c.com/cn/d_202502/2363575_30005_0.htm#_Toc191487539 来变相实现过滤恶意MAC的问题，也是一种不得已的情况下的解决方案。
或者干脆通过二层acl过滤来做也非常方便，比如华三的写法：
[SW1]acl mac 4000
[SW1-acl-mac-4000]rule 0 deny source-mac 7844-E538-0306 FFFF-FF00-0000
[SW1-acl-mac-4000]rule 1 permit
[SW1-acl-mac-4000]quit
[SW1]int gi 1/0/1
[SW1-GigabitEthernet1/0/1]packet-filter mac 4000 outbound
[SW1-GigabitEthernet1/0/1]quit
再比如华为的写法：
https://support.huawei.com/enterprise/zh/doc/EDOC1000069579/fffdf934
同时在实施桌管或者EDR、或者杀毒软件的时候建议是将ARP网关防护功能打开，特别是服务器段，来规避可能带来的网关冲突带来的问题。