第一种解决方法
处理ARP欺骗攻击最一般的方法就是IP-MAC绑定,可以在客户端主机和网关路由器上双向绑定IP-MAC来避免ARP欺骗导致无法上网。
1、在主机上绑定网关路由器的IP和MAC地址,可以通过“arp -S”命令实现。
2、在网关路由器上绑定主机的IP地址和MAN地址,可以通过如下命令实现。
如果要查看配置结果,可以通过命令“show ip arp”来实现。
3、这时候网络中如果有ARP病毒发作,或者是用户使用类似网络管理等软件便无法欺骗局域网中的主机了。另外,大部分ARP病毒或类似的欺骗软件都是使用假的IP和MAC发送欺骗报文,所以,可在交换急上配置IP-MAC-Prot的绑定,是交换机丢弃这些欺骗报文,从而防止其全网泛洪,如下图所以:
此时,假设主机B继续使用假的IP、MAC发送欺骗报文,交换机将检测到在f0/3收到与之不匹配的数据报文,并将其立刻丢掉。
这种方法的缺点在于:如果网络中的节点数很多,在路由器和交换机上的配置量便会随之增多;而且网络中如果采用DHCP动态分配IP地址,一旦主机(尤其是一些笔记本用户)的IP地址发生变化,将直接导致该主机无法访问网络。