【正文】 站的端口可限制所學(xué) MAC 地址數(shù)為3：IP 電話、工作站和 IP 電話內(nèi)的交換機(jī)。通過端口安全功能，網(wǎng)絡(luò)管理員也可以靜態(tài)設(shè)置每個(gè)端口所允許連接的合法 MAC 地址，實(shí)現(xiàn)設(shè)備級的安全授權(quán)。動(dòng)態(tài)端口安全則設(shè)置端口允許合法MAC 地址的數(shù)目，并以一定時(shí)間內(nèi)所學(xué)習(xí)到的地址作為合法 MAC 地址。通過配置 Port Security 可以控制：? 端口上最大可以通過的 MAC 地址數(shù)量? 端口上學(xué)習(xí)或通過哪些 MAC 地址? 對于超過規(guī)定數(shù)量的 MAC 處理進(jìn)行違背處理端口上學(xué)習(xí)或通過哪些 MAC 地址，可以通過靜態(tài)手工定義，也可以在交換機(jī)自動(dòng)學(xué)習(xí)。交換機(jī)動(dòng)態(tài)學(xué)習(xí)端口 MAC，直到指定的 MAC 地址數(shù)量，交換機(jī)關(guān)機(jī)后重新學(xué)習(xí)。目前較新的技術(shù)是 Sticky Port Security，交換機(jī)將學(xué)到的mac 地址寫到端口配置中，交換機(jī)重啟后配置仍然存在。對于超過規(guī)定數(shù)量的 MAC 處理進(jìn)行處理一般有三種方式（針對交換機(jī)型號會(huì)有所不同）：? Shutdown：端口關(guān)閉。? Protect：丟棄非法流量，不報(bào)警。26? Restrict：丟棄非法流量，報(bào)警。 DHCP 欺騙攻擊的防范采用 DHCP 管理的常見問題采用 DHCP server 可以自動(dòng)為用戶設(shè)置網(wǎng)絡(luò) IP 地址、掩碼、網(wǎng)關(guān)、DNS、WINS 等網(wǎng)絡(luò)參數(shù)，簡化了用戶網(wǎng)絡(luò)設(shè)置，提高了管理效率。但在DHCP 管理使用上也存在著一些另網(wǎng)管人員比較問題，常見的有：? DHCP server 的冒充。? DHCP server 的 DOS 攻擊。? 有些用戶隨便指定地址，造成網(wǎng)絡(luò)地址沖突。? 由于 DHCP 的運(yùn)作機(jī)制，通常服務(wù)器和客戶端沒有認(rèn)證機(jī)制，如果網(wǎng)絡(luò)上存在多臺 DHCP 服務(wù)器將會(huì)給網(wǎng)絡(luò)照成混亂。? 由于不小心配置了 DHCP 服務(wù)器引起的網(wǎng)絡(luò)混亂也非常常見。黑客利用類似 Goobler 的工具可以發(fā)出大量帶有不同源 MAC 地址的DHCP 請求，直到 DHCP 服務(wù)器對應(yīng)網(wǎng)段的所有地址被占用，此類攻擊既可以造成 DOS 的破壞，也可和 DHCP 服務(wù)器欺詐結(jié)合將流量重指到意圖進(jìn)行流量截取的惡意節(jié)點(diǎn)。DHCP 服務(wù)器欺詐可能是故意的，也可能是無意啟動(dòng) DHCP 服務(wù)器功能，惡意用戶發(fā)放錯(cuò)誤的 IP 地址、 DNS 服務(wù)器信息或默認(rèn)網(wǎng)關(guān)信息，以此來實(shí)現(xiàn)流量的截取。DHCP Snooping 技術(shù)概述DHCP Snooping 技術(shù)是 DHCP 安全特性，通過建立和維護(hù) DHCP Snooping綁定表過濾不可信任的 DHCP 信息，這些信息是指來自不信任區(qū)域的 DHCP 信息。 通過截取一個(gè)虛擬局域網(wǎng)內(nèi)的 DHCP 信息，交換機(jī)可以在用戶和 DHCP服務(wù)器之間擔(dān)任就像小型安全防火墻這樣的角色， “DHCP 監(jiān)聽”功能基于動(dòng)態(tài)地27址分配建立了一個(gè) DHCP 綁定表，并將該表存貯在交換機(jī)里。在沒有 DHCP 的環(huán)境中，如數(shù)據(jù)中心，綁定條目可能被靜態(tài)定義，每個(gè) DHCP 綁定條目包含客戶端地址（一個(gè)靜態(tài)地址或者一個(gè)從 DHCP 服務(wù)器上獲取的地址） 、客戶端MAC 地址、端口、VLAN ID、租借時(shí)間、綁定類型（靜態(tài)的或者動(dòng)態(tài)的） 。基本防范為了防止這種類型的攻擊，Catalyst DHCP 偵聽（DHCP Snooping）功能可有效阻止此類攻擊，當(dāng)打開此功能，所有用戶端口除非特別設(shè)置，被認(rèn)為不可信任端口，不應(yīng)該作出任何 DHCP 響應(yīng)，因此欺詐 DHCP 響應(yīng)包被交換機(jī)阻斷，合法的 DHCP 服務(wù)器端口或上連端口應(yīng)被設(shè)置為信任端口。Catalyst DHCP 偵聽（DHCP Snooping）對于下邊介紹的其他阻止 ARP 欺騙和IP/MAC 地址的欺騙是必需的。 ARP 欺騙攻擊原理和處理方法ARP 欺騙攻擊原理從影響網(wǎng)絡(luò)連接通暢的方式來看，ARP 欺騙分為二種，一種是對路由器 ARP表的欺騙；另一種是對內(nèi)網(wǎng) PC 的網(wǎng)關(guān)欺騙。 第一種 ARP 欺騙的原理是——截獲網(wǎng)關(guān)數(shù)據(jù)。它通知路由器一系列錯(cuò)誤的內(nèi)網(wǎng)MAC 地址，并按照一定的頻率不斷進(jìn)行，使真實(shí)的地址信息無法通過更新保存在路由器中，結(jié)果路由器的所有數(shù)據(jù)只能發(fā)送給錯(cuò)誤的 MAC 地址，造成正常PC 無法收到信息。第二種 ARP 欺騙的原理是——偽造網(wǎng)關(guān)。它的原理是建立假網(wǎng)關(guān)，讓被它欺騙的 PC 向假網(wǎng)關(guān)發(fā)數(shù)據(jù)，而不是通過正常的路由器途徑上網(wǎng)。在 PC 看來，就是上不了網(wǎng)了， “網(wǎng)絡(luò)掉線了”。 近期，一種新型的“ ARP 欺騙”木馬病毒正在校園網(wǎng)中擴(kuò)散，嚴(yán)重影響了校園網(wǎng)的正常運(yùn)行。感染此木馬的計(jì)算機(jī)試圖通過“ ARP 欺騙”手段截獲所在網(wǎng)絡(luò)內(nèi)其28它計(jì)算機(jī)的通信信息，并因此造成網(wǎng)內(nèi)其它計(jì)算機(jī)的通信故障。ARP 欺騙木馬的中毒現(xiàn)象表現(xiàn)為：使用校園網(wǎng)時(shí)會(huì)突然掉線，過一段時(shí)間后又會(huì)恢復(fù)正常。比如客戶端狀態(tài)頻頻變紅，用戶頻繁斷網(wǎng)，IE 瀏覽器頻繁出錯(cuò)，以及一些常用軟件出現(xiàn)故障等。如果校園網(wǎng)是通過身份認(rèn)證上網(wǎng)的，會(huì)突然出現(xiàn)可認(rèn)證，但不能上網(wǎng)的現(xiàn)象（無法 ping 通網(wǎng)關(guān)） ，重啟機(jī)器或在 MSDOS 窗口下運(yùn)行命令arp d 后，又可恢復(fù)上網(wǎng)。ARP 欺騙木馬十分猖狂，危害也特別大，各大學(xué)校園網(wǎng)、小區(qū)網(wǎng)、公司網(wǎng)和網(wǎng)吧等局域網(wǎng)都出現(xiàn)了不同程度的災(zāi)情，帶來了網(wǎng)絡(luò)大面積癱瘓的嚴(yán)重后果。ARP 欺騙木馬只需成功感染一臺電腦，就可能導(dǎo)致整個(gè)局域網(wǎng)都無法上網(wǎng)，嚴(yán)重的甚至可能帶來整個(gè)網(wǎng)絡(luò)的癱瘓。檢查和處理“ ARP 欺騙”木馬的方法 1 ．檢查本機(jī)的“ ARP 欺騙”木馬染毒進(jìn)程 同時(shí)按住鍵盤上的“ CTRL ”和“ ALT ”鍵再按“ DEL ”鍵，選擇“任務(wù)管理器”，點(diǎn)選“進(jìn)程”標(biāo)簽。察看其中是否有一個(gè)名為 “ ”的進(jìn)程。如果有，則說明已經(jīng)中毒。右鍵點(diǎn)擊此進(jìn)程后選擇“結(jié)束進(jìn)程” 。參見右圖。 2 ．檢查網(wǎng)內(nèi)感染“ ARP 欺騙”木馬染毒的計(jì)算機(jī) 在“開始” “程序” “附件 ”菜單下調(diào)出“命令提示符” 。輸入并執(zhí)行以下命令： ipconfig 記錄網(wǎng)關(guān) IP 地址，即“ Default Gateway ”對應(yīng)的值，例如“ ”。再輸入并執(zhí)行以下命令： arp –a 29在“ Inter Address ” 下找到上步記錄的網(wǎng)關(guān) IP 地址，記錄其對應(yīng)的物理地址，即“ Physical Address ”值，例如“ 0001e81f3554 ”。在網(wǎng)絡(luò)正常時(shí)這就是網(wǎng)關(guān)的正確物理地址，在網(wǎng)絡(luò)受“ ARP 欺騙”木馬影響而不正常時(shí)，它就是木馬所在計(jì)算機(jī)的網(wǎng)卡物理地址。 也可以掃描本子網(wǎng)內(nèi)的全部 IP 地址，然后再查 ARP 表。如果有一個(gè) IP 對應(yīng)的物理地址與網(wǎng)關(guān)的相同，那么這個(gè) IP 地址和物理地址就是中毒計(jì)算機(jī)的 IP 地址和網(wǎng)卡物理地址。 3 ．設(shè)置 ARP 表避免“ ARP 欺騙” 木馬影響的方法 本方法可在一定程度上減輕中木馬的其它計(jì)算機(jī)對本機(jī)的影響。用上邊介紹的方法確定正確的網(wǎng)關(guān) IP 地址和網(wǎng)關(guān)物理地址，然后在 “命令提示符”窗口中輸入并執(zhí)行以下命令： arp –s 網(wǎng)關(guān) IP 網(wǎng)關(guān)物理地址 ARP 綁定網(wǎng)關(guān) 步驟一： 在能正常上網(wǎng)時(shí)，進(jìn)入 MSDOS 窗口，輸入命令：arp －a ，查看網(wǎng)關(guān)的 IP 對應(yīng)的正確 MAC 地址， 并將其記錄下來。 注意：如果已經(jīng)不能上網(wǎng)，則先運(yùn)行一次命令 arp －d 將 arp 緩存中的內(nèi)容刪空，計(jì)算機(jī)可暫時(shí)恢復(fù)上網(wǎng)（攻擊如果不停止的話） 。一旦能上網(wǎng)就立即將網(wǎng)絡(luò)斷掉（禁用網(wǎng)卡或拔掉網(wǎng)線） ，再運(yùn)行 arp －a 。 步驟二： 30如果計(jì)算機(jī)已經(jīng)有網(wǎng)關(guān)的正確 MAC 地址，在不能上網(wǎng)只需手工將網(wǎng)關(guān) IP 和正確的 MAC 地址綁定，即可確保計(jì)算機(jī)不再被欺騙攻擊。 要想手工綁定，可在 MSDOS 窗口下運(yùn)行以下命令： arp －s 網(wǎng)關(guān) IP 網(wǎng)關(guān) MAC 例如：假設(shè)計(jì)算機(jī)所處網(wǎng)段的網(wǎng)關(guān)為 ，本機(jī)地址為 ，在計(jì)算機(jī)上運(yùn)行 arp －a 后輸出如下： Cocuments and Settingsarp a Interface: 0x2 Inter Address Physical Address Type 000102030405 dynamic 其中，000102030405 就是網(wǎng)關(guān) 對應(yīng)的 MAC 地址，類型是動(dòng)態(tài)（dynamic）的，因此是可被改變的。 被攻擊后，再用該命令查看，就會(huì)發(fā)現(xiàn)該 MAC 已經(jīng)被替換成攻擊機(jī)器的MAC。如果希望能找出攻擊機(jī)器，徹底根除攻擊，可以在此時(shí)將該 MAC 記錄下來，為以后查找該攻擊的機(jī)器做準(zhǔn)備。 手工綁定的命令為： arp －s 000102030405 31綁定完，可再用 arp －a 查看 arp 緩存： Cocuments and Settingsarp a Interface: 0x2 Inter Address Physical Address Type 000102030405 static 這時(shí)，類型變?yōu)殪o態(tài)（static） ，就不會(huì)再受攻擊影響了。 但是，需要說明的是，手工綁定在計(jì)算機(jī)關(guān)機(jī)重啟后就會(huì)失效，需要再次重新綁定。所以，要徹底根除攻擊，只有找出網(wǎng)段內(nèi)被病毒感染的計(jì)算機(jī)，把病毒殺掉，才算是真正解決問題。 5 .作批處理文件 在客戶端做對網(wǎng)關(guān)的 arp 綁定，具體操作步驟如下： 步驟一： 查找本網(wǎng)段的網(wǎng)關(guān)地址，比如 192．168．1．1，以下以此網(wǎng)關(guān)為例。在正常上網(wǎng)時(shí)， “開始→ 運(yùn)行→cmd→確定”，輸入：arp －a，點(diǎn)回車，查看網(wǎng)關(guān)對應(yīng)的Physical Address。 比如：網(wǎng)關(guān) 對應(yīng) 00－01－02－03－04－05。 步驟二： 32編寫一個(gè)批處理文件 ，內(nèi)容如下： @echo off arp －d arp s 00－01－02－03－04－05 保存為： 。 步驟三： 運(yùn)行批處理文件將這個(gè)批處理文件拖到“Windows→開始→程序→啟動(dòng)” 中，如果需要立即生效，請運(yùn)行此文件。 注意：以上配置需要在網(wǎng)絡(luò)正常時(shí)進(jìn)行 及時(shí)下載 Anti ARP Sniffer 軟件保護(hù)本地計(jì)算機(jī)正常運(yùn)行。具體使用方法可以在網(wǎng)上搜索。 如果已有病毒計(jì)算機(jī)的 MAC 地址，可使用 NBTSCAN 等軟件找出網(wǎng)段內(nèi)與該MAC 地址對應(yīng)的 IP，即感染病毒的計(jì)算機(jī)的 IP 地址，然后報(bào)告單位的網(wǎng)絡(luò)中心對其進(jìn)行查封。 或者利用單位提供的集中網(wǎng)絡(luò)防病毒系統(tǒng)來統(tǒng)一查殺木馬。另外還可以利用木馬殺客等安全工具進(jìn)行查殺。 33 網(wǎng)絡(luò)管理管理人員利用上面介紹的 ARP 木馬檢測方法在局域網(wǎng)的交換機(jī)上查出受感染該病毒的端口后，立即關(guān)閉中病毒的端口，通過端口查出相應(yīng)的用戶并通知其徹底查殺病毒。而后，做好單機(jī)防范，在其徹底查殺病毒后再開放相應(yīng)的交換機(jī)端口，重新開通上網(wǎng)。 軟件應(yīng)用在客戶終端上還必須要安裝些應(yīng)用軟件來保證和維護(hù)校園辦公和教務(wù)的正常進(jìn)行：1）殺 毒 軟 件 　 　　 　 360 安 全 衛(wèi) 士 是 國 內(nèi) 最 受 歡 迎 免 費(fèi) 安 全 軟 件 ， 它 擁 有 查 殺 流 行 木 馬 、 清理 惡 評 及 系 統(tǒng) 插 件 ， 管 理 應(yīng) 用 軟 件 ， 卡 巴 斯 基 殺 毒 ， 系 統(tǒng) 實(shí) 時(shí) 保 護(hù) ， 修 復(fù) 系統(tǒng) 漏 洞 等 數(shù) 個(gè) 強(qiáng) 勁 功 能 ， 同 時(shí) 還 提 供 系 統(tǒng) 全 面 診 斷 ， 彈 出 插 件 免 疫 ， 清 理 使用 痕 跡 以 及 系 統(tǒng) 還 原 等 特 定 輔 助 功 能 ， 并 且 提 供 對 系 統(tǒng) 的 全 面 診 斷 報(bào) 告 ， 方便 用 戶 及 時(shí) 定 位 問 題 所 在 ， 真 正 為 每 一 位 用 戶 提 供 全 方 位 系 統(tǒng) 安 全 保 護(hù) 。2）系統(tǒng)備份軟件　 Norton Ghost 是 應(yīng) 用 最 廣 泛 的 克 隆 (復(fù) 制 )工 具 軟 件 。 它 首 先 將 已 有 的 硬 盤創(chuàng) 建 映 像 ， 隨 后 將 其 自 動(dòng) 克 隆 到 任 意 數(shù) 量 的 機(jī) 器 上 。 它 可 以 在 克 隆 過 程 中 自動(dòng) 分 區(qū) 并 格 式 化 目 的 磁 盤 ， 而 無 需 任 何 準(zhǔn) 備 工 作 。 可 以 說 ， Norton Ghost是 安 裝 、 升 級 、 維 護(hù) 計(jì) 算 機(jī) 系 統(tǒng) 的 最 佳 軟 件 。3）系統(tǒng)破密Passware Kit 是世界著名的密碼恢復(fù)工具合集，幾乎可以破解當(dāng)今所有文件的密碼，功能強(qiáng)大，不論是遺忘的 Office、Windows、Zip 、RAR 壓縮文件密碼它都能幫您統(tǒng)統(tǒng)找回來！。 Passware Kit 企業(yè)版包含超過 32 個(gè)密碼恢復(fù)工具，支持 Excel, Access, Outlook, Word, WinZip, Windows 2022, Windows XP, Windows NT, Acrobat WordPerfect, Lotus Notes, Quicken QuickBooks ,Quattro Pro, Inter Explorer ,Outlook Express, ACT ,123 ,Paradox 等，該版本加強(qiáng)了對 Windows XP/2022/NT ，QuickBooks 和 Inter Explorer 密碼的恢復(fù)功能。4）辦公軟件office2022—最流行的最實(shí)用的文字處理軟件的最新版本—經(jīng)過多年的客戶體驗(yàn)和反饋提供創(chuàng)新,您可以利用這些創(chuàng)新創(chuàng)建出外觀給人留下深刻印象的文件。34提高你的辦事能力，為你的工作帶來方便提高的辦公效率5）圖形處理軟件（適合于