【正文】 站的端口可限制所學 MAC 地址數(shù)為3：IP 電話、工作站和 IP 電話內(nèi)的交換機。通過端口安全功能，網(wǎng)絡管理員也可以靜態(tài)設置每個端口所允許連接的合法 MAC 地址，實現(xiàn)設備級的安全授權。動態(tài)端口安全則設置端口允許合法MAC 地址的數(shù)目，并以一定時間內(nèi)所學習到的地址作為合法 MAC 地址。通過配置 Port Security 可以控制：? 端口上最大可以通過的 MAC 地址數(shù)量? 端口上學習或通過哪些 MAC 地址? 對于超過規(guī)定數(shù)量的 MAC 處理進行違背處理端口上學習或通過哪些 MAC 地址，可以通過靜態(tài)手工定義，也可以在交換機自動學習。交換機動態(tài)學習端口 MAC，直到指定的 MAC 地址數(shù)量，交換機關機后重新學習。目前較新的技術是 Sticky Port Security，交換機將學到的mac 地址寫到端口配置中，交換機重啟后配置仍然存在。對于超過規(guī)定數(shù)量的 MAC 處理進行處理一般有三種方式（針對交換機型號會有所不同）：? Shutdown：端口關閉。? Protect：丟棄非法流量，不報警。26? Restrict：丟棄非法流量，報警。 DHCP 欺騙攻擊的防范采用 DHCP 管理的常見問題采用 DHCP server 可以自動為用戶設置網(wǎng)絡 IP 地址、掩碼、網(wǎng)關、DNS、WINS 等網(wǎng)絡參數(shù)，簡化了用戶網(wǎng)絡設置，提高了管理效率。但在DHCP 管理使用上也存在著一些另網(wǎng)管人員比較問題，常見的有：? DHCP server 的冒充。? DHCP server 的 DOS 攻擊。? 有些用戶隨便指定地址，造成網(wǎng)絡地址沖突。? 由于 DHCP 的運作機制，通常服務器和客戶端沒有認證機制，如果網(wǎng)絡上存在多臺 DHCP 服務器將會給網(wǎng)絡照成混亂。? 由于不小心配置了 DHCP 服務器引起的網(wǎng)絡混亂也非常常見。黑客利用類似 Goobler 的工具可以發(fā)出大量帶有不同源 MAC 地址的DHCP 請求，直到 DHCP 服務器對應網(wǎng)段的所有地址被占用，此類攻擊既可以造成 DOS 的破壞，也可和 DHCP 服務器欺詐結合將流量重指到意圖進行流量截取的惡意節(jié)點。DHCP 服務器欺詐可能是故意的，也可能是無意啟動 DHCP 服務器功能，惡意用戶發(fā)放錯誤的 IP 地址、 DNS 服務器信息或默認網(wǎng)關信息，以此來實現(xiàn)流量的截取。DHCP Snooping 技術概述DHCP Snooping 技術是 DHCP 安全特性，通過建立和維護 DHCP Snooping綁定表過濾不可信任的 DHCP 信息，這些信息是指來自不信任區(qū)域的 DHCP 信息。 通過截取一個虛擬局域網(wǎng)內(nèi)的 DHCP 信息，交換機可以在用戶和 DHCP服務器之間擔任就像小型安全防火墻這樣的角色， “DHCP 監(jiān)聽”功能基于動態(tài)地27址分配建立了一個 DHCP 綁定表，并將該表存貯在交換機里。在沒有 DHCP 的環(huán)境中，如數(shù)據(jù)中心，綁定條目可能被靜態(tài)定義，每個 DHCP 綁定條目包含客戶端地址（一個靜態(tài)地址或者一個從 DHCP 服務器上獲取的地址） 、客戶端MAC 地址、端口、VLAN ID、租借時間、綁定類型（靜態(tài)的或者動態(tài)的） ?；痉婪稙榱朔乐惯@種類型的攻擊，Catalyst DHCP 偵聽（DHCP Snooping）功能可有效阻止此類攻擊，當打開此功能，所有用戶端口除非特別設置，被認為不可信任端口，不應該作出任何 DHCP 響應，因此欺詐 DHCP 響應包被交換機阻斷，合法的 DHCP 服務器端口或上連端口應被設置為信任端口。Catalyst DHCP 偵聽（DHCP Snooping）對于下邊介紹的其他阻止 ARP 欺騙和IP/MAC 地址的欺騙是必需的。 ARP 欺騙攻擊原理和處理方法ARP 欺騙攻擊原理從影響網(wǎng)絡連接通暢的方式來看，ARP 欺騙分為二種，一種是對路由器 ARP表的欺騙；另一種是對內(nèi)網(wǎng) PC 的網(wǎng)關欺騙。 第一種 ARP 欺騙的原理是——截獲網(wǎng)關數(shù)據(jù)。它通知路由器一系列錯誤的內(nèi)網(wǎng)MAC 地址，并按照一定的頻率不斷進行，使真實的地址信息無法通過更新保存在路由器中，結果路由器的所有數(shù)據(jù)只能發(fā)送給錯誤的 MAC 地址，造成正常PC 無法收到信息。第二種 ARP 欺騙的原理是——偽造網(wǎng)關。它的原理是建立假網(wǎng)關，讓被它欺騙的 PC 向假網(wǎng)關發(fā)數(shù)據(jù)，而不是通過正常的路由器途徑上網(wǎng)。在 PC 看來，就是上不了網(wǎng)了， “網(wǎng)絡掉線了”。 近期，一種新型的“ ARP 欺騙”木馬病毒正在校園網(wǎng)中擴散，嚴重影響了校園網(wǎng)的正常運行。感染此木馬的計算機試圖通過“ ARP 欺騙”手段截獲所在網(wǎng)絡內(nèi)其28它計算機的通信信息，并因此造成網(wǎng)內(nèi)其它計算機的通信故障。ARP 欺騙木馬的中毒現(xiàn)象表現(xiàn)為：使用校園網(wǎng)時會突然掉線，過一段時間后又會恢復正常。比如客戶端狀態(tài)頻頻變紅，用戶頻繁斷網(wǎng)，IE 瀏覽器頻繁出錯，以及一些常用軟件出現(xiàn)故障等。如果校園網(wǎng)是通過身份認證上網(wǎng)的，會突然出現(xiàn)可認證，但不能上網(wǎng)的現(xiàn)象（無法 ping 通網(wǎng)關） ，重啟機器或在 MSDOS 窗口下運行命令arp d 后，又可恢復上網(wǎng)。ARP 欺騙木馬十分猖狂，危害也特別大，各大學校園網(wǎng)、小區(qū)網(wǎng)、公司網(wǎng)和網(wǎng)吧等局域網(wǎng)都出現(xiàn)了不同程度的災情，帶來了網(wǎng)絡大面積癱瘓的嚴重后果。ARP 欺騙木馬只需成功感染一臺電腦，就可能導致整個局域網(wǎng)都無法上網(wǎng)，嚴重的甚至可能帶來整個網(wǎng)絡的癱瘓。檢查和處理“ ARP 欺騙”木馬的方法 1 ．檢查本機的“ ARP 欺騙”木馬染毒進程 同時按住鍵盤上的“ CTRL ”和“ ALT ”鍵再按“ DEL ”鍵，選擇“任務管理器”，點選“進程”標簽。察看其中是否有一個名為 “ ”的進程。如果有，則說明已經(jīng)中毒。右鍵點擊此進程后選擇“結束進程” 。參見右圖。 2 ．檢查網(wǎng)內(nèi)感染“ ARP 欺騙”木馬染毒的計算機 在“開始” “程序” “附件 ”菜單下調(diào)出“命令提示符” 。輸入并執(zhí)行以下命令： ipconfig 記錄網(wǎng)關 IP 地址，即“ Default Gateway ”對應的值，例如“ ”。再輸入并執(zhí)行以下命令： arp –a 29在“ Inter Address ” 下找到上步記錄的網(wǎng)關 IP 地址，記錄其對應的物理地址，即“ Physical Address ”值，例如“ 0001e81f3554 ”。在網(wǎng)絡正常時這就是網(wǎng)關的正確物理地址，在網(wǎng)絡受“ ARP 欺騙”木馬影響而不正常時，它就是木馬所在計算機的網(wǎng)卡物理地址。 也可以掃描本子網(wǎng)內(nèi)的全部 IP 地址，然后再查 ARP 表。如果有一個 IP 對應的物理地址與網(wǎng)關的相同，那么這個 IP 地址和物理地址就是中毒計算機的 IP 地址和網(wǎng)卡物理地址。 3 ．設置 ARP 表避免“ ARP 欺騙” 木馬影響的方法 本方法可在一定程度上減輕中木馬的其它計算機對本機的影響。用上邊介紹的方法確定正確的網(wǎng)關 IP 地址和網(wǎng)關物理地址，然后在 “命令提示符”窗口中輸入并執(zhí)行以下命令： arp –s 網(wǎng)關 IP 網(wǎng)關物理地址 ARP 綁定網(wǎng)關 步驟一： 在能正常上網(wǎng)時，進入 MSDOS 窗口，輸入命令：arp －a ，查看網(wǎng)關的 IP 對應的正確 MAC 地址， 并將其記錄下來。 注意：如果已經(jīng)不能上網(wǎng)，則先運行一次命令 arp －d 將 arp 緩存中的內(nèi)容刪空，計算機可暫時恢復上網(wǎng)（攻擊如果不停止的話） 。一旦能上網(wǎng)就立即將網(wǎng)絡斷掉（禁用網(wǎng)卡或拔掉網(wǎng)線） ，再運行 arp －a 。 步驟二： 30如果計算機已經(jīng)有網(wǎng)關的正確 MAC 地址，在不能上網(wǎng)只需手工將網(wǎng)關 IP 和正確的 MAC 地址綁定，即可確保計算機不再被欺騙攻擊。 要想手工綁定，可在 MSDOS 窗口下運行以下命令： arp －s 網(wǎng)關 IP 網(wǎng)關 MAC 例如：假設計算機所處網(wǎng)段的網(wǎng)關為 ，本機地址為 ，在計算機上運行 arp －a 后輸出如下： Cocuments and Settingsarp a Interface: 0x2 Inter Address Physical Address Type 000102030405 dynamic 其中，000102030405 就是網(wǎng)關 對應的 MAC 地址，類型是動態(tài)（dynamic）的，因此是可被改變的。 被攻擊后，再用該命令查看，就會發(fā)現(xiàn)該 MAC 已經(jīng)被替換成攻擊機器的MAC。如果希望能找出攻擊機器，徹底根除攻擊，可以在此時將該 MAC 記錄下來，為以后查找該攻擊的機器做準備。 手工綁定的命令為： arp －s 000102030405 31綁定完，可再用 arp －a 查看 arp 緩存： Cocuments and Settingsarp a Interface: 0x2 Inter Address Physical Address Type 000102030405 static 這時，類型變?yōu)殪o態(tài)（static） ，就不會再受攻擊影響了。 但是，需要說明的是，手工綁定在計算機關機重啟后就會失效，需要再次重新綁定。所以，要徹底根除攻擊，只有找出網(wǎng)段內(nèi)被病毒感染的計算機，把病毒殺掉，才算是真正解決問題。 5 .作批處理文件 在客戶端做對網(wǎng)關的 arp 綁定，具體操作步驟如下： 步驟一： 查找本網(wǎng)段的網(wǎng)關地址，比如 192．168．1．1，以下以此網(wǎng)關為例。在正常上網(wǎng)時， “開始→ 運行→cmd→確定”，輸入：arp －a，點回車，查看網(wǎng)關對應的Physical Address。 比如：網(wǎng)關 對應 00－01－02－03－04－05。 步驟二： 32編寫一個批處理文件 ，內(nèi)容如下： @echo off arp －d arp s 00－01－02－03－04－05 保存為： 。 步驟三： 運行批處理文件將這個批處理文件拖到“Windows→開始→程序→啟動” 中，如果需要立即生效，請運行此文件。 注意：以上配置需要在網(wǎng)絡正常時進行 及時下載 Anti ARP Sniffer 軟件保護本地計算機正常運行。具體使用方法可以在網(wǎng)上搜索。 如果已有病毒計算機的 MAC 地址，可使用 NBTSCAN 等軟件找出網(wǎng)段內(nèi)與該MAC 地址對應的 IP，即感染病毒的計算機的 IP 地址，然后報告單位的網(wǎng)絡中心對其進行查封。 或者利用單位提供的集中網(wǎng)絡防病毒系統(tǒng)來統(tǒng)一查殺木馬。另外還可以利用木馬殺客等安全工具進行查殺。 33 網(wǎng)絡管理管理人員利用上面介紹的 ARP 木馬檢測方法在局域網(wǎng)的交換機上查出受感染該病毒的端口后，立即關閉中病毒的端口，通過端口查出相應的用戶并通知其徹底查殺病毒。而后，做好單機防范，在其徹底查殺病毒后再開放相應的交換機端口，重新開通上網(wǎng)。 軟件應用在客戶終端上還必須要安裝些應用軟件來保證和維護校園辦公和教務的正常進行：1）殺 毒 軟 件 　 　　 　 360 安 全 衛(wèi) 士 是 國 內(nèi) 最 受 歡 迎 免 費 安 全 軟 件 ， 它 擁 有 查 殺 流 行 木 馬 、 清理 惡 評 及 系 統(tǒng) 插 件 ， 管 理 應 用 軟 件 ， 卡 巴 斯 基 殺 毒 ， 系 統(tǒng) 實 時 保 護 ， 修 復 系統(tǒng) 漏 洞 等 數(shù) 個 強 勁 功 能 ， 同 時 還 提 供 系 統(tǒng) 全 面 診 斷 ， 彈 出 插 件 免 疫 ， 清 理 使用 痕 跡 以 及 系 統(tǒng) 還 原 等 特 定 輔 助 功 能 ， 并 且 提 供 對 系 統(tǒng) 的 全 面 診 斷 報 告 ， 方便 用 戶 及 時 定 位 問 題 所 在 ， 真 正 為 每 一 位 用 戶 提 供 全 方 位 系 統(tǒng) 安 全 保 護 。2）系統(tǒng)備份軟件　 Norton Ghost 是 應 用 最 廣 泛 的 克 隆 (復 制 )工 具 軟 件 。 它 首 先 將 已 有 的 硬 盤創(chuàng) 建 映 像 ， 隨 后 將 其 自 動 克 隆 到 任 意 數(shù) 量 的 機 器 上 。 它 可 以 在 克 隆 過 程 中 自動 分 區(qū) 并 格 式 化 目 的 磁 盤 ， 而 無 需 任 何 準 備 工 作 。 可 以 說 ， Norton Ghost是 安 裝 、 升 級 、 維 護 計 算 機 系 統(tǒng) 的 最 佳 軟 件 。3）系統(tǒng)破密Passware Kit 是世界著名的密碼恢復工具合集，幾乎可以破解當今所有文件的密碼，功能強大，不論是遺忘的 Office、Windows、Zip 、RAR 壓縮文件密碼它都能幫您統(tǒng)統(tǒng)找回來！。 Passware Kit 企業(yè)版包含超過 32 個密碼恢復工具，支持 Excel, Access, Outlook, Word, WinZip, Windows 2022, Windows XP, Windows NT, Acrobat WordPerfect, Lotus Notes, Quicken QuickBooks ,Quattro Pro, Inter Explorer ,Outlook Express, ACT ,123 ,Paradox 等，該版本加強了對 Windows XP/2022/NT ，QuickBooks 和 Inter Explorer 密碼的恢復功能。4）辦公軟件office2022—最流行的最實用的文字處理軟件的最新版本—經(jīng)過多年的客戶體驗和反饋提供創(chuàng)新,您可以利用這些創(chuàng)新創(chuàng)建出外觀給人留下深刻印象的文件。34提高你的辦事能力，為你的工作帶來方便提高的辦公效率5）圖形處理軟件（適合于