将staticarp.reg、run.bat保存到同一文件夹下,登录Ahnlab Plicy Center Admin,服务器管理—登录分发软件—添加,<要分发的文件夹>选中保存staticarp.reg、run.bat的文件夹,<执行压缩文件名>中输入对所选择的文件夹压缩后生成的压缩文件的名称,<登录包名称>中输入应用程序名称,<说明>中输入简单说明,<解压缩后执行文件>中输入run.bat,单击<确定>。
Ahnlab Plicy Center Admin—策略管理中选中需要分发的群组或客户机,点右键,紧急安全指令-分发,选中<一般软件>,选中要分发的软件,点击<确认>。
3、网关绑定客户机IP-MAC:使用支持IP/MAC绑定的网关设备,在网关设备中设置客户机的静态IP-MAC列表。
注:方案A可以抵御ARP欺骗,保证网络正常运行,但不能定位及清除ARP攻击源。
方案B:利用ARP命令及nbtscan定位ARP攻击源
1、确定ARP攻击源MAC地址
ARP欺骗发作时,在受到ARP欺骗的计算机命令提示符下输入arp –a,APP缓存中网关IP对应的MAC地址如果不是真实的网关MAC地址,则为ARP攻击源的MAC地址,一个MAC地址对应多个IP地址的为ARP攻击源的MAC地址;在网关ARP缓存中一个MAC对应多个IP的为ARP攻击源的MAC地址。
2、定位ARP攻击源计算机
已全网面署APC2.5的环境:在Policy Center Admin 2.5中,查找agent,查找ARP攻击源的MAC地址,定位攻击源计算机。
未布署APC2.5的环境:运行Nbtscan MAC扫描器gui.exe,输入局域网IP地址范围,点击开始,显示局域网内IP、计算机名与MAC对应关系,查找ARP攻击源MAC对应的IP地址及计算机名,根据IP地址及计算机名定位攻击源计算机。
