服务器安全狗 ARP防护功能操作教程_安全防护

什么arp，arp即地址解析协议，实现通过ip地址得知其物理地址。黑客根据它的原理修改arp数据包，使通过ip得到的是其他机器的物理地址或是虚假的物理地址，导致其他机器截获数据或是数据根本发送不出去，这就是arp欺骗。

说明：这次我们使用3台服务器进行测试，ip分别是192.168.73.128，192.168.73.129和192.168.73.130（这里我们用虚拟机进行模拟）。由192.168.73.129对另外两台服务器发起arp攻击，使其无法进行网络连接，以达到攻击者不可告人的目的。这里我们进行的arp攻击是局域网内对主机的冲突攻击，这是比较典型的arp攻击方式，常见的arp攻击软件中都有这类功能，如winarpattacker、网络执法官。其中192.168.73.130没有装服务器安全狗，而192.168.73.128装了服务器安全狗。过程这里就不做说明了，在安装了服务器安全狗的服务器上，我们可以从服务器安全狗的防护日志上看到攻击的信息。

1、对没有装服务器安全狗的192.168.73.130主机进行arp攻击测试

攻击开始后，没过几分钟就可以看到192.168.73.130远程桌面断开，无法ping通。而断开攻击后网络就恢复了。

图1.arp攻击实例-未安装服务器安全狗

2、对装有服务器安全狗的192.168.73.128主机进行arp攻击测试

当攻击开始的时候，就可以看到屏幕右下脚的服务器安全狗标志在闪红预警，说明服务器正在遭受攻击。这时候你就可以到服务器安全狗的防护日志里查看日志。如下图：

图2.防护日志

这就说明，服务器安全狗已经起作用了，拦截了对方的arp攻击。那服务器安全狗是通过什么模块进行arp攻击防御的呢？这就是服务器安全狗网络防火墙模块中的arp防火墙，对arp攻击起了拦截作用，如下图：

图3.arp防火墙

接下来我们要进行详细的说明：

已开启/已关闭arp防火墙功能：用户可以通过单击操作界面右上方的 “已开启”/“已关闭”按钮来开启/关闭arp防火墙功能。arp防火墙必须开启，才能实现防御arp攻击的功能，建议用户安装完服务器安全狗之后，立即开启arp防火墙。如下图所示：

图4.arp防火墙未开启

如上面我们的攻击实例，在192.168.73.129这台服务器上对192.168.73.128进行攻击，日志上显示了通过网关欺骗直接让被攻击服务器造成ip冲突，使被攻击主机掉线，无法进行正常的运行。开启arp防火墙通过对网关和dns的设置就能对网关和mac地址及ip地址进行保护。

网关和dns设置这里我们也推荐了2种设置方式，分别是自动获取和手动获取。

自动获取：勾选自动获取模式，系统会自动获取网关及dns的 ip/mac地址，用户可以通过点击“查看”按钮查看防火墙保护的本机ip/mac地址以及对应网关ip/mac地址。如下图所示：

图5.自动获取dns及网关

手动设置：如果服务器有多个网关，需要在不同网络间切换，选择手动设置模式。点击“设置”，在弹出的“自定义网关ip/mac对”对话框进行网关ip与mac绑定规则配置。“自定义网关ip/mac对”对话框可以进行添加、修改及删除网关ip与mac绑定规则。如下图所示：

图6.手动设置dns及网关

需要注意的是：手动设置适用于双线服务器、海外服务器、多个ip或者多网卡多ip服务器。手动设置可以进行ip间的切换，但是系统默认最多只允许添加5个网关ip地址与mac绑定规则。

随后，选择添加，在“添加ip与mac对”窗口输入需要绑定的ip，之后选择“自动获取”或者手动输入需要绑定的mac地址，选择“确定”完成添加操作。如下图所示：

图7.手动绑定dns及网关

开启“拦截本机对外arp”与“拦截ip冲突”功能

arp攻击的各功能设置是拦截攻击类型设置。一般情况下，系统默认不开启“拦截本机对外arp”与“拦截ip冲突”功能。如需开启，则勾选“拦截本机对外arp”与“拦截ip冲突”对应的复选框，并选择“保存”以开启该项功能。建议所有用户开启这两项功能，可以防止本机向局域网中其他服务器发出arp攻击，以及防御局域网中的arp攻击。如下图所示：