星期一, 3月 15, 2010

設定Static ARP

最近ARP病毒又再度流行,由於某個奇妙的暗黑原因,敝公司只有broadcast網段,熟TCP/IP架構的朋友,看到這就知道在下被搞得多慘,沒有切割網段,遇到fake arp就只能含淚接受,要死大家一起死。

由於長官不肯花錢愛地球環保不換網路設備,也無法設定VLAN,只好用靜態ARP的方式減少問題。

在Linux/FreeBSD設定Static ARP,最方便的方法就是設在 /etc/ethers ,開機時會自動匯入,設好後可以下指令 arp -f 或arp -f /etc/ethers 立即生效。

/etc/ethers 可以用 Ethernet‐address配合FQHN或IP Address,格式如下:
08:00:20:00:61:CA pal
08:00:20:00:61:CA 168.95.1.1
但是不知為何,手上的FreeBSD 8接受的格式和MAN pages裏寫的不同,先寫FQHN/IP Address再寫Ethernet‐address
168.95.1.1 08:00:20:00:61:CA

在Windows設定靜態ARP,寫個批次檔或下指令
arp -s 157.55.85.212 00-aa-00-62-c6-09

請注意Windows接受的Mac Address/Ethernet Address是以"-"分隔,un*x是以":"分隔

FortiGate無法靠介面設定,必須連到console設定
config system arp-table
edit 3
set interface port2
set ip 172.20.120.161
set mac 00:09:0f:69:00:7c
end
名詞解譯
FQHN: fully‐qualified‐host‐name ,也可以使用 /etc/hosts裏的hostname
Ethernet‐address: An ethernet address is expressed in ASCII form as "x:x:x:x:x:x"

參考資料:
了解ARP病毒
FortiGate OS CLI Reference

3 則留言:

匿名 提到...

設靜態arp table? 那不是所有的網路設備(包含所有的server, 個人用電腦等等)都得設? 會設到死吧... 之前本司於大陸某分部研發中心就設靜態arp table來解決arp病毒, 搞死人. 對了, 內部netmask是255.255.0.0....

鳥毅 提到...

真難得也有朋友遇到相同的問題,也用相同的解法(握手);我是寫成一個batch file,透過group policy去指派執行

匿名 提到...

當時有建議該單位的IT人員用windows domain來強制user登入domain, 這樣可以比較好處理user端的電腦配置. 結果對岸的員工真不是蓋的, 回答是: 上班時間同時有那麼多人(全部員工不超過200人)要登入domain, 會造成server負載過重, 所以不用domain. 會講出這樣的話, 我就無語了. 反正他們願意在user下班後再加班去開電腦, 並一台電腦一台電腦慢慢設, 就給他們去玩, 順便賺賺加班費.

提外話, 當時他們查哪台電腦出問題的方式是: 到機房後, 一條網路線, 一條網路線拔起來再插回去, 看看哪條線路出問題, 很專業, 很感人! XD