公司內部最近發現自行帶筆電使用netcut發佈ARP Spoofing攻擊,造成Cisco Switch cpu 100%,在Cisco使用show processes cpu發現arp input所佔用的CPU過高,開啟debug arp紀錄arp存取發現端點 ,再去將該電腦關閉並請使用者移除軟體才解決.
問題一:在下班時間無人在cisco下debug arp,如何做事後追查?
有人告知 Cisco Switch有一個功能Embedded event manager(EEM),可以寫Script或是用Event觸發的方式,當條件符合時,可執行動作或命令,該程式如何撰寫.
問題二:如何預防?
有人告知利用DHCP再啟用自動IP-MAC binding及ARP驗證的機制,是可以有效的解決ARP Spoofing問題,但公司網路規模過大,使用固定IP的使用者不少,如果全部一筆一筆將固定IP設定到DHCP將也是一大困難,且後續的維護也會相當麻煩,且使用者如果自行使用固定IP也會造網路不通,還有其它方式嗎?
已邀請的邦友 {{ invite_list.length }}/5
發佈行政命令
有此行為者視同重大違紀
一律記大過起跳或是免職
iThome鐵人賽
看影片追技術