iT邦幫忙

0

網路管理員如何處理與預防使用者netcut ARP Spoofing攻擊

公司內部最近發現自行帶筆電使用netcut發佈ARP Spoofing攻擊,造成Cisco Switch cpu 100%,在Cisco使用show processes cpu發現arp input所佔用的CPU過高,開啟debug arp紀錄arp存取發現端點 ,再去將該電腦關閉並請使用者移除軟體才解決.
問題一:在下班時間無人在cisco下debug arp,如何做事後追查?
有人告知 Cisco Switch有一個功能Embedded event manager(EEM),可以寫Script或是用Event觸發的方式,當條件符合時,可執行動作或命令,該程式如何撰寫.
問題二:如何預防?
有人告知利用DHCP再啟用自動IP-MAC binding及ARP驗證的機制,是可以有效的解決ARP Spoofing問題,但公司網路規模過大,使用固定IP的使用者不少,如果全部一筆一筆將固定IP設定到DHCP將也是一大困難,且後續的維護也會相當麻煩,且使用者如果自行使用固定IP也會造網路不通,還有其它方式嗎?

2 個回答

12
u8526425
iT邦大師 1 級 ‧ 2015-04-07 08:48:21

發佈行政命令
有此行為者視同重大違紀
一律記大過起跳或是免職

slime iT邦大師 1 級 ‧ 2015-04-07 11:20:03 檢舉

補上: 記錄影響的時間, 推算公司網路中斷的損失, 由人事部求償.

行政命令比較有用 ^^

一尾 iT邦研究生 1 級 ‧ 2015-04-07 15:18:39 檢舉

u8526425提到:
發佈行政命令

發佈後
隔天將這個人公告出來

0
胖達
iT邦新手 3 級 ‧ 2015-04-07 15:30:15

後來這個人怎麼被處理?

我要發表回答

立即登入回答