154
3 sath qurilmasi ma'lum LAN qurilmalari uchun shlyuz sifatida
sozlanishi mumkin. Hujumchi oʻzini toʻgʻri shlyuz deb tanib,
avtomatik ARP yuborib, bloklangan roʻyxatga 3
sath qurilmasini
qoʻshishga urinishi mumkin. Bunday hujumni oldini olish uchun
shlyuzning anti-spoofing funksiyasini sozlash mumkin. Ushbu
xususiyat odatda oʻchirilgan boʻladi.
Odatda hujumdan soʻng barcha portlar ishonchsiz hisoblanadi.
Ushbu muammoning oldini olish uchun monitoringni talab
qilmaydigan va ishonchli port sifatida ishlatiladigan ishonchli portni
sozlash mumkin.
ARP
firibgarligi
hujumi
tarmoqqa
ulangan
xostlar,
komutatorlarga
va
marshrutizatorlarga
ichki
tarmoqdagi
qurilmalarning protsessoriga paketlarni qoʻyish
orqali qurilmaning
ishlashiga ta'sir qilishi mumkin. Qurilmadagi protsessorning haddan
tashqari toʻlib-toshishi ARPning toʻlib-toshishi hujumi sifatida
tanilgan.
ARP toshqini hujumini oldini olish uchun quyidagi sozlanmalar
mavjud.
• ARP toshqini hujumini oldini olish uchun toshqinga qarshi
hujumni yoqish kerak. ARP paketi protsessorga uzatiladi. Har bir
trafik oqimi paketning manba MAC-manzili asosida aniqlanadi.
• ARP oqimini kuzatish uchun
tezlik chegarasini sozlash
mumkin. Agar tezlik chegarasi oshib ketgan boʻlsa, bu hujum deb
hisoblanadi. Tezlik chegarasini global yoki har bir interfeysga
moslashtirsa boʻladi.
• Hujum sodir boʻlganda, kompyuterning manba MAC-
manzilini qora tuynuk manzillari roʻyxatiga qoʻshish va barcha
paketlarni tashlab yuborish yoki xostdan
faqat ARP paketlarini
tushirmaslikni sozlash mumkin.
• Xostlarni qora tuynuk manzillari roʻyxatidan olib tashlash
uchun tiklash vaqti oraligʻini belgilash yoki xostni qoʻlda tiklash
mumkin.
• Dinamik MAC-manzilni qora tuynuk manzillar roʻyxatidagi
xostning statik MAC-manziliga bogʻlash mumkin. Bu xostning har
qanday turdagi paketlarni uzatishiga yoʻl qoʻymaydi.
Agar lokal tarmoq bir nechta VLANga boʻlinadigan boʻlsa,
ARP spoofing
faqat VLANdagi kompyuterlarga qoʻllanilishi mumkin.
Xavfsizlik nuqtai nazaridan ideal vaziyat bir xil VLANda faqat bitta
155
kompyuter va marshrutizator interfeysiga ega boʻlishdir.
Bunday
segment uchun ARP-spoofing
hujumlari mavjud emas.