1樓:匿名使用者
四種常見防範arp措施的分析
一、雙綁措施
雙綁是在路由器和終端上都進行ip-mac繫結的措施,它可以對arp欺騙的兩邊,偽造閘道器和截獲資料,都具有約束的作用。這是從arp欺騙原理上進行的防範措施,也是最普遍應用的辦法。它對付最普通的arp欺騙是有效的。
但雙綁的缺陷在於3點:
1、 在終端上進行的靜態繫結,很容易被升級的arp攻擊所搗毀,病毒的一個arp –d命令,就可以使靜態繫結完全失效。
2、 在路由器上做ip-mac表的繫結工作,費時費力,是一項繁瑣的維護工作。換個網絡卡或更換ip,都需要重新配置路由。對於流動性電腦,這個需要隨時進行的繫結工作,是網路維護的巨大負擔,網管員幾乎無法完成。
3、 雙綁只是讓網路的兩端電腦和路由不接收相關arp資訊,但是大量的arp攻擊資料還是能發出,還要在內網傳輸,大幅降低內網傳輸效率,依然會出現問題。
因此,雖然雙綁曾經是arp防範的基礎措施,但因為防範能力有限,管理太麻煩,現在它的效果越來越有限了。
二、arp個人防火牆
在一些防毒軟體中加入了arp個人防火牆的功能,它是通過在終端電腦上對閘道器進行繫結,保證不受網路中假閘道器的影響,從而保護自身資料不被竊取的措施。arp防火牆使用範圍很廣,有很多人以為有了防火牆,arp攻擊就不構成威脅了,其實完全不是那麼回事。
arp個人防火牆也有很大缺陷:
1、它不能保證繫結的閘道器一定是正確的。如果一個網路中已經發生了arp欺騙,有人在偽造閘道器,那麼,arp個人防火牆上來就會繫結這個錯誤的閘道器,這是具有極大風險的。即使配置中不預設而發出提示,缺乏網路知識的使用者恐怕也無所適從。
2 、arp是網路中的問題,arp既能偽造閘道器,也能截獲資料,是個「雙頭怪」。在個人終端上做arp防範,而不管閘道器那端如何,這本身就不是一個完整的辦法。arp個人防火牆起到的作用,就是防止自己的資料不會被盜取,而整個網路的問題,如掉線、卡滯等,arp個人防火牆是無能為力的。
因此,arp個人防火牆並沒有提供可靠的保證。最重要的是,它是跟網路穩定無關的措施,它是個人的,不是網路的。
三、vlan和交換機埠繫結
通過劃分vlan和交換機埠繫結,以圖防範arp,也是常用的防範方法。做法是細緻地劃分vlan,減小廣播域的範圍,使arp在小範圍內起作用,而不至於發生大面積影響。同時,一些網管交換機具有mac地址學習的功能,學習完成後,再關閉這個功能,就可以把對應的mac和埠進行繫結,避免了病毒利用arp攻擊篡改自身地址。
也就是說,把arp攻擊中被截獲資料的風險解除了。這種方法確實能起到一定的作用。
不過,vlan和交換機埠繫結的問題在於:
1、 沒有對閘道器的任何保護,不管如何細分vlan,閘道器一旦被攻擊,照樣會造成全網上網的掉線和癱瘓。
2、 把每一臺電腦都牢牢地固定在一個交換機埠上,這種管理太死板了。這根本不適合移動終端的使用,從辦公室到會議室,這臺電腦恐怕就無法上網了。在無線應用下,又怎麼辦呢?
還是需要其他的辦法。
3、 實施交換機埠繫結,必定要全部採用高階的網管交換機、三層交換機,整個交換網路的造價大大提高。
因為交換網路本身就是無條件支援arp操作的,就是它本身的漏洞造成了arp攻擊的可能,它上面的管理手段不是針對arp的。因此,在現有的交換網路上實施arp防範措施,屬於以子之矛攻子之盾。而且操作維護複雜,基本上是個費力不討好的事情。
四、pppoe
網路下面給每一個使用者分配一個帳號、密碼,上網時必須通過pppoe認證,這種方法也是防範arp措施的一種。pppoe撥號方式對封包進行了二次封裝,使其具備了不受arp欺騙影響的使用效果,很多人認為找到了解決arp問題的終極方案。
問題主要集中在效率和實用性上面:
1、 pppoe需要對封包進行二次封裝,在接入裝置上再解封裝,必然降低了網路傳輸效率,造成了頻寬資源的浪費,要知道在路由等裝置上新增pppoe server的處理效能和電信接入商的pppoe server可不是一個數量級的。
2、 pppoe方式下區域網間無法互訪,在很多網路都有區域網內部的域控伺服器、dns伺服器、郵件伺服器、oa系統、資料共享、列印共享等等,需要區域網間相互通訊的需求,而pppoe方式使這一切都無法使用,是無法被接受的。
3、 不使用pppoe,在進行內網訪問時,arp的問題依然存在,什麼都沒有解決,網路的穩定性還是不行。
因此,pppoe在技術上屬於避開底層協議連線,眼不見心不煩,通過犧牲網路效率換取網路穩定。最不能接受的,就是網路只能上網用,內部其他的共享就不能在pppoe下進行了。
通過對以上四種普遍的arp防範方法的分析,我們可以看出,現有arp防範措施都存在問題。這也就是arp即使研究很久很透,但依然在實踐中無法徹底解決的原因所在了。
2樓:
可以直接使用360安全衛士自帶的
360安全衛士--木馬防火牆--最下面就是arp
開啟這個功能一般的arp即可截獲
3樓:霹靂遊俠麥克
免疫牆能徹底解決內網arp攻擊導致的網路不穩定的問題,arp攻擊不僅能攻擊電腦,也能攻擊閘道器,也可以直接通過交換機到大別的電腦這樣就治標不治本,免疫牆是直接從網絡卡上面做的攔截,還能監控整個內網的上網狀況。大家可以去查閱一下。
區域網閘道器欺騙攻擊怎麼辦,arp入侵攻擊和DNS欺騙攻擊怎麼辦?
arp 繫結解決不了arp問題。防arp是一個老大難的問題,網上有很多防arp的工具,原理都是自動繫結本機和閘道器ip mac,arp攻擊一般都採用閘道器和終端雙向繫結,終端安裝arp防火牆方式,但這種方式並不能杜絕arp欺騙資料包在網路中的傳播,甚至arp防火牆繫結的ip mac地址都是錯的,我們...
網咖ARP問題,網咖經常遭遇ARP攻擊,怎麼辦?
首先說明,以下內容是我一個字一個字打出來的,不是在網上覆制的,純屬原創 這個問題我覺得你應該仔細分析一下,從你的描述看來,我得出以下假設 1 你路由器的mac地址表有部分客戶機的靜態繫結 2 你每臺客戶機都作了 arp s 閘道器ip 閘道器mac 的靜態繫結 3 某臺機器掉線時它的arp表裡的閘道...
公司內網遭受ARP攻擊,怎麼解決
這個情況建議朋友使用360arp防火牆來保護你的電腦。360arp防火牆是整合在360安全衛士裡邊的,需要你手動開啟才能有效。在360安全衛士的上邊有個木馬防火牆,你點選進入開啟區域網防護 arp攻擊 就可以了。360arp防火牆,可以緩解一下攻擊,最好的辦法是訪問路由器,在其中設定ip地址和mac...