Question

如何有效的解决局域网 arp 攻击？

公司100左右的机器，每台机器都装了防火墙，杀毒软件。为什么还会出现ARP攻击，有什么好的解决方案？？

Answer 1

装所谓的防火墙，杀毒软件，入侵检测，都是已经过时的老三样了，他们都是被动防御，边界保护，防外不防内，并不能有效的保护内网的安全，内网的安全才是现在的企业面临的最头痛的问题，外网的攻击时很少的，因为这都在电信或则网通的机房做了预防了， 像目前比较流行的ARP攻击，syn 攻击，等等由于下载的文件附带病毒，导致以上的攻击经常在内网出现，导致掉线，网络卡，延迟，不小心就把公司的一些重要的业务中断，其后果是难以估计的。 做了几年的网管，感觉一些杀毒软件都没什么用。 只有采用内网安全解决方案，把公司的所有的机器都联动起来，才能综合解决问题。

后来在网络找了一家做免疫网络解决方案的公司，用了他们公司的免疫网络解决方案以后，很果断的解决了内网安全的问题，再也没出现过掉线，卡 一些现象了。
公司最近就要开个分公司，也决定采用他们的设备。用的很不错，LZ可以去试试。

Answer 2

交换机支持mac地址绑定吗？支持的话，设置mac地址和端口绑定。这样可以缩小范围。

然后，在每台电脑上，设置静态mac地址和ip的映射。主要做好 网关和dns服务器的映射。然后在服务器上做好每台电脑mac地址和ip的映射。这样静态mac表，就好很多了。

当然，最主要的还是找出病毒源。这个可以用wireshark抓包分析看看。

Answer 3

杀毒软件只处理系统程序病毒，对数据链路层ARP病毒是不做查杀的
防火墙只处理网络层以上的病毒，也不检查数据链路层上的病毒
要想解决ARP问题建议你找个能检测数据链路层上的病毒攻击，从协议底层安全防范做起的ARP病毒的方案吧。

Answer 4

ARP攻击利用的是底层协议漏洞，防火墙主要是防外网的，对进来的数据进行检查，当数据进来后就不再管了，杀毒软件是杀病毒的，不是管理协议漏洞的，内网问题还需要从内网上进行管理，现在有内网管理方案，他通过对内网中的每台电脑进行网卡驱动式的管理，直接对发出的数据包进行检查，通过直接读取网卡，获得真实的信息，拦截不是自己数据报的发出，还可以管理终端发出探寻的数量，防治爆发式的攻击，管理终端内外网的上传和下载，防治内网大量的数据报占用过量的带宽影响上外网。