4个回答
展开全部
四种常见防范ARP措施的分析
一、双绑措施
双绑是在路由器和终端上都进行IP-MAC绑定的措施,它可以对ARP欺骗的两边,伪造网关和截获数
据,都具有约束的作用。这是从ARP欺骗原理上进行的防范措施,也是最普遍应用的办法。它对付最
普通的ARP欺骗是有效的。
但双绑的缺陷在于3点:
1、 在终端上进行的静态绑定,很容易被升级的ARP攻击所捣毁,病毒的一个ARP –d命令,就可以
使静态绑定完全失效。
2、 在路由器上做IP-MAC表的绑定工作,费时费力,是一项繁琐的维护工作。换个网卡或更换IP,
都需要重新配置路由。对于流动性电脑,这个需举和稿要随时进行的绑定工作,是网络维护的巨大负担,
网管员几乎无法完成。
3、 双绑只是让网络的两端电脑和路由不接收相关ARP信息,但是大量的ARP攻击数据还是能发出,
还要在内网传输,大幅降低内网传输效率,依然会出现问题。
因此,虽然双绑曾经是ARP防范的基础措施,但因为防范能力有限,管理太麻烦,现在它的效果越来
越有限了。
二、ARP个人防火墙
在一些杀毒软件中加入了ARP个人防火墙的功能,它是通过在终端电脑上对网关进行绑定,保证不
受网络中假网关的影响,从而保护自身数据不被窃取的措施。ARP防火墙使用范围很广,有很多人以
为有了防火墙,ARP攻击就不构成威胁了,其实完全不是那么回事。
ARP个人防正孝火墙也有很大缺陷:
1、它不能保证绑定的网关一定是正确的。如果一个网络中已经发生了ARP欺骗,有人在伪造网关,
那么,ARP个人防火墙上来就会绑定这个错误的网关,这是具有极大风险的。即使配置中不默认而发
出提示,缺乏网络知识的用户恐怕也无所适从。
2 、ARP是网络中的问题,ARP既能伪造网关,也能截获数据,是个“双头怪”。在个人终端上做ARP
防范,而不管网关那端如何,这本身就不是一个完整的办法。ARP个人防火墙起到的作用,就是防止
自己的数据不会被盗取,而整个网络的问题,如掉线、卡滞等,ARP个人防火墙是无能为力的。
因此,ARP个人防火墙并没有提供可靠的保证。最重要的是,它是跟网络稳定无关的措施,它是个
人的,不是网络的。
三、VLAN和交换机端口绑定
通过划分VLAN和交换机端口绑定,以图防范ARP,也是常用的防范方法。做法是细致地划分VLAN,
减小广播域的范围,使ARP在小范围内起作用,而不至于发生大面积影响。同时,一些网管交换机具
有MAC地址学习的功能,学习完成后棚指,再关闭这个功能,就可以把对应的MAC和端口进行绑定,避免
了病毒利用ARP攻击篡改自身地址。也就是说,把ARP攻击中被截获数据的风险解除了。这种方法确
实能起到一定的作用。
不过,VLAN和交换机端口绑定的问题在于:
1、 没有对网关的任何保护,不管如何细分VLAN,网关一旦被攻击,照样会造成全网上网的掉线和
瘫痪。
2、 把每一台电脑都牢牢地固定在一个交换机端口上,这种管理太死板了。这根本不适合移动终端
的使用,从办公室到会议室,这台电脑恐怕就无法上网了。在无线应用下,又怎么办呢?还是需要
其他的办法。
3、 实施交换机端口绑定,必定要全部采用高级的网管交换机、三层交换机,整个交换网络的造价
大大提高。
因为交换网络本身就是无条件支持ARP操作的,就是它本身的漏洞造成了ARP攻击的可能,它上面
的管理手段不是针对ARP的。因此,在现有的交换网络上实施ARP防范措施,属于以子之矛攻子之盾
。而且操作维护复杂,基本上是个费力不讨好的事情。
四、PPPoE
网络下面给每一个用户分配一个帐号、密码,上网时必须通过PPPoE认证,这种方法也是防范ARP措
施的一种。PPPoE拨号方式对封包进行了二次封装,使其具备了不受ARP欺骗影响的使用效果,很多
人认为找到了解决ARP问题的终极方案。
问题主要集中在效率和实用性上面:
1、 PPPoE需要对封包进行二次封装,在接入设备上再解封装,必然降低了网络传输效率,造成了带
宽资源的浪费,要知道在路由等设备上添加PPPoE Server的处理效能和电信接入商的PPPoE Server
可不是一个数量级的。
2、 PPPoE方式下局域网间无法互访,在很多网络都有局域网内部的域控服务器、DNS服务器、邮件
服务器、OA系统、资料共享、打印共享等等,需要局域网间相互通信的需求,而PPPoE方式使这一切
都无法使用,是无法被接受的。
3、 不使用PPPoE,在进行内网访问时,ARP的问题依然存在,什么都没有解决,网络的稳定性还是
不行。
因此,PPPoE在技术上属于避开底层协议连接,眼不见心不烦,通过牺牲网络效率换取网络稳定
。最不能接受的,就是网络只能上网用,内部其他的共享就不能在PPPoE下进行了。
通过对以上四种普遍的ARP防范方法的分析,我们可以看出,现有ARP防范措施都存在问题。这也
就是ARP即使研究很久很透,但依然在实践中无法彻底解决的原因所在了。
目前免疫网络在这方面都有专门的技术解决。
一、双绑措施
双绑是在路由器和终端上都进行IP-MAC绑定的措施,它可以对ARP欺骗的两边,伪造网关和截获数
据,都具有约束的作用。这是从ARP欺骗原理上进行的防范措施,也是最普遍应用的办法。它对付最
普通的ARP欺骗是有效的。
但双绑的缺陷在于3点:
1、 在终端上进行的静态绑定,很容易被升级的ARP攻击所捣毁,病毒的一个ARP –d命令,就可以
使静态绑定完全失效。
2、 在路由器上做IP-MAC表的绑定工作,费时费力,是一项繁琐的维护工作。换个网卡或更换IP,
都需要重新配置路由。对于流动性电脑,这个需举和稿要随时进行的绑定工作,是网络维护的巨大负担,
网管员几乎无法完成。
3、 双绑只是让网络的两端电脑和路由不接收相关ARP信息,但是大量的ARP攻击数据还是能发出,
还要在内网传输,大幅降低内网传输效率,依然会出现问题。
因此,虽然双绑曾经是ARP防范的基础措施,但因为防范能力有限,管理太麻烦,现在它的效果越来
越有限了。
二、ARP个人防火墙
在一些杀毒软件中加入了ARP个人防火墙的功能,它是通过在终端电脑上对网关进行绑定,保证不
受网络中假网关的影响,从而保护自身数据不被窃取的措施。ARP防火墙使用范围很广,有很多人以
为有了防火墙,ARP攻击就不构成威胁了,其实完全不是那么回事。
ARP个人防正孝火墙也有很大缺陷:
1、它不能保证绑定的网关一定是正确的。如果一个网络中已经发生了ARP欺骗,有人在伪造网关,
那么,ARP个人防火墙上来就会绑定这个错误的网关,这是具有极大风险的。即使配置中不默认而发
出提示,缺乏网络知识的用户恐怕也无所适从。
2 、ARP是网络中的问题,ARP既能伪造网关,也能截获数据,是个“双头怪”。在个人终端上做ARP
防范,而不管网关那端如何,这本身就不是一个完整的办法。ARP个人防火墙起到的作用,就是防止
自己的数据不会被盗取,而整个网络的问题,如掉线、卡滞等,ARP个人防火墙是无能为力的。
因此,ARP个人防火墙并没有提供可靠的保证。最重要的是,它是跟网络稳定无关的措施,它是个
人的,不是网络的。
三、VLAN和交换机端口绑定
通过划分VLAN和交换机端口绑定,以图防范ARP,也是常用的防范方法。做法是细致地划分VLAN,
减小广播域的范围,使ARP在小范围内起作用,而不至于发生大面积影响。同时,一些网管交换机具
有MAC地址学习的功能,学习完成后棚指,再关闭这个功能,就可以把对应的MAC和端口进行绑定,避免
了病毒利用ARP攻击篡改自身地址。也就是说,把ARP攻击中被截获数据的风险解除了。这种方法确
实能起到一定的作用。
不过,VLAN和交换机端口绑定的问题在于:
1、 没有对网关的任何保护,不管如何细分VLAN,网关一旦被攻击,照样会造成全网上网的掉线和
瘫痪。
2、 把每一台电脑都牢牢地固定在一个交换机端口上,这种管理太死板了。这根本不适合移动终端
的使用,从办公室到会议室,这台电脑恐怕就无法上网了。在无线应用下,又怎么办呢?还是需要
其他的办法。
3、 实施交换机端口绑定,必定要全部采用高级的网管交换机、三层交换机,整个交换网络的造价
大大提高。
因为交换网络本身就是无条件支持ARP操作的,就是它本身的漏洞造成了ARP攻击的可能,它上面
的管理手段不是针对ARP的。因此,在现有的交换网络上实施ARP防范措施,属于以子之矛攻子之盾
。而且操作维护复杂,基本上是个费力不讨好的事情。
四、PPPoE
网络下面给每一个用户分配一个帐号、密码,上网时必须通过PPPoE认证,这种方法也是防范ARP措
施的一种。PPPoE拨号方式对封包进行了二次封装,使其具备了不受ARP欺骗影响的使用效果,很多
人认为找到了解决ARP问题的终极方案。
问题主要集中在效率和实用性上面:
1、 PPPoE需要对封包进行二次封装,在接入设备上再解封装,必然降低了网络传输效率,造成了带
宽资源的浪费,要知道在路由等设备上添加PPPoE Server的处理效能和电信接入商的PPPoE Server
可不是一个数量级的。
2、 PPPoE方式下局域网间无法互访,在很多网络都有局域网内部的域控服务器、DNS服务器、邮件
服务器、OA系统、资料共享、打印共享等等,需要局域网间相互通信的需求,而PPPoE方式使这一切
都无法使用,是无法被接受的。
3、 不使用PPPoE,在进行内网访问时,ARP的问题依然存在,什么都没有解决,网络的稳定性还是
不行。
因此,PPPoE在技术上属于避开底层协议连接,眼不见心不烦,通过牺牲网络效率换取网络稳定
。最不能接受的,就是网络只能上网用,内部其他的共享就不能在PPPoE下进行了。
通过对以上四种普遍的ARP防范方法的分析,我们可以看出,现有ARP防范措施都存在问题。这也
就是ARP即使研究很久很透,但依然在实践中无法彻底解决的原因所在了。
目前免疫网络在这方面都有专门的技术解决。
上海国想
2024-12-02 广告
2024-12-02 广告
如果上海国想科技发展有限公司的服务器被勒索病毒攻击,应立即隔离服务器,防止病毒扩散。同时,全面检查和检测服务器的文件、系统配置和数据库,了解被攻击的具体情况。利用安全软件扫描系统,查找并终止与勒索病毒相关的进程。备份重要数据以防丢失,并与网...
点击进入详情页
本回答由上海国想提供
展开全部
ARP攻击是从数据链路裤困层发起的,ARP防火墙、360等都是应用层软件,防不了的。并且ARP等网络攻击一直都存在的,网络攻击有时并不是人为故意搞破坏,因为以太网协议存在先天漏洞和难管理烂纯饥的缺陷,导致各种内网问题层出不穷。要想彻底解决内网攻击,只有从每个终端的网卡上进行防控拦截,使其不能发出ARP攻击。 我们公司以前的网络也出现这种问题,后来用了欣向免疫安全网关,将普通网络升级为免疫网络,从网络底层、每个终端上进行防控监测,不仅能防止本机不受攻击,还能拦截本机对外的网络攻击,加固网络饥返基础安全,能够彻底有效的解决内网攻击问题
已赞过
已踩过<
评论
收起
你对这个回答的评价是?
展开全部
装个360,把里面的ARP防火墙打开
已赞过
已踩过<
评论
收起
你对这个回答的评价是?
展开全部
把路由器的MAC跟路由的IP绑一下
已赞过
已踩过<
评论
收起
你对这个回答的评价是?
推荐律师服务:
若未解决您的问题,请您详细描述您的问题,通过百度律临进行免费专业咨询