ARP攻击就是向网络中发送大量的虚假ARP数据包,来扰乱路由器中的ARP缓存表,造成路由器找不到正确的设备,绑定是通过将IP和MAC绑定,通过arp -s的命令进行绑定,这种绑定是静态绑定,是在ARP表中保存的,这对原来的ARP攻击 还是有用的,现在的二代ARP攻击会先清空做的绑定然后再进行攻击,所以绑定对现在的ARP也是无效的,要想防止ARP就要根据ARP攻击的原理进行防范,从源头上抑制ARP,通过对每个终端发出的数据包进行检查,拦截虚假的数据包,保证网络中的数据包都是真实的,不会对网络产生影响
严重 同意 楼上的说的。
你要知道 普通的路由能做那些事
1:基于IP的限速
2:ip-mac的绑定
3:限制一些 公网的 连接数
4:QQ 等一些网络应用的限制(高级点的设备)
你可以清楚的看到了 防止arp的攻击,以上能做到么?
我就在使用欣向的免疫墙路由,我启用免疫模式后,内网的arp攻击 在也没有了,还有内网其他的恶意攻击 都被拦截了,我在监控中心看的清清楚楚,内网的问题都没有了,我的网络很稳定。
建议LZ去购买欣向的免疫墙路由器。
要防arp攻击首先知道arp攻击是怎么来的,而且绑定也是没用的,
我给你先分析下arp攻击的原理吧
arp在目前看来可以分为7中之多。
1、arp欺骗(网关、pc)
2、arp攻击
3、arp残缺
4、海量arp
5、二代arp(假ip、假mac)
因为二代的arp最难解决,现在我就分析一下二代arp的问题。
现象 ARP出现了新变种,二代ARP攻击已经具有自动传播能力,已有的宏文件绑定方式已经被破,网络有面临新一轮的掉线和卡滞盗号的影响!
原理 二代ARP主要表现在病毒通过网络访问或是主机间的访问互相传播。由于病毒已经感染到电脑主机,可以轻而易举的清除掉客户机电脑上的ARP静态绑定(首先执行的是arp -d然后在执行的是arp -s ,此时绑定的是一个错误的MAC)伴随着绑定的取消,错误的网关IP和MAC的对应并可以顺利的写到客户机电脑,ARP的攻击又畅通无阻了。
解决办法
(1)部分用户采用的“双/单项绑定”后,ARP攻击得到了一定的控制。
面临问题双绑和单绑都需要在客户机上绑定。二代ARP攻击会清除电脑上的绑定,使得
电脑静态绑定的方式无效。
(2)部分用户采用一种叫作“循环绑定”的办法,就是每过一段“时间”客户端自动
绑定一个“IP/MAC”。
面临问题如果我们“循环绑定”的时间较长(比arp清除的时间长)就是说在“循环绑
定”进行第二次绑定之前就被清除了,这样对arp的防范仍然无效。如果“循环绑定”
的时间过短(比arp清除时间短)这块就会暂用更多的系统资源,这样就是“得不偿失
”
(3)部分用户采用一种叫作“arp防护”,就是网关每过一段时间按照一定的“频率”
在内网发送正确网关“IP/MAC”
面临问题如果发送的“频率”过快(每秒发送的ARP多)就会严重的消耗内网的资源(
容易造成内网的堵塞),如果发送“频率”太慢(没有arp协议攻击发出来频率高)在
arp防范上面没有丝毫的作用。
最彻底的办法
(4)arp是个“双头怪”要想彻底解决必须要“首尾兼顾”有两种方式可以实现
第一 采用“看守式绑定”的方法,实时监控电脑ARP缓存,确保缓存内网关MAC和IP的
正确对应。在arp缓存表里会有一个静态的绑定,如果受到arp的攻击,或只要有公网的
请求时,这个静态的绑定又会自动的跳出,所以并不影响网络的正确的访问。这种方式
是安全与网卡功能融合的一种表现,也叫作“终端抑制”
第二就是在网络接入架构上要有“安全和网络功能的融合”就是在接入网关做NAT的时候不是按照传统路由那样根据“MAC/IP”映射表来转发数据,而是根据他们在NAT表中的MAC来确定(这样就会是只要数据可以转发出去就一定可以回来)就算ARP大规模的爆发,arp表也混乱了但是并不会给我们的网络造成任何影响。(不看IP/MAC映射表)这
种方法在现有控制ARP中也是最彻底的。也被称为是“免疫网络”的重要特征。
第一种ARP欺骗的原理是——截获网关数据。它通知路由器一系列错误的内网MAC地址,并按照一定的频率不断进行,使真实的地址信息无法通过更新保存在路由器中,结果路由器的所有数据只能发送给错误的MAC地址,造成正常PC无法收到信息。
第二种ARP欺骗的原理是——伪造网关。它的原理是建立假网关,让被它欺骗的PC向假网关发数据,而不是通过正常的路由器途径上网。在PC看来,就是上不了网了,“网络掉线了”。
常用的解决办法就是一、在宽带路由器中把所有PC的IP-MAC输入到一个静态表中,这叫路由器IP-MAC绑定。二、在内网所有PC上设置网关的静态ARP信息,这叫PC机IP-MAC绑定。三是前两种办法的组合,称其为IP-MAC双向绑定。
方法是有效的,但工作很繁琐,管理很麻烦。每台PC绑定本来就费力,在路由器中添加、维护、管理那么长长的一串列表,更是苦不堪言。一旦将来扩容调整,或更换网卡,又很容易由于疏忽造成混乱。况且ARP出现了新变种,二代ARP攻击已经具有自动传播能力,已有的宏文件绑定方式已经被破,主要表现在病毒通过网络访问或是主机间的访问互相传播。由于病毒已经感染到电脑主机,可以轻而易举的清除掉客户机电脑上的ARP静态绑定,伴随着绑定的取消,错误的网关IP和MAC的对应并可以顺利的写到客户机电脑,错误的网关IP和MAC的对应并可以顺利的写到客户机电脑,ARP的攻击又畅通无阻了。
我也曾受过arp的毒害,辛辛苦苦做的双向绑定遇到二代arp攻击变的是无所遁形,我觉得要想真正的杜绝arp攻击还是要我们内网每台电脑都联动起来,共同防范,共同抑制,光装防arp攻击的防火墙是远远不够的,这只能保证你可能不被攻击,但不能杜绝你不发arp攻击,这样是治标不治本的,因此要想真正杜绝arp最治本的方法还是从源头抑制,即从每个终端上抑制arp攻击的发出,因此要想完全的杜绝arp攻击要靠软硬件的结合,单靠硬件是无法实现的
听说最近市面上正流行一种叫免疫墙的效果不错,解决ARP攻击比较彻底,你可以试试。
标签:ARP,路由,攻击
