1.首先企业或一个局域有了ARP攻击,肯定是很麻烦的,这对于管理员来说很头痛。有防火强或软件可以查出哪些机器有了ARP前兆,这类防ARP攻击的软件本人觉得彩影的比较直观。既然查出了那些机器就可以隔离那些有ARP攻击性的机器。然后再对那些机器进行清楚ARP攻击软件。这是解决的方法之一。
2.在方法之一中我提过隔离机器再进行解决。但是随之问题又来了,从ARP攻击来源再看,有可能是P2P软件或网络中的一些软件。怎么确认修复好的机器被同事朋友又下了同样的带有攻击的软件又来ARP攻击局域网呢?很难保证,因为局域网的网络是开放的。
3.在下面文章中说,双向绑定,双向绑定是有一些效果,但是不足以来防止ARP攻击。有时甚至没有效果。
4.至于说交换机绑定,如果有这个功能那当然很好可以解决,问题是哪个企业会花那么多钱买那些贵的交换机呢,要知道局域中使用的交换机一般要比路由器多得多。重新购买有绑定功能的交换机肯定是不可行的。成本很很大。
5.综上所述,我认为不如再买一个ARP防火墙的路由器。从硬件上防ARP攻击。而且只需买一个即可,不用买多个带有绑定或防ARP攻击的交换机。
JIM我在这里献丑了,有文字里面有些说的不对的提议,望大家海函并帮忙修正!欢迎和更多的朋友一起交流!邮件: 359394847@qq.com
一般ARP攻击的对治方法
$ a3 `7 B! b) g+ Y0 Y$ E! F% u* T现在最常用的基本对治方法是“ARP双向绑定”。
" s, C: I& ~- Y/ Q3 e由于ARP攻击往往不是病毒造成的,而是合法运行的程序(外挂、网页)造成的,所杀毒软件多数时候束手无策。
/ v. _+ {) j1 ]# V8 ^2 J1 H7 J所谓“双向绑定”,就是再路由器上绑定ARP表的同时,在每台电脑上也绑定一些常用的ARP表项。* G& L6 o. O/ J4 ~/ @2 H- f
“ARP双向绑定”能够防御轻微的、手段不高明的ARP攻击。ARP攻击程序如果没有试图去更改绑定的ARP表项,那么ARP攻击就不会成功;如果攻击手段不剧烈,也欺骗不了路由器,这样我们就能够防住50%ARP攻击。
6 q- L b, \- S但是现在ARP攻击的程序往往都是合法运行的,所以能够合法的更改电脑的ARP表项。在现在ARP双向绑定流行起来之后,攻击程序的作者也提高了攻击手段,攻击的方法更综合,另外攻击非常频密,仅仅进行双向绑定已经不能够应付凶狠的ARP攻击了,仍然很容易出现掉线。+ k9 w% d& r2 g
于是我们在路由器中加入了“ARP攻击主动防御”的功能。这个功能是在路由器ARP绑定的基础上实现的,原理是:当网内受到错误的ARP广播包攻击时,路由器立即广播正确的ARP包去修正和消除攻击包的影响。这样我们就解决了掉线的问题,但是在最凶悍的ARP攻击发生时,仍然发生了问题----当ARP攻击很频密的时候,就需要路由器发送更频密的正确包去消除影响。虽然不掉线了,但是却出现了上网“卡”的问题。# v& h$ S s( Q4 H6 E
所以,我们认为,依靠路由器实现“ARP攻击主动防御”,也只能够解决80%的问题。
& A N. i5 [6 J7 @4 h. }0 ^0 ]为了彻底消除ARP攻击,我们在此基础上有增加了“ARP攻击源攻击跟踪”的功能。对于剩下的强悍的ARP攻击,我采用“日志”功能,提供信息方便用户跟踪攻击源,这样用户通过临时切断攻击电脑或者封杀发出攻击的程序,能够解决问题。
$ }# f3 {$ `$ ?1 g( ?: @彻底解决ARP攻击1 s# \9 I! N7 w8 P" H2 P5 G R
事实上,由于路由器是整个局域网的出口,而ARP攻击是以整个局域网为目标,当ARP攻击包已经达到路由器的时候,影响已经照成。所以由路由器来承担防御ARP攻击的任务只是权宜之计,并不能很好的解决问题。
! r) T7 u6 h( f2 T4 R我们要真正消除ARP攻击的隐患,安枕无忧,必须转而对“局域网核心”――交换机下手。由于任何ARP包,都必须经由交换机转发,才能达到被攻击目标,只要交换机据收非法的ARP包,哪么ARP攻击就不能造成任何影响。
/ B& {; W: `# c& T0 h: {我们提出一个真正严密的防止ARP攻击的方案,就是在每台接入交换机上面实现ARP绑定,并且过滤掉所有非法的ARP包。这样可以让ARP攻击足不能出户,在局域网内完全消除了ARP攻击。
7 b3 } c, z) H+ j% @+ ^1 k, R因为需要每台交换机都具有ARP绑定和相关的安全功能,这样的方案无疑价格是昂贵的,所以我们提供了一个折衷方案。9 n, s9 j, h2 T0 q1 _& n
经济方案
$ W2 H+ q+ p1 T% @$ A我们只是中心采用能够大量绑定ARP和进行ARP攻击防御的交换机――Netcore 7324NSW,这款交换机能够做到ARP绑定条目可以达到1000条,因此基本上可以对整网的ARP进行绑定,同时能杜绝任何非法ARP包在主交换机进行传播。; X9 {" e2 m k/ l
这样如果在强力的ARP攻击下,我们观察到的现象是:ARP攻击只能影响到同一个分支交换机上的电脑,这样可能被攻击到的范围就大大缩小了。当攻击发生时,不可能造成整个网络的问题。, H/ r$ D- r9 @5 ?2 q/ L1 Z* H
在此基础上,我们再补充“日志”功能和“ARP主动防御”功能,ARP攻击也可以被完美的解决。
- d, y& _0 g: c/ B8 [ARP攻击最新动态7 A, F$ f, B: L/ r5 u7 m* h+ S
最近一段时间,各网吧发现的ARP攻击已经升级,又一波ARP攻击的高潮来临。7 T( U) S! T6 A* x) z
这次ARP攻击发现的特征有:% Q3 `8 U m- }
1、 速度快、效率高,大概在10-20秒的时间内,能够造成300台规模的电脑掉线。
, r" f' f) x8 B- ~: a! d2、 不易发现。在攻击完成后,立即停止攻击并更正ARP信息。如果网内没有日志功能,再去通过ARP命令观察,已经很难发现攻击痕迹。
3 m* r' Z# r2 h4 d, h9 t3、 能够破解最新的XP和2000的ARP补丁,微软提供的补丁很明显在这次攻击很脆弱,没有作用。0 Q8 ?7 U p7 n( U0 Z. g
4、 介质变化,这次攻击的来源来自私服程序本身(不是外挂)和P2P程序。
亿恩科技地址(ADD):郑州市黄河路129号天一大厦608室 邮编(ZIP):450008 传真(FAX):0371-60123888
联系:亿恩小凡
QQ:89317007
电话:0371-63322206
本文出自:亿恩科技【www.enkj.com】
服务器租用/服务器托管中国五强!虚拟主机域名注册顶级提供商!15年品质保障!--亿恩科技[ENKJ.COM]
|