或者您可以更改ip地址和mac地址。
淺析四種常見的ARP防範措施
第壹,雙重約束措施
雙重綁定是路由器和終端雙方IP-MAC綁定的措施,可以抑制雙方ARP欺騙,偽造網關,攔截數據。這是基於ARP欺騙原理的預防措施,也是最常用的方法。它對最常見的ARP欺騙是有效的。
但是雙重約束的缺陷在於三點:
1.終端上的靜態綁定很容易被升級的ARP攻擊破壞。病毒的壹個ARP–D命令就可以完全使靜態綁定失效。
2.在路由器上綁定IP-MAC表費時費力,是壹項繁瑣的維護工作。更換網卡或更改IP需要重新配置路由。對於移動電腦來說,這種需要隨時進行的綁定工作,對於網絡維護來說是壹個巨大的負擔,網絡管理員幾乎無法完成。
3.雙綁定只是讓網絡兩端的電腦和路由器收不到相關的ARP信息,但是大量的ARP攻擊數據仍然可以發出去,在內網傳輸,大大降低了內網的傳輸效率,仍然會產生問題。
所以雙綁定雖然曾經是ARP防範的基本措施,但是由於防範能力有限,管理上太麻煩,效果越來越有限。
二、ARP個人防火墻
在壹些殺毒軟件中加入ARP個人防火墻的功能,是通過在終端電腦上綁定網關,保證不受網絡中假網關的影響,來保護自身數據不被竊取的措施。ARP防火墻應用廣泛。很多人認為有了防火墻ARP攻擊就不會構成威脅,其實根本不是這麽回事。
ARP個人防火墻也有很大的缺陷:
1.它不能保證綁定的網關壹定是正確的。如果網絡中發生了ARP欺騙,有人在偽造網關,那麽ARP個人防火墻就會綁定錯誤的網關,風險極大。即使配置沒有默認提示,缺乏網絡知識的用戶也可能無所適從。
2.ARP是網絡中的壹個問題。ARP不僅可以偽造網關,還可以攔截數據。是“雙頭怪”。在個人終端上做ARP防範,不考慮網關,本身並不是壹個完整的方法。ARP個人防火墻的作用是防止自己的數據被竊取,但是對於掉線、卡等全網問題,ARP個人防火墻是無能為力的。
因此,ARP個人防火墻不提供可靠的保證。最重要的是,這是壹個與網絡穩定性無關的措施。是個人的,不是網上的。
第三,VLAN和交換機端口綁定
通過劃分VLAN和交換機端口綁定也是防止ARP的常用方法。做法是仔細劃分VLAN,縮小廣播域範圍,讓ARP在小範圍內工作,不會造成大範圍的影響。同時,壹些網管交換機具有學習MAC地址的功能。學習完成後,關閉該功能,對應的MAC就可以綁定端口,防止病毒通過ARP攻擊篡改自己的地址。也就是說,解除了ARP攻擊中數據被攔截的風險。這種方法確實能起到壹定的作用。
然而,VLAN和交換機端口綁定的問題在於:
1,沒有對網關的保護,無論如何細分VLAN,壹旦網關被攻擊,仍然會造成全網掉線癱瘓。
2、每臺電腦都牢牢固定在壹個交換機端口上,這種管理太死板了。這根本不適合移動終端的使用。從辦公室到會議室,恐怕這臺電腦不能上網。在無線應用下,我該怎麽做?還是需要其他方式。
3.要實現交換機端口綁定,必須采用所有的高級網管交換機和三層交換機,大大增加了整個交換網絡的成本。
由於交換網本身無條件支持ARP運行,造成ARP攻擊可能性的是自身的漏洞,其管理手段並不是針對ARP的。因此,在現有交換網絡上實施ARP防範措施,屬於以矛攻子之盾。而且運維復雜,基本是吃力不討好的事情。
第四,PPPoE
每個用戶在網絡下被分配壹個賬號和密碼,上網時必須通過PPPoE認證。這種方法也是防止ARP的措施之壹。PPPoE撥號方式對數據包進行兩次封裝,使其具有不受ARP欺騙影響的效果。很多人認為ARP問題的終極解決方案已經找到了。
問題主要集中在效率和實用性上:
1,PPPoE需要對數據包進行第二次封裝,然後在接入設備上解封裝,必然會降低網絡傳輸效率,造成帶寬資源的浪費。要知道PPPoE服務器加路由等設備的處理效率不是壹個量級的。
2.在PPPoE模式下,局域網不能互相訪問。在很多網絡中,有域控制服務器、DNS服務器、郵件服務器、OA系統、數據共享、打印共享等。在局域網內,這就需要局域之間的通信。然而,PPPoE模式使得所有這些都不可用和不可接受。
3.沒有PPPoE,在訪問內網的時候,ARP問題依然存在,什麽都沒解決,網絡的穩定性依然不好。
所以PPPoE在技術上就是避免底層協議連接,眼不見心不煩,通過犧牲網絡效率來交換網絡穩定性。最不能接受的是網絡只能在線使用,其他內部* * *享受不能在PPPoE下進行。
通過對以上四種常見的ARP防範方法的分析,可以看出現有的ARP防範措施存在問題。這也是為什麽ARP即使研究了很久,在實踐中也無法完全解決的原因。
免疫網絡是解決ARP最根本的方法。
正所謂魔高壹尺道高壹丈,網絡問題必須用網絡的方法來解決。目前,全方位免疫網絡是徹底解決ARP問題最實用的方法。
從技術原理上講,徹底解決ARP欺騙和攻擊有三個技術點。
1.終端和網關之間的綁定應該是牢固可靠的,並且這種綁定能夠抵抗病毒的破壞。
2.接入路由器或網關應該始終確保對後續終端的IP-MAC的唯壹且準確的識別。
3.網絡中應該有壹個最可靠的組織來為網關IP-MAC提供最強的保護。它不僅可以分發正確的網關信息,還可以立即阻止錯誤的網關信息。
免疫網對這三個問題都有專門的技術解決方案,這些技術都是廠商的技術專利。下面我們會詳細解釋。現在,我們要簡單介紹壹下免疫網絡的結構和實現。
免疫網是在現有的由路由器、交換機、網卡、網線組成的普通交換網絡的基礎上,增加壹套安全和管理解決方案。這樣在普通網絡通信中,安全和管理機制融為壹體,保證了網絡通信過程中的安全管控能力,堵上了普通網絡對安全從來不是毫無防備的先天漏洞。
實現壹個免疫網絡並不是壹件很復雜的事情,成本也不是很大。它所要做的就是用免疫墻路由器或免疫網關替換現有的寬帶接入設備。免疫墻路由器下,需要自帶服務器24小時運行免疫運營中心。不需要免疫網關,有自己的服務器。這是該方案所需的硬件調整措施。硬件價格從1萬元到1萬元不等。根據不同企業的需求,大中小微企業都可以有自己的需求,選擇的範圍很廣。
軟網調整是IP規劃、分組策略、終端自動安裝上網驅動等配置安裝工作,保證整個安全管理功能的有效運行。其實這部分工作和網絡管理員日常管理網絡沒有太大區別。
免疫網具有強大的網絡基礎安全和管理功能,防範ARP的能力不足十分之壹。但是這篇論文是關於ARP的,所以我們需要回過頭來解釋ARP欺騙的機理和免疫網絡的防攻擊。至於免疫網絡,功能更強大,可以進壹步研究。
上面提到的ARP治理的三個技術點,終端綁定、網關和組織、免疫網絡分別采用特殊的技術手段。
1,終端綁定采用守護綁定技術。免疫網要求每個終端自動安裝驅動,不安裝或卸載就不能上網。驅動中的守護綁定是將正確的網關信息存儲在壹個非公開的位置來保護它。由於網守程序的嚴密監控,對網關信息的任何更改都不可能成功,這就完成了牢固可靠的終端綁定的要求。
2.免疫墻路由器或免疫網關的ARP先天免疫技術。在NAT轉發的過程中,由於特殊的機制,免疫墻路由器根本就忽略了任何對終端IP-MAC的ARP聲明,也就是沒有人能夠欺騙網關。與其他路由器不同,免疫墻路由器不使用IP-MAC的列表來工作,當然也不需要復雜的路由器IP-MAC表綁定和維護操作。先天免疫即使不在乎也有這個能力。
3.確保網關IP-MAC始終正確的組織是免疫網絡中的壹套安全機制。首先,它可以將從路由器獲得的真實網關信息分發給網絡中的每壹個終端,而有驅動的終端只接受這些信息,其他信息不能接受,從而保證了網關的唯壹性和正確性。其次,在各個終端,免疫驅動會攔截病毒發送的錯誤網關的傳輸,防止其逃入網絡,從根源上切斷ARP欺騙和攻擊。
從以上三項措施來看,免疫網真正解決了長期存在的ARP問題,技術嚴謹,應用可行,成本相對較低。所以,相對於常見的四種ARP預防方法,免疫網絡是解決ARP最根本的方法。