如何彻底解决局域网内ARP攻击的设置方法

faxian · 发表于 2013-5-17 13:36:29

　　最常见的局域网安全问题就是ARP攻击了，相信百分五十以上的局域网用户都受到过ARP攻击，这种攻击方法非常不好防治，所以普通的局域网用户都不清楚怎么彻底解决ARP攻击问题。如果你用路由器设置了局域网，请看以下如何彻底解决局域网内ARP攻击的设置方法。
　　一、彻底解决ARP攻击
　　事实上，由于路由器是整个局域网的出口，而ARP攻击是以整个局域网为目标，当ARP攻击包已经达到路由器的时候，影响已经照成。所以由路由器来承担防御ARP攻击的任务只是权宜之计，并不能很好的解决问题。
　　我们要真正消除ARP攻击的隐患，安枕无忧，必须转而对“局域网核心”――交换机下手。由于任何ARP包，都必须经由交换机转发，才能达到被攻击目标，只要交换机据收非法的ARP包，哪么ARP攻击就不能造成任何影响。
　　我们提出一个真正严密的防止ARP攻击的方案，就是在每台接入交换机上面实现ARP绑定，并且过滤掉所有非法的ARP包。这样可以让ARP攻击足不能出户，在局域网内完全消除了ARP攻击。
　　因为需要每台交换机都具有ARP绑定和相关的安全功能，这样的方案无疑价格是昂贵的，所以我们提供了一个折衷方案。
　　二、一般ARP攻击的解决方法
　　现在最常用的基本对治方法是“ARP双向绑定”。
　　由于ARP攻击往往不是病毒造成的，而是合法运行的程序(外挂、网页)造成的，所杀毒软件多数时候束手无策。
　　所谓“双向绑定”，就是再路由器上绑定ARP表的同时，在每台电脑上也绑定一些常用的ARP表项。
　　“ARP双向绑定”能够防御轻微的、手段不高明的ARP攻击。ARP攻击程序如果没有试图去更改绑定的ARP表项，那么ARP攻击就不会成功;如果攻击手段不剧烈，也欺骗不了路由器，这样我们就能够防住50%ARP攻击。
　　但是现在ARP攻击的程序往往都是合法运行的，所以能够合法的更改电脑的ARP表项。在现在ARP双向绑定流行起来之后，攻击程序的作者也提高了攻击手段，攻击的方法更综合，另外攻击非常频密，仅仅进行双向绑定已经不能够应付凶狠的ARP攻击了，仍然很容易出现掉线。
　　于是我们在路由器中加入了“ARP攻击主动防御”的功能。这个功能是在路由器ARP绑定的基础上实现的，原理是：当网内受到错误的ARP广播包攻击时，路由器立即广播正确的ARP包去修正和消除攻击包的影响。这样我们就解决了掉线的问题，但是在最凶悍的ARP攻击发生时，仍然发生了问题----当ARP攻击很频密的时候，就需要路由器发送更频密的正确包去消除影响。虽然不掉线了，但是却出现了上网“卡”的问题。
　　所以，我们认为，依靠路由器实现“ARP攻击主动防御”，也只能够解决80%的问题。
　　为了彻底消除ARP攻击，我们在此基础上有增加了“ARP攻击源攻击跟踪”的功能。对于剩下的强悍的ARP攻击，我采用“日志”功能，提供信息方便用户跟踪攻击源，这样用户通过临时切断攻击电脑或者封杀发出攻击的程序，能够解决问题。
　　最后提醒大家，不管是局域网还是广域网，都需要注意安全问题，只要有网络的地方就可能有病毒，现在的病毒传播非常快速厉害，有时间多学习一些网络安全方面的知识。

tom9916 · 发表于 2013-5-17 13:59:36

本帖最后由 tom9916 于 2013-5-17 14:01 编辑

ARP攻击对依靠ARP协议通信的局域网是有着很大的影响，绑定MAC是一个简单的坚决办法，但在中大型网络环境中，这样的绑定缺乏灵活的性，且配置量较大，网络中总有新的终端MAC加入的时候。
楼主所说的路由器开启ARP主动防御，方法虽不错，但这样会增加路由器的负担，容易形成网络瓶颈。但并不是所有路由器支持这个ARP主动防御，不具有通用性。

没有绝对的彻底，只最合适的方法。根据ARP通信原理，除了楼主的方法，我们也可以采用换协议的方法让局域网通信，比如：才用PPPOE，PPPOE在局域网内通信过程，是不靠ARP协议的，中毒了ARP病毒，不会断网，大量ARP攻击造成网络拥塞也会造成网络卡。要比较好的解决除了楼主说的方法、换成PPPOE等等方法，最好在每台终端部署主动防御企业级杀毒软件（或部署内网安全方案），日常查杀病毒，部署网络监控软件发现攻击告警通知。

多点开花，多点结合。才能最好的解决ARP攻击问题。

tonylldd · 发表于 2013-5-24 03:06:39

根本没有彻底的方法。你这样也只是保护了终端不受arp影响而已。但是arp的数据包仍然在网络中的，影响了网络利用效率。也正如楼上，要多点开花，多点结合。才能最好的解决ARP攻击问题。

zhaofg1029 · 发表于 2013-6-15 10:11:06

tong yi