彻底解决局域网ARP攻击
来源:asp之家 发布时间:2009-12-24 09:49:00
一般ARP攻击的对治方法
现在最常用的基本对治方法是“ARP双向绑定”。
由于ARP攻击往往不是病毒造成的,而是合法运行的程序( * 、网页)造成的,所杀毒软件多数时候束手无策。
所谓“双向绑定”,就是再路由器上绑定ARP表的同时,在每台电脑上也绑定一些常用的ARP表项。
“ARP双向绑定”能够防御轻微的、手段不高明的ARP攻击。ARP攻击程序如果没有试图去更改绑定的ARP表项,那么ARP攻击就不会成功;如果攻击手段不剧烈,也欺骗不了路由器,这样我们就能够防住50%ARP攻击。
但是现在ARP攻击的程序往往都是合法运行的,所以能够合法的更改电脑的ARP表项。在现在ARP双向绑定流行起来之后,攻击程序的作者也提高了攻击手段,攻击的方法更综合,另外攻击非常频密,仅仅进行双向绑定已经不能够应付凶狠的ARP攻击了,仍然很容易出现掉线。
于是我们在路由器中加入了“ARP攻击主动防御”的功能。这个功能是在路由器ARP绑定的基础上实现的,原理是:当网内受到错误的ARP广播包攻击时,路由器立即广播正确的ARP包去修正和消除攻击包的影响。这样我们就解决了掉线的问题,但是在最凶悍的ARP攻击发生时,仍然发生了问题----当ARP攻击很频密的时候,就需要路由器发送更频密的正确包去消除影响。虽然不掉线了,但是却出现了上网“卡”的问题。
所以,我们认为,依靠路由器实现“ARP攻击主动防御”,也只能够解决80%的问题。
为了彻底消除ARP攻击,我们在此基础上有增加了“ARP攻击源攻击跟踪”的功能。对于剩下的强悍的ARP攻击,我采用“日志”功能,提供信息方便用户跟踪攻击源,这样用户通过临时切断攻击电脑或者封杀发出攻击的程序,能够解决问题。
彻底解决ARP攻击
事实上,由于路由器是整个局域网的出口,而ARP攻击是以整个局域网为目标,当ARP攻击包已经达到路由器的时候,影响已经照成。所以由路由器来承担防御ARP攻击的任务只是权宜之计,并不能很好的解决问题。
我们要真正消除ARP攻击的隐患,安枕无忧,必须转而对“局域网核心”――交换机下手。由于任何ARP包,都必须经由交换机转发,才能达到被攻击目标,只要交换机据收非法的ARP包,哪么ARP攻击就不能造成任何影响。
我们提出一个真正严密的防止ARP攻击的方案,就是在每台接入交换机上面实现ARP绑定,并且过滤掉所有非法的ARP包。这样可以让ARP攻击足不能出户,在局域网内完全消除了ARP攻击。
因为需要每台交换机都具有ARP绑定和相关的安全功能,这样的方案无疑价格是昂贵的,所以我们提供了一个折衷方案。
经济方案
我们只是中心采用能够大量绑定ARP和进行ARP攻击防御的交换机――Netcore 7324NSW,这款交换机能够做到ARP绑定条目可以达到1000条,因此基本上可以对整网的ARP进行绑定,同时能杜绝任何非法ARP包在主交换机进行传播。
这样如果在强力的ARP攻击下,我们观察到的现象是:ARP攻击只能影响到同一个分支交换机上的电脑,这样可能被攻击到的范围就大大缩小了。当攻击发生时,不可能造成整个网络的问题。
在此基础上,我们再补充“日志”功能和“ARP主动防御”功能,ARP攻击也可以被完美的解决。
猜你喜欢
- 一、安装POP3和SMTP服务组件 Windows Server 2003默认情况下是没有安装POP3和SMTP服务组件的,因此我们要手工添
- Godaddy主机用户怎样下载Account Manager里的文件呢?首先、登陆你的Account Manager.其次、在My Prod
- 国防部新闻事务局设立、新闻发言人亮相……近年来,中国军队举措频频,以开放、务实、活跃的姿态引人注
- 11月19日,《魔兽世界》在中国大陆的运营商网易(Nasdaq:NTES)发布三季度财报,期内其毛利润为6.27亿元,上一季度和去年同期分别
- 通常,微软IE工作过程描述如下:作为网页挂马的散布者,其目的是将木马下载到用户本地,并进一步执行,当木马获得执行之后,就意味着会有更多的木马
- 由中国互联网协会主办、工业和信息化部等部委指导的2008(第七届)中国互联网大会,于2008年9月23日至25日在南京会议展览中心召开。本届
- (4)Userinfo%Name-用户登录名%IP-用户IP地址%Dir-用户当前目录%Disk-用户当前磁盘驱动器%DFree-用户当前剩
- 这段时间一直在研究产品功能整合,谈到整合就不能不说腾讯。大家说到腾讯最多时候是说COPY,当然我个人也觉得腾讯的COPY能力是很强的,但这个
- 当全世界大多数行业面临危机和困境的时候,Google的利润和市值依然迅速增长,Google暴利的背后到底隐藏了什么秘密。本文将第一次在世界上
- 1. 首页在哪里?你要确保在博客页面的顶部位置有一个明显的“首页”链接。2. 将你的logo链向你的
- Discuz!7.0是康盛创想(Comsenz)公司于2008年12月份发布的一款论坛BBS建站产品。在Discuz!7.0中,界面风格设置
- 很多朋友在留言中询问关于主题使用中的问题,而我也多次在留言里做了回答,无奈留言太多而且不集中,所以前来询问的朋友一般都不愿意从留言评论中去寻
- Windows7(vista)系统自带的iis7.0(7.5),有很多新的功能让人耳目一新,在这里让我们看看IIS7是如何继续支持ASP的.
- 最近看电脑太多了,少有活动,到处酸痛,看来要多做运动。正好看到这个电脑操,一起运动一下。1、伸伸懒腰,松松骨,每小时都要做 2、推
- 对于Web应用来说,注射式攻击由来已久,攻击方式也五花八门,常见的攻击方式有SQL注射、命令注射以及新近才出现的XPath注射等等。本文将以
- 细微调整能带来大大的影响,特别是一些较不易被注意的细节。在安装完WordPress后,你可以遵循以下的一些建议,让博客有个好的开始,其中包括
- 如何使用Godaddy的免费空间,下面就介绍一下几个简单的步骤: 1. 登陆account manager2. 点free pro
- “生铁”关键词阿里巴巴为什么在百度排名第一,这个问题钢铁业界的人士都很感兴趣,也迫不及待的想知道究竟
- 广告的位置完全决定了广告的点击率,以文章网站为例,文章正文放336*280是公认点击率最高的。有的人总是抱怨某项广告收益太低,也许就是因为广
- cpanel-wordpress博客换域名教程写yao1l.com转向yilongseo.com的过程,如果你的博客要换域名的不防可以看看,