arp攻击怎么办,怎么找到中毒的主机?帮助主人。在线等待。可以用QQ远程解决。
或者您可以更改ip地址和mac地址。
浅析四种常见的ARP防范措施
第一,双重约束措施
双重绑定是路由器和终端双方IP-MAC绑定的措施,可以抑制双方ARP欺骗,伪造网关,拦截数据。这是基于ARP欺骗原理的预防措施,也是最常用的方法。它对最常见的ARP欺骗是有效的。
但是双重约束的缺陷在于三点:
1.终端上的静态绑定很容易被升级的ARP攻击破坏。病毒的一个ARP–D命令就可以完全使静态绑定失效。
2.在路由器上绑定IP-MAC表费时费力,是一项繁琐的维护工作。更换网卡或更改IP需要重新配置路由。对于移动电脑来说,这种需要随时进行的绑定工作,对于网络维护来说是一个巨大的负担,网络管理员几乎无法完成。
3.双绑定只是让网络两端的电脑和路由器收不到相关的ARP信息,但是大量的ARP攻击数据仍然可以发出去,在内网传输,大大降低了内网的传输效率,仍然会产生问题。
所以双绑定虽然曾经是ARP防范的基本措施,但是由于防范能力有限,管理上太麻烦,效果越来越有限。
二、ARP个人防火墙
在一些杀毒软件中加入ARP个人防火墙的功能,是通过在终端电脑上绑定网关,保证不受网络中假网关的影响,来保护自身数据不被窃取的措施。ARP防火墙应用广泛。很多人认为有了防火墙ARP攻击就不会构成威胁,其实根本不是这么回事。
ARP个人防火墙也有很大的缺陷:
1.它不能保证绑定的网关一定是正确的。如果网络中发生了ARP欺骗,有人在伪造网关,那么ARP个人防火墙就会绑定错误的网关,风险极大。即使配置没有默认提示,缺乏网络知识的用户也可能无所适从。
2.ARP是网络中的一个问题。ARP不仅可以伪造网关,还可以拦截数据。是“双头怪”。在个人终端上做ARP防范,不考虑网关,本身并不是一个完整的方法。ARP个人防火墙的作用是防止自己的数据被窃取,但是对于掉线、卡等全网问题,ARP个人防火墙是无能为力的。
因此,ARP个人防火墙不提供可靠的保证。最重要的是,这是一个与网络稳定性无关的措施。是个人的,不是网上的。
第三,VLAN和交换机端口绑定
通过划分VLAN和交换机端口绑定也是防止ARP的常用方法。做法是仔细划分VLAN,缩小广播域范围,让ARP在小范围内工作,不会造成大范围的影响。同时,一些网管交换机具有学习MAC地址的功能。学习完成后,关闭该功能,对应的MAC就可以绑定端口,防止病毒通过ARP攻击篡改自己的地址。也就是说,解除了ARP攻击中数据被拦截的风险。这种方法确实能起到一定的作用。
然而,VLAN和交换机端口绑定的问题在于:
1,没有对网关的保护,无论如何细分VLAN,一旦网关被攻击,仍然会造成全网掉线瘫痪。
2、每台电脑都牢牢固定在一个交换机端口上,这种管理太死板了。这根本不适合移动终端的使用。从办公室到会议室,恐怕这台电脑不能上网。在无线应用下,我该怎么做?还是需要其他方式。
3.要实现交换机端口绑定,必须采用所有的高级网管交换机和三层交换机,大大增加了整个交换网络的成本。
由于交换网本身无条件支持ARP运行,造成ARP攻击可能性的是自身的漏洞,其管理手段并不是针对ARP的。因此,在现有交换网络上实施ARP防范措施,属于以矛攻子之盾。而且运维复杂,基本是吃力不讨好的事情。
第四,PPPoE
每个用户在网络下被分配一个账号和密码,上网时必须通过PPPoE认证。这种方法也是防止ARP的措施之一。PPPoE拨号方式对数据包进行两次封装,使其具有不受ARP欺骗影响的效果。很多人认为ARP问题的终极解决方案已经找到了。
问题主要集中在效率和实用性上:
1,PPPoE需要对数据包进行第二次封装,然后在接入设备上解封装,必然会降低网络传输效率,造成带宽资源的浪费。要知道PPPoE服务器加路由等设备的处理效率不是一个量级的。
2.在PPPoE模式下,局域网不能互相访问。在很多网络中,有域控制服务器、DNS服务器、邮件服务器、OA系统、数据共享、打印共享等。在局域网内,这就需要局域之间的通信。然而,PPPoE模式使得所有这些都不可用和不可接受。
3.没有PPPoE,在访问内网的时候,ARP问题依然存在,什么都没解决,网络的稳定性依然不好。
所以PPPoE在技术上就是避免底层协议连接,眼不见心不烦,通过牺牲网络效率来交换网络稳定性。最不能接受的是网络只能在线使用,其他内部* * *享受不能在PPPoE下进行。
通过对以上四种常见的ARP防范方法的分析,可以看出现有的ARP防范措施存在问题。这也是为什么ARP即使研究了很久,在实践中也无法完全解决的原因。
免疫网络是解决ARP最根本的方法。
正所谓魔高一尺道高一丈,网络问题必须用网络的方法来解决。目前,全方位免疫网络是彻底解决ARP问题最实用的方法。
从技术原理上讲,彻底解决ARP欺骗和攻击有三个技术点。
1.终端和网关之间的绑定应该是牢固可靠的,并且这种绑定能够抵抗病毒的破坏。
2.接入路由器或网关应该始终确保对后续终端的IP-MAC的唯一且准确的识别。
3.网络中应该有一个最可靠的组织来为网关IP-MAC提供最强的保护。它不仅可以分发正确的网关信息,还可以立即阻止错误的网关信息。
免疫网对这三个问题都有专门的技术解决方案,这些技术都是厂商的技术专利。下面我们会详细解释。现在,我们要简单介绍一下免疫网络的结构和实现。
免疫网是在现有的由路由器、交换机、网卡、网线组成的普通交换网络的基础上,增加一套安全和管理解决方案。这样在普通网络通信中,安全和管理机制融为一体,保证了网络通信过程中的安全管控能力,堵上了普通网络对安全从来不是毫无防备的先天漏洞。
实现一个免疫网络并不是一件很复杂的事情,成本也不是很大。它所要做的就是用免疫墙路由器或免疫网关替换现有的宽带接入设备。免疫墙路由器下,需要自带服务器24小时运行免疫运营中心。不需要免疫网关,有自己的服务器。这是该方案所需的硬件调整措施。硬件价格从1万元到1万元不等。根据不同企业的需求,大中小微企业都可以有自己的需求,选择的范围很广。
软网调整是IP规划、分组策略、终端自动安装上网驱动等配置安装工作,保证整个安全管理功能的有效运行。其实这部分工作和网络管理员日常管理网络没有太大区别。
免疫网具有强大的网络基础安全和管理功能,防范ARP的能力不足十分之一。但是这篇论文是关于ARP的,所以我们需要回过头来解释ARP欺骗的机理和免疫网络的防攻击。至于免疫网络,功能更强大,可以进一步研究。
上面提到的ARP治理的三个技术点,终端绑定、网关和组织、免疫网络分别采用特殊的技术手段。
1,终端绑定采用守护绑定技术。免疫网要求每个终端自动安装驱动,不安装或卸载就不能上网。驱动中的守护绑定是将正确的网关信息存储在一个非公开的位置来保护它。由于网守程序的严密监控,对网关信息的任何更改都不可能成功,这就完成了牢固可靠的终端绑定的要求。
2.免疫墙路由器或免疫网关的ARP先天免疫技术。在NAT转发的过程中,由于特殊的机制,免疫墙路由器根本就忽略了任何对终端IP-MAC的ARP声明,也就是没有人能够欺骗网关。与其他路由器不同,免疫墙路由器不使用IP-MAC的列表来工作,当然也不需要复杂的路由器IP-MAC表绑定和维护操作。先天免疫即使不在乎也有这个能力。
3.确保网关IP-MAC始终正确的组织是免疫网络中的一套安全机制。首先,它可以将从路由器获得的真实网关信息分发给网络中的每一个终端,而有驱动的终端只接受这些信息,其他信息不能接受,从而保证了网关的唯一性和正确性。其次,在各个终端,免疫驱动会拦截病毒发送的错误网关的传输,防止其逃入网络,从根源上切断ARP欺骗和攻击。
从以上三项措施来看,免疫网真正解决了长期存在的ARP问题,技术严谨,应用可行,成本相对较低。所以,相对于常见的四种ARP预防方法,免疫网络是解决ARP最根本的方法。