为什么说路由器和电脑 IP-MAC 双向绑定不能完全杜绝arp攻击呢?有哪些不足
发布网友
发布时间:2022-05-06 17:03
我来回答
共2个回答
热心网友
时间:2023-10-12 21:55
像所谓的ARP防火墙,双绑,都不能彻底解决内网ARP攻击,内网PPPOE,虽然能解决ARP攻击,但是内网的二层通信就不能正常了(例如共享文件,打印机等等)也不是最终的解决方案。唯一的解决方案就是采用免疫网络。采用的是在终端安装免疫驱动,直接从网卡上拦截数据包,对发出和进入的数据包进行检测,一旦发现异常,直接丢弃,并且采用看守式绑定,保证了真实的网关和下面机器的身份认证,这才是终极ARP入侵防御的解决方法。。
从技术原理上,彻底解决ARP欺骗和攻击,要有三个技术要点。
1、终端对网关的绑定要坚实可靠,这个绑定能够抵制被病毒捣毁。
2、接入路由器或网关要对下面终端IP-MAC的识别始终保证唯一准确。
3、网络内要有一个最可依赖的机构,提供对网关IP-MAC最强大的保护。它既能够分发正确的网关信息,又能够对出现的假网关信息立即*。
现在市面上的网络安全产品只有免疫网络在这三个问题上,都有专门的技术解决,楼主你可以去他们官网了解下追问免疫网络是不是需要一台看守电脑一直开着??
热心网友
时间:2023-10-12 21:55
双绑是在路由器和终端上都进行IP-MAC绑定的措施,它可以对ARP欺骗的两边,伪造网关和截获数据,都具有约束的作用。这是从ARP欺骗原理上进行的防范措施,也是最普遍应用的办法。它对付最普通的ARP欺骗是有效的。
但双绑的缺陷在于3点:
1、 在终端上进行的静态绑定,很容易被升级的ARP攻击所捣毁,病毒的一个ARP –d命令,就可以使静态绑定完全失效。
2、 在路由器上做IP-MAC表的绑定工作,费时费力,是一项繁琐的维护工作。换个网卡或更换IP,都需要重新配置路由。对于流动性电脑,这个需要随时进行的绑定工作,是网络维护的巨大负担,网管员几乎无法完成。
3、 双绑只是让网络的两端电脑和路由不接收相关ARP信息,但是大量的ARP攻击数据还是能发出,还要在内网传输,大幅降低内网传输效率,依然会出现问题。
因此,虽然双绑曾经是ARP防范的基础措施,但因为防范能力有限,管理太麻烦,现在它的效果越来越有限了