如何有效的防止arp攻击.doc

ARP 欺骗和攻击问题,是企业网络的心腹大患。关于这个问题的讨论已经很深入了,对 ARP 攻击的机理了解的很透彻,各种防范措施也层出不穷。但问题是,现在真正摆脱 ARP 问题困扰了吗?从用户那里了解到,虽然尝试过各种方法,但这个问题并没有根本解决。原因就在于,目前很多种 ARP 防范措施, 一是解决措施的防范能力有限,并不是最根本的办法。二是对网络管理约束很大, 不方便不实用,不具备可操作性。三是某些措施对网络传输的效能有损失,网速变慢,带宽浪费,也不可取。本文通过具体分析一下普遍流行的四种防范 ARP 措施,去了解为什么 ARP 问题始终不能根治。上篇:四种常见防范 ARP 措施的分析一、双绑措施双绑是在路由器和终端上都进行 IP-MAC 绑定的措施,它可以对 ARP 欺骗的两边, 伪造网关和截获数据,都具有约束的作用。这是从 ARP 欺骗原理上进行的防范措施,也是最普遍应用的办法。它对付最普通的 ARP 欺骗是有效的。但双绑的缺陷在于 3点: 1、在终端上进行的静态绑定,很容易被升级的 ARP 攻击所捣毁,病毒的一个 ARP –d命令,就可以使静态绑定完全失效。 2、在路由器上做 IP-MAC 表的绑定工作,费时费力,是一项繁琐的维护工作。换个网卡或更换 IP,都需要重新配置路由。对于流动性电脑,这个需要随时进行的绑定工作,是网络维护的巨大负担,网管员几乎无法完成。 3、双绑只是让网络的两端电脑和路由不接收相关 ARP 信息,但是大量的 ARP 攻击数据还是能发出,还要在内网传输,大幅降低内网传输效率,依然会出现问题。因此,虽然双绑曾经是 ARP 防范的基础措施,但因为防范能力有限,管理太麻烦, 现在它的效果越来越有限了。二、 ARP 个人防火墙在一些杀毒软件中加入了 ARP 个人防火墙的功能,它是通过在终端电脑上对网关进行绑定,保证不受网络中假网关的影响,从而保护自身数据不被窃取的措施。 ARP 防火墙使用范围很广,有很多人以为有了防火墙,ARP 攻击就不构成威胁了, 其实完全不是那么回事。 ARP 个人防火墙也有很大缺陷: 1、它不能保证绑定的网关一定是正确的。如果一个网络中已经发生了 ARP 欺骗, 有人在伪造网关,那么,ARP 个人防火墙上来就会绑定这个错误的网关,这是具有极大风险的。即使配置中不默认而发出提示,缺乏网络知识的用户恐怕也无所适从。 2、ARP 是网络中的问题,ARP 既能伪造网关,也能截获数据,是个“双头怪”。在个人终端上做 ARP 防范,而不管网关那端如何,这本身就不是一个完整的办法。 ARP 个人防火墙起到的作用,就是防止自己的数据不会被盗取,而整个网络的问题,如掉线、卡滞等, ARP 个人防火墙是无能为力的。因此,ARP 个人防火墙并没有提供可靠的保证。最重要的是,它是跟网络稳定无关的措施,它是个人的,不是网络的。三、 VLAN 和交换机端口绑定通过划分 VLAN 和交换机端口绑定,以图防范 ARP ,也是常用的防范方法。做法是细致地划分 VLAN ,减小广播域的范围,使 ARP 在小范围内起作用,而不至于发生大面积影响。同时,一些网管交换机具有 MAC 地址学习的功能,学习完成后, 再关闭这个功能,就可以把对应的 MAC 和端口进行绑定,避免了病毒利用 ARP 攻击篡改自身地址。也就是说,把ARP 攻击中被截获数据