ARP攻击和交换机有关系吗?是不是只会影响到路由器?要怎么解决呢? ARP攻击对交换机有没有什么影响?为什么?
\u4ea4\u6362\u673a\u5212\u5206vlan\u662f\u5426\u53ef\u4ee5\u9632\u6b62ARP\u653b\u51fbvlan\u53ea\u662f\u51cf\u5c0f\u4e86\u5e7f\u64ad\u57df\uff0c\u4e0d\u80fd\u9632\u8303arp\u653b\u51fb\u7684
\u60f3\u8981\u5f7b\u5e95\u7684\u89e3\u51b3arp\u95ee\u9898\uff0c\u5efa\u8bae\u4f60\u8fd8\u662f\u67e5\u67e5\u514d\u75ab\u7f51\u7edc\uff0c\u5de1\u8def\u7684\u514d\u75ab\u7f51\u7edc\u89e3\u51b3\u65b9\u6848\uff0c\u4e0d\u7ba1\u4ea4\u6362\u7f51\u7edc\u662f\u5426\u5212\u5206\u4e86vlan\u90fd\u80fd\u591f\u89e3\u51b3arp\u653b\u51fb\uff0c\u5305\u62ec\u8de8vlan\u4e2d\u7ee7\u653b\u51fb\u90fd\u80fd\u591f\u5f7b\u5e95\u7684\u89e3\u51b3\u3002
VLAN\u548c\u4ea4\u6362\u673a\u7aef\u53e3\u7ed1\u5b9a
\u901a\u8fc7\u5212\u5206VLAN\u548c\u4ea4\u6362\u673a\u7aef\u53e3\u7ed1\u5b9a\uff0c\u4ee5\u56fe\u9632\u8303ARP\uff0c\u4e5f\u662f\u5e38\u7528\u7684\u9632\u8303\u65b9\u6cd5\u3002\u505a\u6cd5\u662f\u7ec6\u81f4\u5730\u5212\u5206VLAN\uff0c\u51cf\u5c0f\u5e7f\u64ad\u57df\u7684\u8303\u56f4\uff0c\u4f7fARP\u5728\u5c0f\u8303\u56f4\u5185\u8d77\u4f5c\u7528\uff0c\u800c\u4e0d\u81f3\u4e8e\u53d1\u751f\u5927\u9762\u79ef\u5f71\u54cd\u3002\u540c\u65f6\uff0c\u4e00\u4e9b\u7f51\u7ba1\u4ea4\u6362\u673a\u5177\u6709MAC\u5730\u5740\u5b66\u4e60\u7684\u529f\u80fd\uff0c\u5b66\u4e60\u5b8c\u6210\u540e\uff0c\u518d\u5173\u95ed\u8fd9\u4e2a\u529f\u80fd\uff0c\u5c31\u53ef\u4ee5\u628a\u5bf9\u5e94\u7684MAC\u548c\u7aef\u53e3\u8fdb\u884c\u7ed1\u5b9a\uff0c\u907f\u514d\u4e86\u75c5\u6bd2\u5229\u7528ARP\u653b\u51fb\u7be1\u6539\u81ea\u8eab\u5730\u5740\u3002\u4e5f\u5c31\u662f\u8bf4\uff0c\u628aARP\u653b\u51fb\u4e2d\u88ab\u622a\u83b7\u6570\u636e\u7684\u98ce\u9669\u89e3\u9664\u4e86\u3002\u8fd9\u79cd\u65b9\u6cd5\u786e\u5b9e\u80fd\u8d77\u5230\u4e00\u5b9a\u7684\u4f5c\u7528\u3002
\u4e0d\u8fc7\uff0cVLAN\u548c\u4ea4\u6362\u673a\u7aef\u53e3\u7ed1\u5b9a\u7684\u95ee\u9898\u5728\u4e8e\uff1a
1\u3001 \u6ca1\u6709\u5bf9\u7f51\u5173\u7684\u4efb\u4f55\u4fdd\u62a4\uff0c\u4e0d\u7ba1\u5982\u4f55\u7ec6\u5206VLAN\uff0c\u7f51\u5173\u4e00\u65e6\u88ab\u653b\u51fb\uff0c\u7167\u6837\u4f1a\u9020\u6210\u5168\u7f51\u4e0a\u7f51\u7684\u6389\u7ebf\u548c\u762b\u75ea\u3002
2\u3001 \u628a\u6bcf\u4e00\u53f0\u7535\u8111\u90fd\u7262\u7262\u5730\u56fa\u5b9a\u5728\u4e00\u4e2a\u4ea4\u6362\u673a\u7aef\u53e3\u4e0a\uff0c\u8fd9\u79cd\u7ba1\u7406\u592a\u6b7b\u677f\u4e86\u3002\u8fd9\u6839\u672c\u4e0d\u9002\u5408\u79fb\u52a8\u7ec8\u7aef\u7684\u4f7f\u7528\uff0c\u4ece\u529e\u516c\u5ba4\u5230\u4f1a\u8bae\u5ba4\uff0c\u8fd9\u53f0\u7535\u8111\u6050\u6015\u5c31\u65e0\u6cd5\u4e0a\u7f51\u4e86\u3002\u5728\u65e0\u7ebf\u5e94\u7528\u4e0b\uff0c\u53c8\u600e\u4e48\u529e\u5462\uff1f\u8fd8\u662f\u9700\u8981\u5176\u4ed6\u7684\u529e\u6cd5\u3002
3\u3001 \u5b9e\u65bd\u4ea4\u6362\u673a\u7aef\u53e3\u7ed1\u5b9a\uff0c\u5fc5\u5b9a\u8981\u5168\u90e8\u91c7\u7528\u9ad8\u7ea7\u7684\u7f51\u7ba1\u4ea4\u6362\u673a\u3001\u4e09\u5c42\u4ea4\u6362\u673a\uff0c\u6574\u4e2a\u4ea4\u6362\u7f51\u7edc\u7684\u9020\u4ef7\u5927\u5927\u63d0\u9ad8\u3002
\u56e0\u4e3a\u4ea4\u6362\u7f51\u7edc\u672c\u8eab\u5c31\u662f\u65e0\u6761\u4ef6\u652f\u6301ARP\u64cd\u4f5c\u7684\uff0c\u5c31\u662f\u5b83\u672c\u8eab\u7684\u6f0f\u6d1e\u9020\u6210\u4e86ARP\u653b\u51fb\u7684\u53ef\u80fd\uff0c\u5b83\u4e0a\u9762\u7684\u7ba1\u7406\u624b\u6bb5\u4e0d\u662f\u9488\u5bf9ARP\u7684\u3002\u56e0\u6b64\uff0c\u5728\u73b0\u6709\u7684\u4ea4\u6362\u7f51\u7edc\u4e0a\u5b9e\u65bdARP\u9632\u8303\u63aa\u65bd\uff0c\u5c5e\u4e8e\u4ee5\u5b50\u4e4b\u77db\u653b\u5b50\u4e4b\u76fe\u3002\u800c\u4e14\u64cd\u4f5c\u7ef4\u62a4\u590d\u6742\uff0c\u57fa\u672c\u4e0a\u662f\u4e2a\u8d39\u529b\u4e0d\u8ba8\u597d\u7684\u4e8b\u60c5\u3002
\u76ee\u524d\u80fd\u5b8c\u5168\u89e3\u51b3ARP\u653b\u51fb\u7684\u53ea\u6709\u6b23\u5168\u5411\u516c\u53f8\u7684\u514d\u75ab\u8def\u7531\u5668\u548c\u201c\u5de1\u8def\u201d\u514d\u75ab\u7f51\u7edc\u89e3\u51b3\u65b9\u6848\uff0c\u56e0\u4e3a\u5b83\u662f\u5728\u7f51\u5173NAT\u8fc7\u7a0b\u4e2d\u901a\u8fc7\u81ea\u5df1\u7684\u79c1\u6709\u534f\u8bae\u4ece\u7f51\u5361\u8fdb\u884c\u9650\u5236\u7684\uff0c
\u5e76\u5bf9\u7ec8\u7aefARP\u8fdb\u884c\u770b\u5b88\u5f0f\u7ed1\u5b9a\uff0c\u9501\u5b9a\u771f\u5b9e\u7f51\u5173\uff0c\u52a0\u4e0a\u7fa4\u9632\u7fa4\u63a7\u548c\u5168\u7f51\u8054\u52a8\u7684\u529f\u80fd\uff0c\u4ece\u800c\u5c06\u5185\u7f51\u6253\u9020\u6210\u4e00\u4e2a\u5b8c\u5168\u65e0ARP\u653b\u51fb\u7684\u5b89\u5168\u7a33\u5b9a\u7684\u7f51\u7edc\uff01
解决办法:1:换防止ARP攻击的路由器; 2:IP MAC 双绑;3 , 安装ARP防火墙,推荐金山贝壳ARP防火墙。另外清除本机的ARP地址缓存表,绑定本机的IP地址和MAC地址,详细步骤如下:开始-运行-输入CMD 打开了DOS系统
然后一次输入 arp -d 回车
arp -s 本机IP 本机MAC 回车
arp -s 网关IP 网管MAC 回车
注意格式 用空格隔开。
然后输入 arp -a 如果显示有static 即绑定成功
有时一次不行, 需要反复输入几次,若嫌麻烦,可以建立个批处理文件,步骤为新建记事本文件,然后输入
@echo off
arp -d
arp -s 本机IP 本机MAC 回车
arp -s 网关IP 网管MAC 回车
保存后,修改修改文件后缀为.bat
以后运行这个文件就行了,也可将此文件设置开机启动。不过个人觉得不是很好用。我每次都是手动输入的。
VLAN和交换机端口绑定
通过划分VLAN和交换机端口绑定,以图防范ARP,也是常用的防范方法。做法是细致地划分VLAN,减小广播域的范围,使ARP在小范围内起作用,而不至于发生大面积影响。同时,一些网管交换机具有MAC地址学习的功能,学习完成后,再关闭这个功能,就可以把对应的MAC和端口进行绑定,避免了病毒利用ARP攻击篡改自身地址。也就是说,把ARP攻击中被截获数据的风险解除了。这种方法确实能起到一定的作用。
不过,VLAN和交换机端口绑定的问题在于:
1、 没有对网关的任何保护,不管如何细分VLAN,网关一旦被攻击,照样会造成全网上网的掉线和瘫痪。
2、 把每一台电脑都牢牢地固定在一个交换机端口上,这种管理太死板了。这根本不适合移动终端的使用,从办公室到会议室,这台电脑恐怕就无法上网了。在无线应用下,又怎么办呢?还是需要其他的办法。
3、 实施交换机端口绑定,必定要全部采用高级的网管交换机、三层交换机,整个交换网络的造价大大提高。
因为交换网络本身就是无条件支持ARP操作的,就是它本身的漏洞造成了ARP攻击的可能,它上面的管理手段不是针对ARP的。因此,在现有的交换网络上实施ARP防范措施,属于以子之矛攻子之盾。而且操作维护复杂,基本上是个费力不讨好的事情。
目前能完全解决ARP攻击的只有欣全向公司的免疫路由器和“巡路”免疫网络解决方案,因为它是在网关NAT过程中通过自己的私有协议从网卡进行限制的,
并对终端ARP进行看守式绑定,锁定真实网关,加上群防群控和全网联动的功能,从而将内网打造成一个完全无ARP攻击的安全稳定的网络!
与交换机无关 会影响路由的性能 ARP会造成大量IP欺骗 产生大量冗余数据流 对路由器的正常带宽资源进行损耗 现在解决办法只有安装ARP防火墙 可以考虑金山贝壳ARP和彩影ARP防火墙
和交换机没关系,不仅影响路由,用ARP防火墙
绛旓細鏍规嵁ARP鏀诲嚮鍘熺悊锛氬垹闄よ皟鐢ㄧ郴缁熼噷鐨刵pptools.dll鏂囦欢銆傚鏋滀綘鎶婅繖涓狣LL鏂囦欢鍒犻櫎浜嗭紝涔嬪悗闅忎究寮勪釜DLL鏀瑰悕涓簄pptools.dll鍗冲彲銆傞槻鏀诲嚮鏂囦欢锛欳:\WINDOWS\system32\ npptools.dll 澶勭悊鏂规硶锛氭柊寤轰竴涓┖鏂囨湰鏂囨。锛屾敼鍚嶄负npptools.dll鐒跺悗鎶婂畠澶嶅埗鍒皊ystem32鏂囦欢澶归噷锛岃鐩栧師鏈夌殑npptools.dll锛屽鏋滄病鍏抽棴鏂囦欢淇濇姢锛...
绛旓細鍏充簬ARP鐨勬敾鍑锛屾渶涓昏鐨勬敾鍑绘柟寮忔槸 铏氭嫙灞鍩熺綉涓殑鏈夋晥IP鍜孧AC鍦板潃锛屽灞鍩熺綉涓殑鈥滆倝楦♀濊繘琛屾暟鎹楠楁敾鍑汇傞拡瀵硅繖涓鐗规э紝鏈夊緢澶氭湁鏁堢殑杞欢銆傛瘮濡備釜浜洪槻鐏涓檮鍔犵殑ARP闃茬伀澧欏姛鑳斤紝涓鑸兘鏄洿鎺ュ紑鍚兘鍙互锛屾棤闇澶氫綑鐨勮缃 杩樻湁涓浜涗笓涓氱殑ARP闃茬伀澧欙紝 褰╁奖ARP闃茬伀澧檋ttp://www.antiarp.com/ 瀹樻柟...
绛旓細褰揂鎺ユ敹鍒癇浼犵殑ARP搴旂瓟锛屽氨浼氭洿鏂版湰鍦扮殑ARP缂撳瓨锛圓鍙笉鐭ラ亾琚吉閫犱簡锛夈傚綋鏀诲嚮婧愬ぇ閲忓悜灞鍩熺綉涓彂閫佽櫄鍋囩殑ARP淇℃伅鍚庯紝灏变細閫犳垚灞鍩熺綉涓殑鏈哄櫒ARP缂撳瓨鐨勫穿婧冦係witch涓婂悓鏍风淮鎶ょ潃涓涓姩鎬佺殑MAC缂撳瓨锛屽畠涓鑸槸杩欐牱锛岄鍏堬紝浜ゆ崲鏈鍐呴儴鏈変竴涓搴旂殑鍒楄〃锛屼氦鎹㈡満鐨勭鍙e搴擬AC鍦板潃琛≒ort n <-> Mac璁板綍鐫...
绛旓細涓轰簡闃茶寖ARP娆洪獥鏀诲嚮锛屽彲浠ラ噰鍙栦互涓嬫帾鏂斤細棣栧厛锛屽彲浠ラ厤缃潤鎬丄RP琛紝杩欐牱璁惧鍦ㄦ帴鏀跺埌ARP鍝嶅簲鏃朵細杩涜楠岃瘉锛岀‘淇濆搷搴旂殑鐪熷疄鎬с傚叾娆★紝鍔犲己ARP鍗忚鐨勫畨鍏ㄦч厤缃紝濡傜缉鐭瑼RP缂撳瓨瓒呮椂鏃堕棿锛屽噺灏戞敾鍑荤獥鍙o紱鍚屾椂鍏抽棴涓嶅繀瑕佺殑ARP璇锋眰骞挎挱杞彂鍔熻兘銆傛澶栵紝浣跨敤瀹夊叏浜ゆ崲鏈涔熸槸涓涓湁鏁堢殑鎵嬫锛屽畠鍙互瀵笰RP鏁版嵁鍖呰繘琛岃繃婊...
绛旓細瀹冪殑鍘熺悊鏄缓绔嬪亣缃戝叧锛岃琚畠娆洪獥鐨凱C鍚戝亣缃戝叧鍙戞暟鎹紝鑰屼笉鏄氳繃姝e父鐨勮矾鐢卞櫒閫斿緞涓婄綉銆傚湪PC鐪嬫潵锛屽氨鏄笂涓嶄簡缃戜簡锛屸滅綉缁滄帀绾夸簡鈥濄備竴鑸潵璇达紝ARP娆洪獥鏀诲嚮鐨勫悗鏋滈潪甯镐弗閲嶏紝澶у鏁版儏鍐典笅浼氶犳垚澶ч潰绉帀绾裤傛湁浜涚綉绠″憳瀵规涓嶇敋浜嗚В锛屽嚭鐜版晠闅滄椂锛岃涓篜C娌℃湁闂锛浜ゆ崲鏈娌℃帀绾跨殑鈥滄湰浜嬧濓紝鐢典俊涔熶笉...
绛旓細ARP鏀诲嚮灏辨槸閫氳繃浼營P鍦板潃鍜孧AC鍦板潃瀹炵幇ARP娆洪獥锛岃兘澶熷湪缃戠粶涓骇鐢熷ぇ閲忕殑ARP閫氫俊閲忎娇缃戠粶闃诲锛屾敾鍑昏呭彧瑕佹寔缁笉鏂殑鍙戝嚭浼犵殑ARP鍝嶅簲鍖呭氨鑳芥洿鏀圭洰鏍囦富鏈篈RP缂撳瓨涓殑IP-MAC鏉$洰锛岄犳垚缃戠粶涓柇鎴栦腑闂翠汉鏀诲嚮銆侫RP鏀诲嚮涓昏鏄瓨鍦ㄤ簬灞鍩熺綉缃戠粶涓紝灞鍩熺綉涓嫢鏈変竴鍙拌绠楁満鎰熸煋ARP鏈ㄩ┈锛屽垯鎰熸煋璇RP鏈ㄩ┈鐨勭郴缁熷皢浼...
绛旓細鐜板湪鏌愪簺杞欢宸茬粡涓嶉潬ARP鍗忚鏀诲嚮浜嗭紝鑰屾槸鐩存帴鏀诲嚮浜ゆ崲鏈MAC鍦板潃琛紒濡傛灉浣犳湁鍏磋叮鍜屾椂闂达紝浣犲彲浠ュ厛鐮旂┒涓涓婣RP鐨勫師鐞嗭紝鏈濂藉湪鐪嬬湅浜ゆ崲鏈鸿浆鍙戝抚鐨勫師鐞嗭紒浣犲氨鏄庣櫧ARP鏀诲嚮鍒嗕负浠ヤ笅涓変釜闃舵锛1-缁欑洰鏍囦富鏈哄彂閫佷吉閫燗RP搴旂瓟鍖咃紙杩欎釜鍙互閫氳繃瑁匒RP闃茬伀澧欙紝鎴栭潤鎬佺粦瀹氶槻寰★紝寰堢畝鍗曪級2-涓诲姩鍙戜吉閫犵殑ARP鍖呯粰缃戝叧锛...
绛旓細鑷虫鏀诲嚮鑰呭氨鎺у埗浜嗙數鑴慉鍜岀數鑴態涔嬮棿鐨勬祦閲忥紝浠栧彲浠ラ夋嫨琚姩鍦扮洃娴嬫祦閲忥紝鑾峰彇瀵嗙爜鍜屽叾浠栨秹瀵嗕俊鎭紝涔熷彲浠ヤ吉閫犳暟鎹紝鏀瑰彉鐢佃剳A鍜岀數鑴態涔嬮棿鐨勯氫俊鍐呭銆備负浜嗚В鍐ARP鏀诲嚮闂锛屽彲浠ュ湪缃戠粶涓殑浜ゆ崲鏈涓婇厤缃802.1x鍗忚銆侷EEE 802.1x鏄熀浜庣鍙g殑璁块棶鎺у埗鍗忚锛屽畠瀵硅繛鎺ュ埌浜ゆ崲鏈虹殑鐢ㄦ埛杩涜璁よ瘉鍜屾巿鏉冦傚湪浜ゆ崲鏈...
绛旓細褰撳眬鍩熺綉鍐呮煇鍙颁富鏈鸿繍琛孉RP娆洪獥鐨勬湪椹▼搴忔椂锛屼細娆洪獥灞鍩熺綉鍐呮墍鏈変富鏈鍜屼氦鎹㈡満锛岃鎵鏈変笂缃戠殑娴侀噺蹇呴』缁忚繃鐥呮瘨涓绘満銆傚叾浠栫敤鎴峰師鏉ョ洿鎺ラ氳繃浜ゆ崲鏈轰笂缃戣浆鐢遍氳繃鐥呮瘨涓绘満涓婄綉锛屽垏鎹㈢殑鏃跺欑敤鎴蜂細鏂竴娆$嚎銆俛rp娆洪獥鏀诲嚮鐨勪笁绉嶆柟寮 arp娆洪獥鏀诲嚮鏈涓夌鏂瑰紡濡備笅鎵杩帮細锛氱涓绉嶆槸灞鍩熺綉涓绘満鍐掑厖缃戝叧娆洪獥缃戝唴涓绘満锛屽鑷...
绛旓細澶ч噺鐨凙RP璇锋眰骞挎挱鍙兘浼氬崰鐢ㄧ綉缁滃甫瀹借祫婧;ARP鎵弿涓鑸负ARP鏀诲嚮鐨勫墠濂忋傚嚭鐜板師鍥(鍙兘):鐥呮瘨绋嬪簭,渚﹀惉绋嬪簭,鎵弿绋嬪簭銆傚鏋滅綉缁滃垎鏋愯蒋浠堕儴缃叉纭,鍙兘鏄垜浠彧闀滃儚浜嗕氦鎹㈡満涓婄殑閮ㄥ垎绔彛,鎵浠ュぇ閲廇RP璇锋眰鏄潵鑷笌闈為暅鍍忓彛杩炴帴鐨勫叾瀹冧富鏈哄彂鍑虹殑銆傚鏋滈儴缃蹭笉姝g‘,杩欎簺ARP璇锋眰骞挎挱鍖呮槸鏉ヨ嚜鍜屼氦鎹㈡満鐩歌繛鐨勫叾瀹冧富鏈恒2.2ARP娆洪獥...
