免疫网络是办理ARP最根本的办法(1)[网络技术]

ARP拐骗和攻击问题,是企业网络的心腹大患.关于这个问题的谈论已经很深化了,对ARP攻击的机理理解的很透彻,各种防备办法也层出不穷.

但问题是,目前真正摆脱ARP问题困扰了吗?从用户那边理解到,固然尝试过各种办法,但这个问题并没有根本办理.缘由就在于,目前很多种ARP防备办法,一是办理办法的防备本领有限,并非最根本的办法.二是对网络管理约束很大,不便利不实用,不具有可操作性.三是某些办法对网络传输的效能有丧失,网速变慢,带宽浪费,也不可取.

本文通过具体解析一下广泛风行的四种防备ARP办法,去理解为什么ARP问题始终不能根治.并进一步解析在免疫网络的情势下,对ARP是若何完好铲除的,为什么只有免疫网络可以做到.

上篇:四种常见防备ARP办法的解析

1、双绑办法

双绑是在路由器和终端上都举行IP-MAC绑定的办法,它可以对ARP拐骗的两边,假造网关和截获数据,都具有约束的作用.这是从ARP拐骗原理上举行的防备办法,也是最广泛利用的办法.它对付最普通的ARP拐骗是有效的.

但双绑的缺陷在于3点:

1、在终端上举行的静态绑定,很简单被进级的ARP攻击所摧毁,病毒的一个ARP –d号令,便可以使静态绑定完好失效.

2、在路由器上做IP-MAC表的绑定工作,费时吃力,是一项烦琐的保护工作.换个网卡或改换IP,都需求重新配置路由.关于流动性电脑,这个需求随时举行的绑定工作,是网络保护的宏大负担,网管员几近无法完成.

3、双绑只是让网络的两头电脑和路由不接纳相关ARP信息,但是大量的ARP攻击数据还是能发出,还要在内网传输,大幅降低内网传输效率,仍然会呈现问题.

因此,固然双绑曾经是ARP防备的底子办法,但因为防备本领有限,管理太麻烦,目前它的效果越来越有限了.

2、ARP个人防火墙

在一些杀毒软件中加入了ARP个人防火墙的功效,它是通过在终端电脑上对网关举行绑定,保证不受网络中假网关的影响,从而保护自身数据不被盗取的办法.ARP防火墙利用范围很广,有很多人认为有了防火墙,ARP攻击就不构成威胁了,其实完好不是那么回事.

ARP个人防火墙也有很大缺陷:

1、它不能保证绑定的网关一定是精确的.假如一个网络中已经发生了ARP拐骗,有人在假造网关,那么,ARP个人防火墙上来就会绑定这个错误的网关,这是具有极大风险的.即便配置中不默许而发出提醒,贫乏网络知识的用户恐怕也无所适从.

2、ARP是网络中的问题,ARP既能假造网关,也能截获数据,是个“双头怪”.在个人终端上做ARP防备,而不管网关那端若何,这本身就不是一个完好的办法.ARP个人防火墙起到的作用,就是避免自己的数据不会被盗取,而整个网络的问题,如掉线、卡滞等,ARP个人防火墙是无能为力的.

因此,ARP个人防火墙并没有供应坚固的保证.最重要的是,它是跟网络安定无关的办法,它是个人的,不是网络的.

3、VLAN和交换机端口绑定

通过划分VLAN和交换机端口绑定,以图防备ARP,也是常用的防备办法.做法是具体地划分VLAN,减小广播域的范围,使ARP在小范围内起作用,而不至于发生大面积影响.同时,一些网管交换机具有MAC地址学习的功效,学习完成后,再关闭这个功效,便可以把对应的MAC和端口举行绑定,避免了病毒操纵ARP攻击篡改自身地址.也就是说,把ARP攻击中被截获数据的风险解除了.这种办法确切能起到一定的作用.

[1] [2]  下一页