防范ARP欺骗技术总结
==============================近一年来,我在网上查找各种防范ARP欺骗的办法,并且总想找到一种一劳永逸的、实施简单、不花钱的办法。网友们提出的每种办法都会有人质疑,搞得我到现在也莫衷一是,好在这几天静下心来总结一下,也为企业网内部ARP攻击防范提出一种方案。
一、ARP欺骗从行为上分为三个方面:
1) 本地计算机对其他计算机和网关进行欺骗
2) 其他计算机对本地计算机进行欺骗
3) 其他计算机对网关进行欺骗
二、从上面的三个行为得出如下结论:
1) 如果保证所有的计算机都不对其他计算机和网关进行欺骗,那么ARP欺骗就不会存在。这是是防范ARP欺骗的最高境界。
2) 阻止其他计算机对本地计算机的欺骗在技术上虽然有时是可行的,但是被动方式。部分计算机孤立的防范往往不能凑效的原因是,虽然自己的计算机安装了ARP防火墙,但是其他挂马的计算机也常常欺骗网关,导致你的计算机仍然断网,你还埋怨ARP防火墙不好用。
3) 资金上不投入,又怕工作量大,怎么能防住ARP呢!
三.根据自己的实际情况采取相应的措施
1)如果你的网络设备全是可管理的,可以做IP、MAC、端口的绑定。我用H3C的3900做实验是相当有效。除此之外,IP、MAC、端口绑定还能防止IP盗用、MAC盗用等其他安全问题,是一种理想的网络系统。
2)如果你的网络设备不全是可管理的,那么做双向ARP表绑定,我没有做过实验,具体效果不太清除。从理论上讲应该没太大问题。
3)如果你的网络太大,做绑定有困难(我们的网络就是),就使用ARP防火墙吧。说明一下,我不是卖ARP防火墙,我是企业的技术人员。
4)这两天测试了一下ARP防火墙,效果很好,安装使用也很方便。为什么有人用了ARP防火墙还断网呢?主要原因是你的计算机安装了,别人的机器没装,他的机器攻击网关,你就断网了。ARP防火墙的主动防御功能,不是任何时候都有用的。
5)所以,象企业、网吧这样的网络,是可以完全杜绝ARP欺骗的(我说的是木马引起的),只要你把工作做得细致一些:使用绑定的都绑定了,安装ARP防火墙的都安装了。
四、微软的ARP补丁
前一些日子微软出的补丁,其实不是防ARP的补丁。我不知道为什么微软到现在也没有这样的补丁。从理论上说,ARP欺骗利用了tcpip非连接协议的缺陷,使目标主机不能判断信息的真实性。但是主机在发送封包的时候做一下真假鉴别还是行得通的,也并未对TCPIP协议有什么侵害。其实ARP防火墙不就是这样做得嘛。微软真应该出ARP补丁。
============================== 文章不错。[(:lol:)] [(:lol:)]
页:
[1]