防止ARP攻击路由

发布网友 发布时间：2022-04-12 18:10

我来回答

共4个回答

热心网友 时间：2022-04-12 19:39

第一种ARP欺骗的原理是——截获网关数据。它通知路由器一系列错误的内网MAC地址，并按照一定的频率不断进行，使真实的地址信息无法通过更新保存在路由器中，结果路由器的所有数据只能发送给错误的MAC地址，造成正常PC无法收到信息。
第二种ARP欺骗的原理是——伪造网关。它的原理是建立假网关，让被它欺骗的PC向假网关发数据，而不是通过正常的路由器途径上网。在PC看来，就是上不了网了，“网络掉线了”。
常用的解决办法就是一、在宽带路由器中把所有PC的IP-MAC输入到一个静态表中，这叫路由器IP-MAC绑定。二、在内网所有PC上设置网关的静态ARP信息，这叫PC机IP-MAC绑定。三是前两种办法的组合，称其为IP-MAC双向绑定。
方法是有效的，但工作很繁琐，管理很麻烦。每台PC绑定本来就费力，在路由器中添加、维护、管理那么长长的一串列表，更是苦不堪言。一旦将来扩容调整，或更换网卡，又很容易由于疏忽造成混乱。况且ARP出现了新变种，二代ARP攻击已经具有自动传播能力，已有的宏文件绑定方式已经被破，主要表现在病毒通过网络访问或是主机间的访问互相传播。由于病毒已经感染到电脑主机，可以轻而易举的清除掉客户机电脑上的ARP静态绑定，伴随着绑定的取消，错误的网关IP和MAC的对应并可以顺利的写到客户机电脑，错误的网关IP和MAC的对应并可以顺利的写到客户机电脑，ARP的攻击又畅通无阻了。
我也曾受过arp的毒害，辛辛苦苦做的双向绑定遇到二代arp攻击变的是无所遁形，我觉得要想真正的杜绝arp攻击还是要我们内网每台电脑都联动起来，共同防范，共同抑制，光装防arp攻击的防火墙是远远不够的，这只能保证你可能不被攻击，但不能杜绝你不发arp攻击，这样是治标不治本的，因此要想真正杜绝arp最治本的方法还是从源头抑制，即从每个终端上抑制arp攻击的发出，因此要想完全的杜绝arp攻击要靠软硬件的结合，单靠硬件是无法实现的

听说最近市面上正流行一种叫免疫墙的效果不错，解决ARP攻击比较彻底，你可以试试。

热心网友 时间：2022-04-12 20:57

要防arp攻击首先知道arp攻击是怎么来的，而且绑定也是没用的，
我给你先分析下arp攻击的原理吧
arp在目前看来可以分为7中之多。
1、arp欺骗（网关、pc）
2、arp攻击
3、arp残缺
4、海量arp
5、二代arp（假ip、假mac)
因为二代的arp最难解决，现在我就分析一下二代arp的问题。
现象 ARP出现了新变种，二代ARP攻击已经具有自动传播能力，已有的宏文件绑定方式已经被破，网络有面临新一轮的掉线和卡滞盗号的影响！

原理 二代ARP主要表现在病毒通过网络访问或是主机间的访问互相传播。由于病毒已经感染到电脑主机，可以轻而易举的清除掉客户机电脑上的ARP静态绑定（首先执行的是arp -d然后在执行的是arp -s ，此时绑定的是一个错误的MAC)伴随着绑定的取消，错误的网关IP和MAC的对应并可以顺利的写到客户机电脑，ARP的攻击又畅通无阻了。

解决办法

（1）部分用户采用的“双/单项绑定”后，ARP攻击得到了一定的控制。
面临问题双绑和单绑都需要在客户机上绑定。二代ARP攻击会清除电脑上的绑定，使得

电脑静态绑定的方式无效。
（2）部分用户采用一种叫作“循环绑定”的办法，就是每过一段“时间”客户端自动

绑定一个“IP/MAC”。
面临问题如果我们“循环绑定”的时间较长（比arp清除的时间长）就是说在“循环绑

定”进行第二次绑定之前就被清除了，这样对arp的防范仍然无效。如果“循环绑定”

的时间过短（比arp清除时间短）这块就会暂用更多的系统资源，这样就是“得不偿失

”
（3）部分用户采用一种叫作“arp防护”，就是网关每过一段时间按照一定的“频率”

在内网发送正确网关“IP/MAC”
面临问题如果发送的“频率”过快（每秒发送的ARP多）就会严重的消耗内网的资源（

容易造成内网的堵塞），如果发送“频率”太慢（没有arp协议攻击发出来频率高）在

arp防范上面没有丝毫的作用。
最彻底的办法
（4）arp是个“双头怪”要想彻底解决必须要“首尾兼顾”有两种方式可以实现
第一 采用“看守式绑定”的方法，实时监控电脑ARP缓存，确保缓存内网关MAC和IP的

正确对应。在arp缓存表里会有一个静态的绑定，如果受到arp的攻击，或只要有公网的

请求时，这个静态的绑定又会自动的跳出，所以并不影响网络的正确的访问。这种方式

是安全与网卡功能融合的一种表现，也叫作“终端抑制”
第二就是在网络接入架构上要有“安全和网络功能的融合”就是在接入网关做NAT的时候不是按照传统路由那样根据“MAC/IP”映射表来转发数据，而是根据他们在NAT表中的MAC来确定（这样就会是只要数据可以转发出去就一定可以回来）就算ARP大规模的爆发，arp表也混乱了但是并不会给我们的网络造成任何影响。（不看IP/MAC映射表）这

种方法在现有控制ARP中也是最彻底的。也被称为是“免疫网络”的重要特征。

热心网友 时间：2022-04-12 22:32

ARP攻击就是向网络中发送大量的虚假ARP数据包，来扰乱路由器中的ARP缓存表，造成路由器找不到正确的设备，绑定是通过将IP和MAC绑定，通过arp -s的命令进行绑定，这种绑定是静态绑定，是在ARP表中保存的，这对原来的ARP攻击 还是有用的，现在的二代ARP攻击会先清空做的绑定然后再进行攻击，所以绑定对现在的ARP也是无效的，要想防止ARP就要根据ARP攻击的原理进行防范，从源头上抑制ARP，通过对每个终端发出的数据包进行检查，拦截虚假的数据包，保证网络中的数据包都是真实的，不会对网络产生影响

热心网友 时间：2022-04-13 00:23

严重 同意 楼上的说的。

你要知道 普通的路由能做那些事

1：基于IP的限速

2：ip-mac的绑定

3：*一些 公网的 连接数

4：QQ 等一些网络应用的*（高级点的设备）

你可以清楚的看到了 防止arp的攻击，以上能做到么？

我就在使用欣向的免疫墙路由，我启用免疫模式后，内网的arp攻击 在也没有了，还有内网其他的恶意攻击 都被拦截了，我在监控中心看的清清楚楚，内网的问题都没有了，我的网络很稳定。

建议LZ去购买欣向的免疫墙路由器。