系统集成论坛

标题: 内网防治ARP攻击解决方案，大家都来讨论下！ [打印本页]

作者: 思考的牛 时间: 2010-12-6 15:56
标题: 内网防治ARP攻击解决方案，大家都来讨论下！
经常遇到一些客户需要帮忙解决内网中ARP攻击的问题，我试过一些方法，但都不是太理想。大家都来讨论下，看能否找到防ARP攻击的解决方案？

还有怎么解决公司局域网中有人使用网管软件控制网速和攻击的问题？

IP与MAC双向绑定？
用PPPoE服务器？
划分VLAN？
交换机端口安全认证？

作者: fofo999 时间: 2010-12-7 14:50
交换机端口安全认证？
IP与MAC双向绑定？这2个都不能解决么？

发现网速突然有卡的现象，用抓包软件观察流量。
貌似有软件查流量的

继续留下的回答

作者: 思考的牛 时间: 2010-12-7 15:51
我记得中国移动营业厅的交换机好像是做了端口安全认证，这个效果还不错，但是工作量比较大！
我试过PPPoE服务器这种方法，效果也不错！

还有其他方法吗？大家都来说说！

作者: 午夜游民 时间: 2010-12-13 23:18
嗅探工作起来必然需要将该主机网卡工作于“混杂”模式下，所以，反嗅探的软件可以对其进行查找。经常使用的有Antisniffer、ARPkiller等。利用反嗅探软件查找局域网内处于“混杂”模式的网卡，基本可以确定进行攻击的主机的IP地址。

注：被查找到的主机也可能没有使用“ARP欺骗”，而只进行了窃听。但总之处于“混杂”状态的主机肯定是不正常的。

作者: 思考的牛 时间: 2010-12-14 11:47
嗯，可以

作者: devilfeilong 时间: 2010-12-14 13:17
首先我们都知道ARP攻击的方式，做的所谓双向绑定、划分VLAN等都不能实际解决问题，ARP协议本身为了通信而产生的协议，自身就存在漏洞，这也是现在每个遇见ARP攻击人员最头疼的一件事，而怎样才能真正实际的弥补这个以太网漏洞，听说现在有一项技术叫免疫墙，专门解决这样的问题，他们是通过让每个用户在网卡中装入他们私有协议的驱动，记录真实的MAC，将MAC添加到路由器的NAT表了，这样的话攻击网关就不行了，现在我们用的就是他们的一款免疫墙路由器，解决我们内网老是受攻击的状况，如果有意加我QQ1150824656我们可以一起探讨一下。

作者: IT民工 时间: 2010-12-16 12:01
差不多也就这么几种方法了，偶知道的，嘿嘿

作者: 不爱说话 时间: 2010-12-17 13:49
arp攻击，网管软件控制网速，其实这两点完全可以归纳为一点来说了。
一般的限速软件，如p2p终结者，实际上的原理就是ARP欺骗，它向局域网发送广播，冒充网关，将内网所有出网的数据包截获，然后经过限速处理才传入真正的网关。
其实现在要说技术手段防范ARP，也就双绑靠点普，但是灵活性太低了。一个局域网，哪台机器换了IP，新来了电脑，甚至换了网关，换了交换机，这些都要很长时间去再一次的做绑定，小公司还好，大公司的网管就要哭了。
针对这些情况，最好的方法也应该是考虑采用设备来实现了。楼上那兄弟说的欣向免疫墙路由器很不错，我见过效果，基本上内网主机不用做什么设置，安装一个插件就能达到完全免疫ARP的效果，欣向公司还有免疫网关，功能比起路由器来要更加高端。
为了技术更上层次，希望和大家多做交流。Q1480105373

作者: contrl 时间: 2011-7-25 11:04
免疫墙，恩感觉不错

作者: gzhq 时间: 2011-11-3 13:39
raius +交换机端口认证+上网行为管理绑定MAC
客户案例。。。

作者: 思考的牛 时间: 2011-11-25 11:11
dhcp snooping与交换机DAI的配合，防止ARP病毒的传播。

作者: 夏纳尔多 时间: 2013-1-9 13:34
2层传播，2层这部分解决！

作者: 飞塔居易网络 时间: 2013-6-5 10:40
回复 1# 思考的牛

如果打算治理内网ARP攻击，需要作以下几点：
1. 在内网所有计算机上都安装360，并且全部开启ARP防火墙。ARP防火墙不但可以抵御外部攻击，还可以防止有问题的计算机攻击其他计算机。
2. 在内网的主要设备上比如三层交换上做MAC绑定，这样可以迅速定位问题计算机。做MAC绑定的基本方法可以百度搜索一下。
3. 除了安装360，最好内网统一安装一款杀毒软件，比如AVAST或者小红伞，对单机的ARP病毒有很好的查杀效果。
希望能够帮助到你！

欢迎光临系统集成论坛 (http://bbs.xtjc.com/)