内网防治ARP攻击解决方案，大家都来讨论下！

思考的牛

经常遇到一些客户需要帮忙解决内网中ARP攻击的问题，我试过一些方法，但都不是太理想。大家都来讨论下，看能否找到防ARP攻击的解决方案？

还有怎么解决公司局域网中有人使用网管软件控制网速和攻击的问题？


IP与MAC双向绑定？
用PPPoE服务器？
划分VLAN？
交换机端口安全认证？

飞塔居易网络

回复 1# 思考的牛


如果打算治理内网ARP攻击，需要作以下几点：
1. 在内网所有计算机上都安装360，并且全部开启ARP防火墙。ARP防火墙不但可以抵御外部攻击，还可以防止有问题的计算机攻击其他计算机。
2. 在内网的主要设备上比如三层交换上做MAC绑定，这样可以迅速定位问题计算机。做MAC绑定的基本方法可以百度搜索一下。
3. 除了安装360，最好内网统一安装一款杀毒软件，比如AVAST或者小红伞，对单机的ARP病毒有很好的查杀效果。
希望能够帮助到你！

夏纳尔多

2层传播，2层这部分解决！

夏纳尔多

2层传播，2层这部分解决！

思考的牛

dhcp snooping与交换机DAI的配合，防止ARP病毒的传播。

gzhq

raius +交换机端口认证+上网行为管理绑定MAC
客户案例。。。

contrl

免疫墙，恩 感觉不错

不爱说话

arp攻击，网管软件控制网速，其实这两点完全可以归纳为一点来说了。
一般的限速软件，如p2p终结者，实际上的原理就是ARP欺骗，它向局域网发送广播，冒充网关，将内网所有出网的数据包截获，然后经过限速处理才传入真正的网关。
其实现在要说技术手段防范ARP，也就双绑靠点普，但是灵活性太低了。一个局域网，哪台机器换了IP，新来了电脑，甚至换了网关，换了交换机，这些都要很长时间去再一次的做绑定，小公司还好，大公司的网管就要哭了。
针对这些情况，最好的方法也应该是考虑采用设备来实现了。楼上那兄弟说的欣向免疫墙路由器很不错，我见过效果，基本上内网主机不用做什么设置，安装一个插件就能达到完全免疫ARP的效果，欣向公司还有免疫网关，功能比起路由器来要更加高端。
为了技术更上层次，希望和大家多做交流。Q1480105373

IT民工

差不多也就这么几种方法了，偶知道的，嘿嘿

devilfeilong

首先我们都知道ARP攻击的方式，做的所谓双向绑定、划分VLAN等都不能实际解决问题，ARP协议本身为了通信而产生的协议，自身就存在漏洞，这也是现在每个遇见ARP攻击人员最头疼的一件事，而怎样才能真正实际的弥补这个以太网漏洞，听说现在有一项技术叫免疫墙，专门解决这样的问题，他们是通过让每个用户在网卡中装入他们私有协议的驱动，记录真实的MAC，将MAC添加到路由器的NAT表了，这样的话攻击网关就不行了，现在我们用的就是他们的一款免疫墙路由器，解决我们内网老是受攻击的状况，如果有意加我QQ1150824656我们可以一起探讨一下。