» 游客:  注册 | 登录 | 帮助  微点交流论坛 » 防火墙 » （原创）关于防治ARP欺骗的正确理念   作者: 标题: （原创）关于防治ARP欺骗的正确理念 jackybaby 中级用户 积分 330 发帖 321 注册 2006-12-31 来自 sz #1  （原创）关于防治ARP欺骗的正确理念 近来ARP病毒猖狂肆虐，还有一些人滥用P2P终结者和网络执法官等软件随意限制别人流量，所以很多人把ARP防火墙视为救命稻草。其实大谬不然，从理念和方法上就错了。 由于ARP协议的先天弱智（相信任何人），每个电脑最多管住自己不被骗，但管不了路由器不断被骗，于是ARP防火墙诞生了，ARP防火墙的原理是靠不断发消息给路由器，不断刷新ARP列表，还要和病毒比刷新速度，如果网络里只有你一个人用还勉强可以，如果每个人都用，于是ARP欺骗没防住，洪水攻击又产生了，结果整个网络挂掉。   那难道就没有办法了吗？还要从源头说起，由于ARP协议先天弱智，我们只有强制让它记住正确的IP和MAC对应地址才能避免被骗。可以说由于ARP协议的缺陷让网络管理员要多做很多工作，但这是没办法的事，非做不可。 凡是ARP欺骗泛滥的地方，都是网管没做这个工作，最后客户端不得已用ARP防火墙来饮鸩止渴。 我个人认为ARP问题的根源是协议的薄弱和网管工作的缺失导致的，有人纳闷为什么像OP，ZA，COMODO这么强大的防火墙厂商怎么没有防ARP的防火墙，那是人家认为那根本不是防火墙做的事。 除了部分特殊的网络（如星巴克的局域网和校园网，流动电脑多的地方）外，小型局域网都应该指定IP地址，然后双绑MAC，才可从根本上解决ARP欺骗问题。虽然开始累点，但一劳永逸。 hanker： 加2分              我记得很清楚的好像是一个学校，忘了哪个学校了，用了瑞星防火墙，开了ARP防欺骗，结果学校的网络瘫痪，最后找出问题来，原来是瑞星防火墙搞鬼，上面说的很详细了，防火墙就是拼命的刷网关的MAC，刷不多久就over了。 至于咋防御，防火墙板块应该有挺多类似帖子，呵呵，多转转吧 [ Last edited by hanker on 2010-8-21 at 11:37 ] ※ ※ ※ 本文纯属【jackybaby】个人意见，与【 微点交流论坛 】立场无关※ ※ ※ 微点+组策略，不知毒滋味。 2010-1-22 16:40 论坛跳转: 微点软件公测区 安全快报  > 病毒快报  > 漏洞快报 微点产品在线技术支持  > 微点主动防御软件  > 预升级反馈专区  > 微点杀毒软件 微点用户交流区  > 微点新闻  > 微点软件使用交流  > 微点茶室 安全技术交流区  > 主动防御  > 反病毒  > 防火墙 综合区  > 电脑&数码  > 体育&娱乐&休闲  > 灌水区 版务管理 内部使用专区  可打印版本 | 推荐 | 订阅 | 收藏 [ 联系我们 - 东方微点 ] 北京东方微点信息技术有限责任公司 福建东方微点信息安全有限责任公司 闽ICP备05030815号