»
游客:
注册
|
登录
|
帮助
微点交流论坛
»
防火墙
» (原创)关于防治ARP欺骗的正确理念
作者:
标题: (原创)关于防治ARP欺骗的正确理念
jackybaby
中级用户
积分 330
发帖 321
注册 2006-12-31
来自 sz
#1
(原创)关于防治ARP欺骗的正确理念
近来ARP病毒猖狂肆虐,还有一些人滥用P2P终结者和网络执法官等软件随意限制别人流量,所以很多人把ARP防火墙视为救命稻草。其实大谬不然,从理念和方法上就错了。
由于ARP协议的先天弱智(相信任何人),每个电脑最多管住自己不被骗,但管不了路由器不断被骗,于是ARP防火墙诞生了,ARP防火墙的原理是靠不断发消息给路由器,不断刷新ARP列表,还要和病毒比刷新速度,如果网络里只有你一个人用还勉强可以,如果每个人都用,于是ARP欺骗没防住,洪水攻击又产生了,结果整个网络挂掉。
那难道就没有办法了吗?还要从源头说起,由于ARP协议先天弱智,我们只有强制让它记住正确的IP和MAC对应地址才能避免被骗。可以说由于ARP协议的缺陷让网络管理员要多做很多工作,但这是没办法的事,非做不可。 凡是ARP欺骗泛滥的地方,都是网管没做这个工作,最后客户端不得已用ARP防火墙来饮鸩止渴。
我个人认为ARP问题的根源是协议的薄弱和网管工作的缺失导致的,有人纳闷为什么像OP,ZA,COMODO这么强大的防火墙厂商怎么没有防ARP的防火墙,那是人家认为那根本不是防火墙做的事。 除了部分特殊的网络(如星巴克的局域网和校园网,流动电脑多的地方)外,小型局域网都应该指定IP地址,然后双绑MAC,才可从根本上解决ARP欺骗问题。虽然开始累点,但一劳永逸。
hanker: 加2分
我记得很清楚的好像是一个学校,忘了哪个学校了,用了瑞星防火墙,开了ARP防欺骗,结果学校的网络瘫痪,最后找出问题来,原来是瑞星防火墙搞鬼,上面说的很详细了,防火墙就是拼命的刷网关的MAC,刷不多久就over了。
至于咋防御,防火墙板块应该有挺多类似帖子,呵呵,多转转吧
[
Last edited by hanker on 2010-8-21 at 11:37
]
※ ※ ※ 本文纯属【jackybaby】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
微点+组策略,不知毒滋味。
2010-1-22 16:40
论坛跳转:
微点软件公测区
安全快报
> 病毒快报
> 漏洞快报
微点产品在线技术支持
> 微点主动防御软件
> 预升级反馈专区
> 微点杀毒软件
微点用户交流区
> 微点新闻
> 微点软件使用交流
> 微点茶室
安全技术交流区
> 主动防御
> 反病毒
> 防火墙
综合区
> 电脑&数码
> 体育&娱乐&休闲
> 灌水区
版务管理
内部使用专区
可打印版本
|
推荐
|
订阅
|
收藏
[
联系我们
-
东方微点
]
北京东方微点信息技术有限责任公司 福建东方微点信息安全有限责任公司
闽ICP备05030815号