国产精品香蕉在线观看网,亚洲欧美精品综合在线观看,亚洲不卡av一区二区无码不卡,亚洲日本精品国产第一区二区

　　欺騙和攻擊問(wèn)題，是網(wǎng)絡(luò)的心腹大患。關(guān)于這個(gè)問(wèn)題的討論已經(jīng)很深入了，對(duì)ARP攻擊的機(jī)理了解的很透徹，各種防范措施也層出不窮。

　　但問(wèn)題是，現(xiàn)在真正擺脫ARP問(wèn)題困擾了嗎？從用戶那里了解到，雖然嘗試過(guò)各種方法，但這個(gè)問(wèn)題并沒(méi)有根本解決。原因就在于，目前很多種ARP防范措施，一是解決措施的防范能力有限，并不是最根本的辦法。二是對(duì)網(wǎng)絡(luò)管理約束很大，不方便不實(shí)用，不具備可操作性。三是某些措施對(duì)網(wǎng)絡(luò)傳輸?shù)男苡袚p失，網(wǎng)速變慢，帶寬浪費(fèi)，也不可取。

　　本文通過(guò)具體分析一下普遍流行的四種防范ARP措施，去了解為什么ARP問(wèn)題始終不能根治。

　　四種常見(jiàn)防范ARP措施的分析

　　一、雙綁措施

　　雙綁是在和終端上都進(jìn)行IP-綁定的措施，它可以對(duì)ARP欺騙的兩邊，偽造和截獲數(shù)據(jù)，都具有約束的作用。這是從ARP欺騙原理上進(jìn)行的防范措施，也是最普遍應(yīng)用的辦法。它對(duì)付最普通的ARP欺騙是有效的。

　　但雙綁的缺陷在于3點(diǎn)：

　　1、在終端上進(jìn)行的靜態(tài)綁定，很容易被升級(jí)的ARP攻擊所搗毀，的一個(gè)ARP–d命令，就可以使靜態(tài)綁定完全失效。

　　2、在路由器上做IP-MAC表的綁定工作，費(fèi)時(shí)費(fèi)力，是一項(xiàng)繁瑣的維護(hù)工作。換個(gè)網(wǎng)卡或更換IP，都需要重路由。對(duì)于流動(dòng)性電腦，這個(gè)需要隨時(shí)進(jìn)行的綁定工作，是網(wǎng)絡(luò)維護(hù)的巨大負(fù)擔(dān)，網(wǎng)管員幾乎無(wú)法完成。

　　3、雙綁只是讓網(wǎng)絡(luò)的兩端電腦和路由不接收相關(guān)ARP信息，但是大量的ARP攻擊數(shù)據(jù)還是能發(fā)出，還要在內(nèi)網(wǎng)傳輸，大幅降低內(nèi)網(wǎng)傳輸效率，依然會(huì)出現(xiàn)問(wèn)題。

　　因此，雖然雙綁曾經(jīng)是ARP防范的基礎(chǔ)措施，但因?yàn)榉婪赌芰τ邢?，管理太麻煩，現(xiàn)在它的效果越來(lái)越有限了。

　　二、ARP個(gè)人防火墻

　　在一些中加入了ARP個(gè)人的功能，它是通過(guò)在終端電腦上對(duì)網(wǎng)關(guān)進(jìn)行綁定，保證不受網(wǎng)絡(luò)中假網(wǎng)關(guān)的影響，從而保護(hù)自身數(shù)據(jù)不被竊取的措施。ARP防火墻使用范圍很廣，有很多人以為有了防火墻，ARP攻擊就不構(gòu)成威脅了，其實(shí)完全不是那么回事。

　　ARP個(gè)人防火墻也有很大缺陷：

　　1、它不能保證綁定的網(wǎng)關(guān)一定是正確的。如果一個(gè)網(wǎng)絡(luò)中已經(jīng)發(fā)生了ARP欺騙，有人在偽造網(wǎng)關(guān)，那么，ARP個(gè)人防火墻上來(lái)就會(huì)綁定這個(gè)錯(cuò)誤的網(wǎng)關(guān)，這是具有極大風(fēng)險(xiǎn)的。即使配置中不默認(rèn)而發(fā)出提示，缺乏網(wǎng)絡(luò)知識(shí)的用戶恐怕也無(wú)所適從。

　　2 、ARP是網(wǎng)絡(luò)中的問(wèn)題，ARP既能偽造網(wǎng)關(guān)，也能截獲數(shù)據(jù)，是個(gè)“雙頭怪”。在個(gè)人終端上做ARP防范，而不管網(wǎng)關(guān)那端如何，這本身就不是一個(gè)完整的辦法。ARP個(gè)人防火墻起到的作用，就是防止自己的數(shù)據(jù)不會(huì)被盜取，而整個(gè)網(wǎng)絡(luò)的問(wèn)題，如掉線、等，ARP個(gè)人防火墻是無(wú)能為力的。

　　因此，ARP個(gè)人防火墻并沒(méi)有提供可靠的保證。最重要的是，它是跟網(wǎng)絡(luò)穩(wěn)定無(wú)關(guān)的措施，它是個(gè)人的，不是網(wǎng)絡(luò)的。

　　三、VLAN和端口綁定

　　通過(guò)劃分VLAN和交換機(jī)端口綁定，以圖防范ARP，也是常用的防范方法。做法是細(xì)致地劃分VLAN，減小廣播域的范圍，使ARP在小范圍內(nèi)起作用，而不至于發(fā)生大面積影響。同時(shí)，一些網(wǎng)管交換機(jī)具有MAC地址學(xué)習(xí)的功能，學(xué)習(xí)完成后，再關(guān)閉這個(gè)功能，就可以把對(duì)應(yīng)的MAC和端口進(jìn)行綁定，避免了病毒利用ARP攻擊篡改自身地址。也就是說(shuō)，把ARP攻擊中被截獲數(shù)據(jù)的風(fēng)險(xiǎn)解除了。這種方法確實(shí)能起到一定的作用。

　　不過(guò)，VLAN和交換機(jī)端口綁定的問(wèn)題在于：

　　1、沒(méi)有對(duì)網(wǎng)關(guān)的任何保護(hù)，不管如何細(xì)分VLAN，網(wǎng)關(guān)一旦被攻擊，照樣會(huì)造成全網(wǎng)上網(wǎng)的掉線和癱瘓。

　　2、把每一臺(tái)電腦都牢牢地固定在一個(gè)交換機(jī)端口上，這種管理太死板了。這根本不適合移動(dòng)終端的使用，從辦公室到會(huì)議室，這臺(tái)電腦恐怕就無(wú)法上網(wǎng)了。在應(yīng)用下，又怎么辦呢？還是需要其他的辦法。

　　3、實(shí)施交換機(jī)端口綁定，必定要全部采用高級(jí)的網(wǎng)管交換機(jī)、三層交換機(jī)，整個(gè)交換網(wǎng)絡(luò)的造價(jià)大大提高。

　　因?yàn)榻粨Q網(wǎng)絡(luò)本身就是無(wú)條件支持ARP操作的，就是它本身的漏洞造成了ARP攻擊的可能，它上面的管理手段不是針對(duì)ARP的。因此，在現(xiàn)有的交換網(wǎng)絡(luò)上實(shí)施ARP防范措施，屬于以子之矛攻子之盾。而且操作維護(hù)復(fù)雜，基本上是個(gè)費(fèi)力不討好的事情。

　　四、PPPoE

　　網(wǎng)絡(luò)下面給每一個(gè)用戶分配一個(gè)帳號(hào)、密碼，上網(wǎng)時(shí)必須通過(guò)PPPoE認(rèn)證，這種方法也是防范ARP措施的一種。PPPoE撥號(hào)方式對(duì)封包進(jìn)行了二次，使其具備了不受ARP欺騙影響的使用效果，很多人認(rèn)為找到了解決ARP問(wèn)題的終極。

　　問(wèn)題主要集中在效率和實(shí)用性上面：

　　1、PPPoE需要對(duì)封包進(jìn)行二次封裝，在接入設(shè)備上再解封裝，必然降低了網(wǎng)絡(luò)傳輸效率，造成了帶寬資源的浪費(fèi)，要知道在路由等設(shè)備上添加PPPoE Server的處理效能和電信接入商的PPPoE Server可不是一個(gè)數(shù)量級(jí)的。

　　2、PPPoE方式下間無(wú)法互訪，在很多網(wǎng)絡(luò)都有局域網(wǎng)內(nèi)部的域控、、郵件服務(wù)器、、資料共享、打印共享等等，需要局域網(wǎng)間相互的需求，而PPPoE方式使這一切都無(wú)法使用，是無(wú)法被接受的。

　　3、不使用PPPoE，在進(jìn)行內(nèi)網(wǎng)訪問(wèn)時(shí)，ARP的問(wèn)題依然存在，什么都沒(méi)有解決，網(wǎng)絡(luò)的穩(wěn)定性還是不行。

　　因此，PPPoE在技術(shù)上屬于避開(kāi)底層協(xié)議連接，眼不見(jiàn)心不煩，通過(guò)犧牲網(wǎng)絡(luò)效率換取網(wǎng)絡(luò)穩(wěn)定。最不能接受的，就是網(wǎng)絡(luò)只能上網(wǎng)用，內(nèi)部其他的共享就不能在PPPoE下進(jìn)行了。

　　通過(guò)對(duì)以上四種普遍的ARP防范方法的分析，我們可以看出，現(xiàn)有ARP防范措施都存在問(wèn)題。這也就是ARP即使研究很久很透，但依然在實(shí)踐中無(wú)法徹底解決的原因所在了。