找回密码
 注册

QQ登录

只需一步,快速开始

搜索
楼主: parphy

[其它] 关于三层交换防ARP攻击的误区

[复制链接]
发表于 2007-2-5 19:05:15 | 显示全部楼层
原帖由 parphy 于 2007-2-5 09:00 发表



既然知道ARP的原理了,还把计算机的管理地址配置成和普通客户机同一网段的,那只能认为是不称职了(我从来都是把管理的地址单独列出来分地址,从来不跟普通客户端混用地址池,这是一个安全习惯问题,出事 ...


仅仅只是针对ARP的话,不需要IP绑定,只需要MAC绑定,而这个好像二层也可以完成,那为什么非三层不可类?
routeros
回复

使用道具 举报

发表于 2007-2-5 19:07:19 | 显示全部楼层
原帖由 parphy 于 2007-2-5 09:10 发表


我觉得你没必要郁闷,三层交换机的三层是弱了些,但作为二层通常是很强大的,从你的言谈,你所在的是个单位,虽然也不愿意多花钱,但也不在乎这点,而不像是网吧、个体户那种在网络上希望拼命省钱的
用三层 ...



二层是触发机制,而三层是运算机制,三层代替好像有点得不偿失,不知是不是这样子类?
routeros
回复

使用道具 举报

 楼主| 发表于 2007-2-5 20:00:38 | 显示全部楼层
原帖由 everest79 于 2007-2-5 19:02 发表


这个方法也不是很可行,ARP软件现在都可以实现在某个接口(网卡)搭载不同的网络段来进行扫描与攻击,同时网络设备因为都有着集群管理协议,所以在不同网段内被软件识别出来也很正常,所以这个..........



这是另外一个误区,ARP是广播协议,而广播通常是不会被路由器转发的,因此不出意外,ARP攻击不会出现跨段情况

把设备放在不同网段不光是因为ARP,更多的是方便整体安全控制...这些我不再具体解释了,如果你感兴趣自己思考吧

另外集群管理在网络设备多厂家的情况下并不容易实现...
routeros
回复

使用道具 举报

 楼主| 发表于 2007-2-5 20:21:41 | 显示全部楼层
原帖由 everest79 于 2007-2-5 19:05 发表


仅仅只是针对ARP的话,不需要IP绑定,只需要MAC绑定,而这个好像二层也可以完成,那为什么非三层不可类?

原帖由 everest79 于 2007-2-5 19:07 发表



二层是触发机制,而三层是运算机制,三层代替好像有点得不偿失,不知是不是这样子类?


看来你的误区还真不少,需要多学习一下了,问问题别太草率了,概念似是而非,尤其是好象完全没有经过大脑思考....

你的上述方法,最多只能在一定程度上防止非法用户上网,如果正常用户发ARP病毒包还是会造成欺骗,甚至,都不能保证你的交换机不被合法用户ARP欺骗攻击。
要知道,ARP欺骗是针对的客户机而不是交换机,即使交换机不被欺骗,客户机和网关设备还是会被欺骗
要知道,(ip)+mac+端口的绑定,本身根本不过滤数据包!!!

此MAC绑定非彼MAC绑定,不要以为绑的都是与MAC有关的,就认为是一样的,绑的表根本不同,造成混淆概念的原因就是网上的好多人用语不规范造成的,前者叫绑定MAC(即交换表),而后者,严格说来是绑ARP记录(主机路由表),现在你知道了,我前面为什么会批评有些人用语不规范了吧?
routeros
回复

使用道具 举报

发表于 2007-2-5 22:35:23 | 显示全部楼层
感谢parphy的回答,跨网段攻击好像qq第六感就能实现,提到集群协议是说可以免掉多网段扫描来发现网络设备

后者看来我基础知识真的是太弱了,这个我今天第一次听说,谢谢你,我的确不需要用大脑来思考自已的认知会不会被别人来否定,客观角度上,若如此,论坛也失去其所应有的作用了对吧

经由你介绍的原理来判定,三层交换也不能完全防止ARP的攻击,过大流量的攻击会让交换机应付不过来对吧?

那么若有这样一种软件是否可以节省三层交换的成本类?
C: 禁止ARP请求或响应,绑定S端ARP,不在本地表中的ARP请求由C端向S请求并绑定
S: 保存本地所有ARP:IP对应关系表,响应符合列表的C端请求
routeros
回复

使用道具 举报

发表于 2007-2-5 22:35:43 | 显示全部楼层
又是不经大脑的
routeros
回复

使用道具 举报

发表于 2007-2-6 09:36:03 | 显示全部楼层
严重同意楼上的,禁止了ARP,你就自己用单机吧。
routeros
回复

使用道具 举报

发表于 2007-2-6 09:51:37 | 显示全部楼层
以上老大的说法我都没看懂,不过我用华为的2403H解决过ARP的问题.
routeros
回复

使用道具 举报

发表于 2007-2-6 09:56:52 | 显示全部楼层
我写了,用三层解决ARP期骗和ARP请求(大量周而复始的请求),但病毒还要自己杀!
routeros
回复

使用道具 举报

 楼主| 发表于 2007-2-6 10:19:40 | 显示全部楼层
原帖由 everest79 于 2007-2-5 22:35 发表
感谢parphy的回答,跨网段攻击好像qq第六感就能实现,提到集群协议是说可以免掉多网段扫描来发现网络设备

后者看来我基础知识真的是太弱了,这个我今天第一次听说,谢谢你,我的确不需要用大脑来思考自已的认 ...


我只知道早期版本QQ第6感不能跨网段攻击,而且QQ第6感的攻击模式不仅仅是ARP攻击一种,ARP攻击不生效的时候,其他攻击可能生效
三层交换如果强悍,对付ARP也是很有效的,关键是,低端的三层交换用不着大流量攻击,效率高的攻击器,1M的流量就死了,为了人家有生意做,我这里就不一一点名了,反正是N多(不管国产的还是进口的)

ARP的各种防范,我在前面已经说过了,自己学学ARP的知识把,只要学扎实了,就没问题,我的回答主要侧重在单靠基础知识无法解决的问题(如性能、使用经验等方面)
routeros
回复

使用道具 举报

发表于 2007-2-6 19:57:11 | 显示全部楼层
原帖由 zooyo 于 2007-2-6 09:36 发表
严重同意楼上的,禁止了ARP,你就自己用单机吧。


设想吗,说不定那个天才发明就被我这样给乱撞出来了,嘿


我觉得那个不是会首先查询本地MAC缓存吗,所以就想到能不能搞个MAC服务器之类的,嘿嘿
routeros
回复

使用道具 举报

发表于 2007-2-6 19:59:55 | 显示全部楼层
那请教在两边都采用绑定后还有那些ARP攻击会生效?、

是不是针对交换机的?
routeros
回复

使用道具 举报

发表于 2007-2-6 20:02:41 | 显示全部楼层
我见过一个192.168.1.0/24网段的计算机攻击192.168.0.0/24网段网关的例子,用的就是这个软件,一点就生效,在网关绑定后就不起作用了,在同一物理网内
routeros
回复

使用道具 举报

发表于 2007-2-6 20:15:23 | 显示全部楼层
还有一个问题,若我关掉二层交换机的学习功能,并且进行MAC绑定,在单交换的情况下是不是可以有效的防止这个东西?
若是有效,那么多交换同品牌是不是已经有解决方法?
routeros
回复

使用道具 举报

发表于 2007-2-6 20:26:45 | 显示全部楼层
用PPPOE
routeros
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 注册

本版积分规则

QQ|Archiver|手机版|小黑屋|软路由 ( 渝ICP备15001194号-1|渝公网安备 50011602500124号 )

GMT+8, 2024-11-5 22:48 , Processed in 0.057515 second(s), 3 queries , Gzip On, Redis On.

Powered by Discuz! X3.5 Licensed

© 2001-2024 Discuz! Team.

快速回复 返回顶部 返回列表