关于三层交换防ARP攻击的误区

everest79 · 发表于 2007-2-5 19:05:15

原帖由 parphy 于 2007-2-5 09:00 发表

既然知道ARP的原理了，还把计算机的管理地址配置成和普通客户机同一网段的，那只能认为是不称职了（我从来都是把管理的地址单独列出来分地址，从来不跟普通客户端混用地址池，这是一个安全习惯问题，出事 ...

仅仅只是针对ARP的话，不需要IP绑定，只需要MAC绑定，而这个好像二层也可以完成，那为什么非三层不可类？

everest79 · 发表于 2007-2-5 19:07:19

原帖由 parphy 于 2007-2-5 09:10 发表

我觉得你没必要郁闷，三层交换机的三层是弱了些，但作为二层通常是很强大的，从你的言谈，你所在的是个单位，虽然也不愿意多花钱，但也不在乎这点，而不像是网吧、个体户那种在网络上希望拼命省钱的
用三层 ...

二层是触发机制，而三层是运算机制，三层代替好像有点得不偿失，不知是不是这样子类？

parphy · 发表于 2007-2-5 20:00:38

原帖由 everest79 于 2007-2-5 19:02 发表

这个方法也不是很可行，ARP软件现在都可以实现在某个接口(网卡)搭载不同的网络段来进行扫描与攻击，同时网络设备因为都有着集群管理协议，所以在不同网段内被软件识别出来也很正常，所以这个..........

这是另外一个误区，ARP是广播协议，而广播通常是不会被路由器转发的，因此不出意外，ARP攻击不会出现跨段情况

把设备放在不同网段不光是因为ARP，更多的是方便整体安全控制...这些我不再具体解释了，如果你感兴趣自己思考吧

另外集群管理在网络设备多厂家的情况下并不容易实现...

parphy · 发表于 2007-2-5 20:21:41

原帖由 everest79 于 2007-2-5 19:05 发表

仅仅只是针对ARP的话，不需要IP绑定，只需要MAC绑定，而这个好像二层也可以完成，那为什么非三层不可类？

原帖由 everest79 于 2007-2-5 19:07 发表

二层是触发机制，而三层是运算机制，三层代替好像有点得不偿失，不知是不是这样子类？

看来你的误区还真不少，需要多学习一下了，问问题别太草率了，概念似是而非，尤其是好象完全没有经过大脑思考....

你的上述方法，最多只能在一定程度上防止非法用户上网，如果正常用户发ARP病毒包还是会造成欺骗，甚至，都不能保证你的交换机不被合法用户ARP欺骗攻击。
要知道，ARP欺骗是针对的客户机而不是交换机，即使交换机不被欺骗，客户机和网关设备还是会被欺骗
要知道，（ip）+mac+端口的绑定，本身根本不过滤数据包！！！

此MAC绑定非彼MAC绑定，不要以为绑的都是与MAC有关的，就认为是一样的，绑的表根本不同，造成混淆概念的原因就是网上的好多人用语不规范造成的，前者叫绑定MAC（即交换表），而后者，严格说来是绑ARP记录（主机路由表），现在你知道了，我前面为什么会批评有些人用语不规范了吧？

everest79 · 发表于 2007-2-5 22:35:23

感谢parphy的回答，跨网段攻击好像qq第六感就能实现，提到集群协议是说可以免掉多网段扫描来发现网络设备

后者看来我基础知识真的是太弱了，这个我今天第一次听说，谢谢你，我的确不需要用大脑来思考自已的认知会不会被别人来否定，客观角度上，若如此，论坛也失去其所应有的作用了对吧

经由你介绍的原理来判定，三层交换也不能完全防止ARP的攻击，过大流量的攻击会让交换机应付不过来对吧？

那么若有这样一种软件是否可以节省三层交换的成本类？
C: 禁止ARP请求或响应，绑定S端ARP，不在本地表中的ARP请求由C端向S请求并绑定
S: 保存本地所有ARP：IP对应关系表，响应符合列表的C端请求

everest79 · 发表于 2007-2-5 22:35:43

又是不经大脑的

zooyo · 发表于 2007-2-6 09:36:03

严重同意楼上的，禁止了ARP，你就自己用单机吧。

blackren · 发表于 2007-2-6 09:51:37

以上老大的说法我都没看懂,不过我用华为的2403H解决过ARP的问题.

naboo · 发表于 2007-2-6 09:56:52

我写了，用三层解决ARP期骗和ARP请求（大量周而复始的请求），但病毒还要自己杀！

parphy · 发表于 2007-2-6 10:19:40

原帖由 everest79 于 2007-2-5 22:35 发表
感谢parphy的回答，跨网段攻击好像qq第六感就能实现，提到集群协议是说可以免掉多网段扫描来发现网络设备

后者看来我基础知识真的是太弱了，这个我今天第一次听说，谢谢你，我的确不需要用大脑来思考自已的认 ...

我只知道早期版本QQ第6感不能跨网段攻击，而且QQ第6感的攻击模式不仅仅是ARP攻击一种，ARP攻击不生效的时候，其他攻击可能生效
三层交换如果强悍，对付ARP也是很有效的，关键是，低端的三层交换用不着大流量攻击，效率高的攻击器，1M的流量就死了，为了人家有生意做，我这里就不一一点名了，反正是N多（不管国产的还是进口的）

ARP的各种防范，我在前面已经说过了，自己学学ARP的知识把，只要学扎实了，就没问题，我的回答主要侧重在单靠基础知识无法解决的问题（如性能、使用经验等方面）

everest79 · 发表于 2007-2-6 19:57:11

原帖由 zooyo 于 2007-2-6 09:36 发表
严重同意楼上的，禁止了ARP，你就自己用单机吧。

设想吗，说不定那个天才发明就被我这样给乱撞出来了，嘿

我觉得那个不是会首先查询本地MAC缓存吗，所以就想到能不能搞个MAC服务器之类的，嘿嘿

everest79 · 发表于 2007-2-6 19:59:55

那请教在两边都采用绑定后还有那些ARP攻击会生效？、

是不是针对交换机的？

everest79 · 发表于 2007-2-6 20:02:41

我见过一个192.168.1.0/24网段的计算机攻击192.168.0.0/24网段网关的例子，用的就是这个软件，一点就生效，在网关绑定后就不起作用了，在同一物理网内

everest79 · 发表于 2007-2-6 20:15:23

还有一个问题，若我关掉二层交换机的学习功能，并且进行MAC绑定，在单交换的情况下是不是可以有效的防止这个东西？
若是有效，那么多交换同品牌是不是已经有解决方法？

ljc_168 · 发表于 2007-2-6 20:26:45

用PPPOE

账号		自动登录	找回密码
密码			注册

[其它] 关于三层交换防ARP攻击的误区