手機(jī)怎么設(shè)置局域網(wǎng)攻擊防御啊
手機(jī)怎么設(shè)置局域網(wǎng)攻擊防御啊
最常見的局域網(wǎng)安全問題就是ARP攻擊了,相信百分五十以上的手機(jī)局域網(wǎng)用戶都受到過ARP攻擊,這種攻擊方法非常不好防治,所以普通的局域網(wǎng)用戶都不清楚怎么徹底解決ARP攻擊問題。如果你用路由器設(shè)置了局域網(wǎng),請看下面小編為你做出的詳細(xì)介紹。
一、徹底解決ARP攻擊
事實上,由于路由器是整個局域網(wǎng)的出口,而ARP攻擊是以整個局域網(wǎng)為目標(biāo),當(dāng)ARP攻擊包已經(jīng)達(dá)到路由器的時候,影響已經(jīng)照成。所以由路由器來承擔(dān)防御ARP攻擊的任務(wù)只是權(quán)宜之計,并不能很好的解決問題。
我們要真正消除ARP攻擊的隱患,安枕無憂,必須轉(zhuǎn)而對“局域網(wǎng)核心”――交換機(jī)下手。由于任何ARP包,都必須經(jīng)由交換機(jī)轉(zhuǎn)發(fā),才能達(dá)到被攻擊目標(biāo),只要交換機(jī)據(jù)收非法的ARP包,哪么ARP攻擊就不能造成任何影響。
我們提出一個真正嚴(yán)密的防止ARP攻擊的方案,就是在每臺接入交換機(jī)上面實現(xiàn)ARP綁定,并且過濾掉所有非法的ARP包。這樣可以讓ARP攻擊足不能出戶,在局域網(wǎng)內(nèi)完全消除了ARP攻擊。
因為需要每臺交換機(jī)都具有ARP綁定和相關(guān)的安全功能,這樣的方案無疑價格是昂貴的,所以我們提供了一個折衷方案。
二、一般ARP攻擊的解決方法
現(xiàn)在最常用的基本對治方法是“ARP雙向綁定”。
由于ARP攻擊往往不是病毒造成的,而是合法運(yùn)行的程序(外掛、網(wǎng)頁)造成的,所殺毒軟件多數(shù)時候束手無策。
所謂“雙向綁定”,就是再路由器上綁定ARP表的同時,在每臺電腦上也綁定一些常用的ARP表項。
“ARP雙向綁定”能夠防御輕微的、手段不高明的ARP攻擊。ARP攻擊程序如果沒有試圖去更改綁定的ARP表項,那么ARP攻擊就不會成功;如果攻擊手段不劇烈,也欺騙不了路由器,這樣我們就能夠防住50%ARP攻擊。
但是現(xiàn)在ARP攻擊的程序往往都是合法運(yùn)行的,所以能夠合法的更改電腦的ARP表項。在現(xiàn)在ARP雙向綁定流行起來之后,攻擊程序的作者也提高了攻擊手段,攻擊的方法更綜合,另外攻擊非常頻密,僅僅進(jìn)行雙向綁定已經(jīng)不能夠應(yīng)付兇狠的ARP攻擊了,仍然很容易出現(xiàn)掉線。
于是我們在路由器中加入了“ARP攻擊主動防御”的功能。這個功能是在路由器ARP綁定的基礎(chǔ)上實現(xiàn)的,原理是:當(dāng)網(wǎng)內(nèi)受到錯誤的ARP廣播包攻擊時,路由器立即廣播正確的ARP包去修正和消除攻擊包的影響。這樣我們就解決了掉線的問題,但是在最兇悍的ARP攻擊發(fā)生時,仍然發(fā)生了問題----當(dāng)ARP攻擊很頻密的時候,就需要路由器發(fā)送更頻密的正確包去消除影響。雖然不掉線了,但是卻出現(xiàn)了上網(wǎng)“卡”的問題。
所以,我們認(rèn)為,依靠路由器實現(xiàn)“ARP攻擊主動防御”,也只能夠解決80%的問題。
為了徹底消除ARP攻擊,我們在此基礎(chǔ)上有增加了“ARP攻擊源攻擊跟蹤”的功能。對于剩下的強(qiáng)悍的ARP攻擊,我采用“日志”功能,提供信息方便用戶跟蹤攻擊源,這樣用戶通過臨時切斷攻擊電腦或者封殺發(fā)出攻擊的程序,能夠解決問題。