caf677 wrote:
病毒的事情我幫不上忙...(恕刪)
明白了,感謝.
個人積分:618分
文章編號:8059442
個人積分:133分
文章編號:8063641
個人積分:6分
文章編號:8069362
felaray wrote:
MAC table其實時常在renew
這部份不管是一般switch或是vlan switch都是一樣的沒錯 (這也是因為會一直renew 而導致沒防護的系統被ARP attack有機可趁的因素 所以一開始的文章才會說要去把mac和ip綁住,免的沒綁住一下子就被竄改了)
vlan在本文的目的是用來阻絕攻擊封包影響到其他用戶端(這樣其他用戶就不會被誤導而連不上router),而Router的部份綁住MAC table以免封包被錯誤的table誤導而丟不到目的端。 ps.因為arp攻擊是對兩方都產生影響的
有人可能覺得用一般的switch就好,其他部分綁住mac table就不怕。但是這樣一來,是可以讓Router傳送封包到目的端沒錯,但是目的端則會因為switch沒切割各用戶而被竄改table導致無法傳送封包到正確的目的。
不是所有的環境都可以綁定IP/MAC,也不是所有的環境都有DHCP。
如果有以上兩個前提,那只需要在Switch之上開啟DHCP Snooping,即可防止ARP攻擊以及非法IP存取。
如果沒辦法綁定所有的IP,就只能使用Dynamic ARP Inspection的方式偵測主機所傳送的ARP封包是否合法,相關的文件可以google一下。基本上只要開啟了DAI之後,ARP Snooping的問題大致上就可以解決了。
不過老實說,切Vlan防治ARP snooping不是好辦法,這只是控制受災範圍罷了!當然,Vlan還是得切,不然問題更大。
http://kivava.blogspot.com
個人積分:540分
文章編號:8074046
個人積分:0分
文章編號:8080825
1. Router 必須支援ARP 的發送.,.,.時間為1ms~500ms 之間..也就是說,router 會持續發ARP 的request 給下面的PC ...讓下面的PC 去持續接收ARP 的動作...發送時間比中ARP病 毒還要快..這是重點.
2. Router 與Swicth 必須支援IP&MAC Binding 綁定的動作,若是沒有綁定,絕對無法阻止攻擊,另外就是沒綁定的客戶端,也絕對無法Ping 到Router 或是對router IP有啥動作...因為router 根本不會回應沒有綁定IP&MAC 的PC ....這樣才可以徹底解決問題...如上有網友指出...中毒PC端持續跟Router 要IP(DHCP),Router 看到你的IP&MAC 都不合法? 怎會在發放IP給PC? 所以不存在此問題! 目前市售99% 的路由器...雖然IP&NAC 綁定後...還是可以對於Router 持續做攻擊,如Ping 會通..DHCP 發放還是會發...Router 還是會回應...這都是不對的作法!
既然安全機制做好...Router 只要看MAC&IP 的Table 後...就可以決定Drop 該IP的Request 了! 所以一個好的Router ..必須要有此功能..再搭配一般Switch, 加上雙綁功能, 即可完全嚇阻在區網內的ARP 問題!
個人積分:47分
文章編號:8110820
qos wrote:
VLAN 其實是配套....徹底解決ARP 的問題如下:
1. Router 必須支援ARP 的發送.,.,.時間為1ms~500ms 之間..也就是說,router 會持續發ARP 的request 給下面的PC ...讓下面的PC 去持續接收ARP 的動作...發送時間比中ARP病 毒還要快..這是重點.
這和netcut保護自己的功能很像,不過這樣隨著頻繁的發送也會對網路造成負擔....而且有這種功能的Router價格不斐阿!
小仲827 wrote:
區網防堵arp攻擊只要在防火牆設置規則就可以了
看了一下 是COMODO這套firewell
這類軟體式的防火牆擋arp的能力令人不敢恭維
詳情這邊有一篇文章您可以參考一下 這是萊因哈特這位大大的測試報告http://bbs.mychat.to/read.php?wd=1280&tid=672181
這篇則是對岸網友的文字解說,文章重點在解釋防火牆被ARP攻擊瓦解的步驟
http://zhidao.baidu.com/question/39043770.html
如果懶的看這兩篇的話 兩篇文章的結論都是:防火牆檔不住ARP
乖乖的把vlan切好以及綁好ip&mac才是快速有效的解決方式
另外之前有幾位大大說看不懂我上面那篇回復的圖片
稍微解釋一下
這是Manly的ez800v 它是一台從實體層就把網路切割的機器
由左到右分別是Port 8-7-6-5-4-3-2-1
它的各Port都不相連(除了port1和各port "分別相連")
假設當port7要傳送封包出去 會經由port1把封包傳送出去(還記得他和port1相連吧!)
這款機器的運作就是這樣子 非常簡單~插上去就可以用了
個人積分:133分
文章編號:8113204
felaray wrote:
這和netcut保護...(恕刪)
樓上所連結的網站針對Comodo Firewall Pro (CFP) 對ARP攻擊的防護討論
它只提到CFP 裡面Protect the ARP cache 以及Block Gratuitous ARP Frames 功能
完全沒有提到Network Security Policy 裡面的Global Rules設定
而Global Rules 的設定才是CFP 的重點
如果有實際看過該版討論內容
就可發現作者根本就沒提到"Protect the ARP cache 以及Block Gratuitous ARP Frames"的設定
CFP 的ARP防護設定沒有想像那麼簡單喔
個人積分:0分
文章編號:8122416
個人積分:0分
文章編號:8127457
個人積分:0分
文章編號:8129083
問題出現在Client 端,如何讓宿網/社區 的用戶去做雙綁? 這一點比較困難! 不過目前有Router 已經可以自動讓Client 端坐雙綁瞭!
Client 端加上.bat 檔案...讓開機後自動做雙綁動作! 檔案由Router 提供..Client 端只需要Add 到開機執行區裡面即可!
對岸網吧這摸多,動輒400~800台PC....成本還是可觀! 所以在網吧所使用的路由器都有此功能了! 西安網吧有1500台一個場子.,..規模之大...非TW 這裡可比! 實際看過,,,只可以用->哇! 字可以形容!
