ARP定義
ARP(Address Resolution Protocol,地址解析協(xié)議)是一個(gè)位于TCP/IP協(xié)議棧中的底層協(xié)議,對(duì)應(yīng)于數(shù)據(jù)鏈路層,負(fù)責(zé)將某個(gè)IP地址解析成對(duì)應(yīng)的MAC地址。
ARP協(xié)議的基本功能就是通過目標(biāo)設(shè)備的IP地址,查詢目標(biāo)設(shè)備的MAC地址,以保證通信的進(jìn)行。
ARP(AddressResolutionProtocol)是地址解析協(xié)議,是一種將IP地址轉(zhuǎn)化成物理地址的協(xié)議。從IP地址到物理地址的映射有兩種方式:表格方式和非表格方式。ARP具體說來就是將網(wǎng)絡(luò)層(IP層,也就是相當(dāng)于OSI的第三層)地址解析為數(shù)據(jù)連接層(MAC層,也就是相當(dāng)于OSI的第二層)的MAC地址。
ARP攻擊原理
ARP攻擊就是通過偽造IP地址和MAC地址實(shí)現(xiàn)ARP欺騙,能夠在網(wǎng)絡(luò)中產(chǎn)生大量的ARP通信量使網(wǎng)絡(luò)阻塞,攻擊者只要持續(xù)不斷的發(fā)出偽造的ARP響應(yīng)包就能更改目標(biāo)主機(jī)ARP緩存中的IP-MAC條目,造成網(wǎng)絡(luò)中斷或中間人攻擊。
ARP攻擊主要是存在于局域網(wǎng)網(wǎng)絡(luò)中,局域網(wǎng)中若有一臺(tái)計(jì)算機(jī)感染ARP木馬,則感染該ARP木馬的系統(tǒng)將會(huì)試圖通過“ARP欺騙”手段截獲所在網(wǎng)絡(luò)內(nèi)其它計(jì)算機(jī)的通信信息,并因此造成網(wǎng)內(nèi)其它計(jì)算機(jī)的通信故障。
某機(jī)器A要向主機(jī)B發(fā)送報(bào)文,會(huì)查詢本地的ARP緩存表,找到B的IP地址對(duì)應(yīng)的MAC地址后,就會(huì)進(jìn)行數(shù)據(jù)傳輸。如果未找到,則A廣播一個(gè)ARP請(qǐng)求報(bào)文(攜帶主機(jī)A的IP地址Ia——物理地址Pa),請(qǐng)求IP地址為Ib的主機(jī)B回答物理地址Pb。網(wǎng)上所有主機(jī)包括B都收到ARP請(qǐng)求,但只有主機(jī)B識(shí)別自己的IP地址,于是向A主機(jī)發(fā)回一個(gè)ARP響應(yīng)報(bào)文。其中就包含有B的MAC地址,A接收到B的應(yīng)答后,就會(huì)更新本地的ARP緩存。接著使用這個(gè)MAC地址發(fā)送數(shù)據(jù)(由網(wǎng)卡附加MAC地址)。因此,本地高速緩存的這個(gè)ARP表是本地網(wǎng)絡(luò)流通的基礎(chǔ),而且這個(gè)緩存是動(dòng)態(tài)的。
ARP攻擊的演化
初期:
這種有目的的發(fā)布錯(cuò)誤ARP廣播包的行為,被稱為ARP欺騙。ARP欺騙,最初為黑客所用,成為黑客竊取網(wǎng)絡(luò)數(shù)據(jù)的主要手段。黑客通過發(fā)布錯(cuò)誤的ARP廣播包,阻斷正常通信,并將自己所用的電腦偽裝成別人的電腦,這樣原本發(fā)往其他電腦的數(shù)據(jù),就發(fā)到了黑客的電腦上,達(dá)到竊取數(shù)據(jù)的目的。
中期:ARP惡意攻擊
后來,有人利用這一原理,制作了一些所謂的“管理軟件”,例如網(wǎng)絡(luò)剪刀手、執(zhí)法官、終結(jié)者等,這樣就導(dǎo)致了ARP惡意攻擊的泛濫。往往使用這種軟件的人,以惡意破壞為目的,多是為了讓別人斷線,逞一時(shí)之快。
特別是在網(wǎng)吧中,或者因?yàn)樯虡I(yè)競(jìng)爭(zhēng)的目的、或者因?yàn)閭€(gè)人無聊泄憤,造成惡意ARP攻擊泛濫。
隨著網(wǎng)吧經(jīng)營(yíng)者摸索出禁用這些特定軟件的方法,這股風(fēng)潮也就漸漸平息下去了。
現(xiàn)在:綜合的ARP攻擊
最近這一波ARP攻擊潮,其目的、方式多樣化,沖擊力度、影響力也比前兩個(gè)階段大很多。
首先是病毒加入了ARP攻擊的行列。以前的病毒攻擊網(wǎng)絡(luò)以廣域網(wǎng)為主,最有效的攻擊方式是DDOS攻擊。但是隨著防范能力的提高,病毒制造者將目光投向局域網(wǎng),開始嘗試ARP攻擊,例如最近流行的威金病毒,ARP攻擊是其使用的攻擊手段之一。
相對(duì)病毒而言,盜號(hào)程序?qū)W(wǎng)吧運(yùn)營(yíng)的困惑更大。盜號(hào)程序是為了竊取用戶帳號(hào)密碼數(shù)據(jù)而進(jìn)行ARP欺騙,同時(shí)又會(huì)影響的其他電腦上網(wǎng)。
遭受ARP攻擊后現(xiàn)象
ARP欺騙木馬的中毒現(xiàn)象表現(xiàn)為:使用局域網(wǎng)時(shí)會(huì)突然掉線,過一段時(shí)間后又會(huì)恢復(fù)正常。比如客戶端狀態(tài)頻頻變紅,用戶頻繁斷網(wǎng),IE瀏覽器頻繁出錯(cuò),以及一些常用軟件出現(xiàn)故障等。如果局域網(wǎng)中是通過身份認(rèn)證上網(wǎng)的,會(huì)突然出現(xiàn)可認(rèn)證,但不能上網(wǎng)的現(xiàn)象(無法ping通網(wǎng)關(guān)),重啟機(jī)器或在MS-DOS窗口下運(yùn)行命令arp -d后,又可恢復(fù)上網(wǎng)。
ARP欺騙木馬只需成功感染一臺(tái)電腦,就可能導(dǎo)致整個(gè)局域網(wǎng)都無法上網(wǎng),嚴(yán)重的甚至可能帶來整個(gè)網(wǎng)絡(luò)的癱瘓。該木馬發(fā)作時(shí)除了會(huì)導(dǎo)致同一局域網(wǎng)內(nèi)的其他用戶上網(wǎng)出現(xiàn)時(shí)斷時(shí)續(xù)的現(xiàn)象外,還會(huì)竊取用戶密碼。如盜取QQ密碼、盜取各種網(wǎng)絡(luò)游戲密碼和賬號(hào)去做金錢交易,盜竊網(wǎng)上銀行賬號(hào)來做非法交易活動(dòng)等,這是木馬的慣用伎倆,給用戶造成了很大的不便和巨大的經(jīng)濟(jì)損失。
基于ARP協(xié)議的這一工作特性,黑客向?qū)Ψ接?jì)算機(jī)不斷發(fā)送有欺詐性質(zhì)的ARP數(shù)據(jù)包,數(shù)據(jù)包內(nèi)包含有與當(dāng)前設(shè)備重復(fù)的Mac地址,使對(duì)方在回應(yīng)報(bào)文時(shí),由于簡(jiǎn)單的地址重復(fù)錯(cuò)誤而導(dǎo)致不能進(jìn)行正常的網(wǎng)絡(luò)通信。一般情況下,受到ARP攻擊的計(jì)算機(jī)會(huì)出現(xiàn)兩種現(xiàn)象:
1.不斷彈出“本機(jī)的0-255段硬件地址與網(wǎng)絡(luò)中的0-255段地址沖突”的對(duì)話框。
2.計(jì)算機(jī)不能正常上網(wǎng),出現(xiàn)網(wǎng)絡(luò)中斷的癥狀。
因?yàn)檫@種攻擊是利用ARP請(qǐng)求報(bào)文進(jìn)行“欺騙”的,所以防火墻會(huì)誤以為是正常的請(qǐng)求數(shù)據(jù)包,不予攔截。因此普通的防火墻很難抵擋這種攻擊。
對(duì)ARP攻擊的防護(hù)
防止ARP攻擊是比較困難的,修改協(xié)議也是不大可能。但是有一些工作是可以提高本地網(wǎng)絡(luò)的安全性。
首先,你要知道,如果一個(gè)錯(cuò)誤的記錄被插入ARP或者IP route表,可以用兩種方式來刪除。
a. 使用arp –d host_entry
b. 自動(dòng)過期,由系統(tǒng)刪除
這樣,可以采用以下的一些方法:
1). 減少過期時(shí)間
#ndd –set /dev/arp arp_cleanup_interval 60000
#ndd -set /dev/ip ip_ire_flush_interval 60000
60000=60000毫秒 默認(rèn)是300000
加快過期時(shí)間,并不能避免攻擊,但是使得攻擊更加困難,帶來的影響是在網(wǎng)絡(luò)中會(huì)大量的出現(xiàn)ARP請(qǐng)求和回復(fù),請(qǐng)不要在繁忙的網(wǎng)絡(luò)上使用。
2). 建立靜態(tài)ARP表
這是一種很有效的方法,而且對(duì)系統(tǒng)影響不大。缺點(diǎn)是破壞了動(dòng)態(tài)ARP協(xié)議。可以建立如下的文件。
test.nsfocus.com 08:00:20:ba:a1:f2
user. nsfocus.com 08:00:20:ee:de:1f
使用arp –f filename加載進(jìn)去,這樣的ARP映射將不會(huì)過期和被新的ARP數(shù)據(jù)刷新,除非使用arp –d才能刪除。但是一旦合法主機(jī)的網(wǎng)卡硬件地址改變,就必須手工刷新這個(gè)arp文件。這個(gè)方法,不適合于經(jīng)常變動(dòng)的網(wǎng)絡(luò)環(huán)境。
3).禁止ARP
可以通過ipconfig interface –arp 完全禁止ARP,這樣,網(wǎng)卡不會(huì)發(fā)送ARP和接受ARP包。但是使用前提是使用靜態(tài)的ARP表,如果不在ARP表中的計(jì)算機(jī) ,將不能通信。這個(gè)方法不適用與大多數(shù)網(wǎng)絡(luò)環(huán)境,因?yàn)檫@增加了網(wǎng)絡(luò)管理的成本。但是對(duì)小規(guī)模的安全網(wǎng)絡(luò)來說,還是有效可行的。
但目前的ARP病毒層出不窮,已經(jīng)不能單純的依靠傳統(tǒng)的方法去防范,比如簡(jiǎn)單的綁定本機(jī)ARP表,我們還需要更深入的了解ARP攻擊原理,才能夠通過癥狀分析并解決ARP欺騙的問題。
解決ARP最根本的辦法
ARP欺騙和攻擊問題,是企業(yè)網(wǎng)絡(luò)的心腹大患。關(guān)于這個(gè)問題的討論已經(jīng)很深入了,對(duì)ARP攻擊的機(jī)理了解的很透徹,各種防范措施也層出不窮。
但問題是,現(xiàn)在真正擺脫ARP問題困擾了嗎?從用戶那里了解到,雖然嘗試過各種方法,但這個(gè)問題并沒有根本解決。原因就在于,目前很多種ARP防范措施,一是解決措施的防范能力有限,并不是最根本的辦法。二是對(duì)網(wǎng)絡(luò)管理約束很大,不方便不實(shí)用,不具備可操作性。三是某些措施對(duì)網(wǎng)絡(luò)傳輸?shù)男苡袚p失,網(wǎng)速變慢,帶寬浪費(fèi),也不可取。
本文通過具體分析一下普遍流行的四種防范ARP措施,去了解為什么ARP問題始終不能根治。并進(jìn)一步分析在免疫網(wǎng)絡(luò)的模式下,對(duì)ARP是如何徹底根除的,為什么只有免疫網(wǎng)絡(luò)能夠做到。
上篇:四種常見防范ARP措施的分析
一、雙綁措施
雙綁是在路由器和終端上都進(jìn)行IP-MAC綁定的措施,它可以對(duì)ARP欺騙的兩邊,偽造網(wǎng)關(guān)和截獲數(shù)據(jù),都具有約束的作用。這是從ARP欺騙原理上進(jìn)行的防范措施,也是最普遍應(yīng)用的辦法。它對(duì)付最普通的ARP欺騙是有效的。
但雙綁的缺陷在于3點(diǎn):
1、 在終端上進(jìn)行的靜態(tài)綁定,很容易被升級(jí)的ARP攻擊所搗毀,病毒的一個(gè)ARP –d命令,就可以使靜態(tài)綁定完全失效。
2、 在路由器上做IP-MAC表的綁定工作,費(fèi)時(shí)費(fèi)力,是一項(xiàng)繁瑣的維護(hù)工作。換個(gè)網(wǎng)卡或更換IP,都需要重新配置路由。對(duì)于流動(dòng)性電腦,這個(gè)需要隨時(shí)進(jìn)行的綁定工作,是網(wǎng)絡(luò)維護(hù)的巨大負(fù)擔(dān),網(wǎng)管員幾乎無法完成。
3、 雙綁只是讓網(wǎng)絡(luò)的兩端電腦和路由不接收相關(guān)ARP信息,但是大量的ARP攻擊數(shù)據(jù)還是能發(fā)出,還要在內(nèi)網(wǎng)傳輸,大幅降低內(nèi)網(wǎng)傳輸效率,依然會(huì)出現(xiàn)問題。
因此,雖然雙綁曾經(jīng)是ARP防范的基礎(chǔ)措施,但因?yàn)榉婪赌芰τ邢蓿芾硖闊F(xiàn)在它的效果越來越有限了。
二、ARP個(gè)人防火墻
在一些殺毒軟件中加入了ARP個(gè)人防火墻的功能,它是通過在終端電腦上對(duì)網(wǎng)關(guān)進(jìn)行綁定,保證不受網(wǎng)絡(luò)中假網(wǎng)關(guān)的影響,從而保護(hù)自身數(shù)據(jù)不被竊取的措施。ARP防火墻使用范圍很廣,有很多人以為有了防火墻,ARP攻擊就不構(gòu)成威脅了,其實(shí)完全不是那么回事。
ARP個(gè)人防火墻也有很大缺陷:
1、它不能保證綁定的網(wǎng)關(guān)一定是正確的。如果一個(gè)網(wǎng)絡(luò)中已經(jīng)發(fā)生了ARP欺騙,有人在偽造網(wǎng)關(guān),那么,ARP個(gè)人防火墻上來就會(huì)綁定這個(gè)錯(cuò)誤的網(wǎng)關(guān),這是具有極大風(fēng)險(xiǎn)的。即使配置中不默認(rèn)而發(fā)出提示,缺乏網(wǎng)絡(luò)知識(shí)的用戶恐怕也無所適從。
2 、ARP是網(wǎng)絡(luò)中的問題,ARP既能偽造網(wǎng)關(guān),也能截獲數(shù)據(jù),是個(gè)“雙頭怪”。在個(gè)人終端上做ARP防范,而不管網(wǎng)關(guān)那端如何,這本身就不是一個(gè)完整的辦法。ARP個(gè)人防火墻起到的作用,就是防止自己的數(shù)據(jù)不會(huì)被盜取,而整個(gè)網(wǎng)絡(luò)的問題,如掉線、卡滯等,ARP個(gè)人防火墻是無能為力的。
因此,ARP個(gè)人防火墻并沒有提供可靠的保證。最重要的是,它是跟網(wǎng)絡(luò)穩(wěn)定無關(guān)的措施,它是個(gè)人的,不是網(wǎng)絡(luò)的。
三、VLAN和交換機(jī)端口綁定
通過劃分VLAN和交換機(jī)端口綁定,以圖防范ARP,也是常用的防范方法。做法是細(xì)致地劃分VLAN,減小廣播域的范圍,使ARP在小范圍內(nèi)起作用,而不至于發(fā)生大面積影響。同時(shí),一些網(wǎng)管交換機(jī)具有MAC地址學(xué)習(xí)的功能,學(xué)習(xí)完成后,再關(guān)閉這個(gè)功能,就可以把對(duì)應(yīng)的MAC和端口進(jìn)行綁定,避免了病毒利用ARP攻擊篡改自身地址。也就是說,把ARP攻擊中被截獲數(shù)據(jù)的風(fēng)險(xiǎn)解除了。這種方法確實(shí)能起到一定的作用。
不過,VLAN和交換機(jī)端口綁定的問題在于:
1、沒有對(duì)網(wǎng)關(guān)的任何保護(hù),不管如何細(xì)分VLAN,網(wǎng)關(guān)一旦被攻擊,照樣會(huì)造成全網(wǎng)上網(wǎng)的掉線和癱瘓。
2、把每一臺(tái)電腦都牢牢地固定在一個(gè)交換機(jī)端口上,這種管理太死板了。這根本不適合移動(dòng)終端的使用,從辦公室到會(huì)議室,這臺(tái)電腦恐怕就無法上網(wǎng)了。在無線應(yīng)用下,又怎么辦呢?還是需要其他的辦法。
3、實(shí)施交換機(jī)端口綁定,必定要全部采用高級(jí)的網(wǎng)管交換機(jī)、三層交換機(jī),整個(gè)交換網(wǎng)絡(luò)的造價(jià)大大提高。
因?yàn)榻粨Q網(wǎng)絡(luò)本身就是無條件支持ARP操作的,就是它本身的漏洞造成了ARP攻擊的可能,它上面的管理手段不是針對(duì)ARP的。因此,在現(xiàn)有的交換網(wǎng)絡(luò)上實(shí)施ARP防范措施,屬于以子之矛攻子之盾。而且操作維護(hù)復(fù)雜,基本上是個(gè)費(fèi)力不討好的事情。
四、PPPoE
網(wǎng)絡(luò)下面給每一個(gè)用戶分配一個(gè)帳號(hào)、密碼,上網(wǎng)時(shí)必須通過PPPoE認(rèn)證,這種方法也是防范ARP措施的一種。PPPoE撥號(hào)方式對(duì)封包進(jìn)行了二次封裝,使其具備了不受ARP欺騙影響的使用效果,很多人認(rèn)為找到了解決ARP問題的終極方案。
問題主要集中在效率和實(shí)用性上面:
1、PPPoE需要對(duì)封包進(jìn)行二次封裝,在接入設(shè)備上再解封裝,必然降低了網(wǎng)絡(luò)傳輸效率,造成了帶寬資源的浪費(fèi),要知道在路由等設(shè)備上添加PPPoE Server的處理效能和電信接入商的PPPoE Server可不是一個(gè)數(shù)量級(jí)的。
2、PPPoE方式下局域網(wǎng)間無法互訪,在很多網(wǎng)絡(luò)都有局域網(wǎng)內(nèi)部的域控服務(wù)器、DNS服務(wù)器、郵件服務(wù)器、OA系統(tǒng)、資料共享、打印共享等等,需要局域網(wǎng)間相互通信的需求,而PPPoE方式使這一切都無法使用,是無法被接受的。
3、不使用PPPoE,在進(jìn)行內(nèi)網(wǎng)訪問時(shí),ARP的問題依然存在,什么都沒有解決,網(wǎng)絡(luò)的穩(wěn)定性還是不行。
因此,PPPoE在技術(shù)上屬于避開底層協(xié)議連接,眼不見心不煩,通過犧牲網(wǎng)絡(luò)效率換取網(wǎng)絡(luò)穩(wěn)定。最不能接受的,就是網(wǎng)絡(luò)只能上網(wǎng)用,內(nèi)部其他的共享就不能在PPPoE下進(jìn)行了。
通過對(duì)以上四種普遍的ARP防范方法的分析,我們可以看出,現(xiàn)有ARP防范措施都存在問題。這也就是ARP即使研究很久很透,但依然在實(shí)踐中無法徹底解決的原因所在了。
下篇:免疫網(wǎng)絡(luò)是解決ARP最根本的辦法
道高一尺魔高一丈,網(wǎng)絡(luò)問題必定需要網(wǎng)絡(luò)的方法去解決。目前,欣全向推廣的免疫網(wǎng)絡(luò)就是徹底解決ARP問題的最實(shí)際的方法。
從技術(shù)原理上,徹底解決ARP欺騙和攻擊,要有三個(gè)技術(shù)要點(diǎn)。
1、終端對(duì)網(wǎng)關(guān)的綁定要堅(jiān)實(shí)可靠,這個(gè)綁定能夠抵制被病毒搗毀。
2、接入路由器或網(wǎng)關(guān)要對(duì)下面終端IP-MAC的識(shí)別始終保證唯一準(zhǔn)確。
3、網(wǎng)絡(luò)內(nèi)要有一個(gè)最可依賴的機(jī)構(gòu),提供對(duì)網(wǎng)關(guān)IP-MAC最強(qiáng)大的保護(hù)。它既能夠分發(fā)正確的網(wǎng)關(guān)信息,又能夠?qū)Τ霈F(xiàn)的假網(wǎng)關(guān)信息立即封殺。
免疫網(wǎng)絡(luò)在這三個(gè)問題上,都有專門的技術(shù)解決手段,而且這些技術(shù)都是廠家欣全向的技術(shù)專利。下面我們會(huì)詳細(xì)說明。現(xiàn)在,我們要先做一個(gè)免疫網(wǎng)絡(luò)結(jié)構(gòu)和實(shí)施的簡(jiǎn)單介紹。
免疫網(wǎng)絡(luò)就是在現(xiàn)有的路由器、交換機(jī)、網(wǎng)卡、網(wǎng)線構(gòu)成的普通交換網(wǎng)絡(luò)基礎(chǔ)上,加入一套安全和管理的解決方案。這樣一來,在普通的網(wǎng)絡(luò)通信中,就融合進(jìn)了安全和管理的機(jī)制,保證了在網(wǎng)絡(luò)通信過程中具有了安全管控的能力,堵上了普通網(wǎng)絡(luò)對(duì)安全從不設(shè)防的先天漏洞。
實(shí)施一個(gè)免疫網(wǎng)絡(luò)不是一個(gè)很復(fù)雜的事,代價(jià)并不大。它要做的僅僅是用免疫墻路由器或免疫網(wǎng)關(guān),替換掉現(xiàn)有的寬帶接入設(shè)備。在免疫墻路由器下,需要自備一臺(tái)服務(wù)器24小時(shí)運(yùn)行免疫運(yùn)營(yíng)中心。免疫網(wǎng)關(guān)不需要,已自帶服務(wù)器。這就是方案的所需要的硬件調(diào)整措施。硬件的價(jià)位,從1000多元到10萬元,針對(duì)各種不同的企業(yè)需求,大、中、小、微型企業(yè)都能各取所需,選擇的范圍非常廣泛。
軟性的網(wǎng)絡(luò)調(diào)整是IP規(guī)劃、分組策略、終端自動(dòng)安裝上網(wǎng)驅(qū)動(dòng)等配置和安裝工作,以保證整個(gè)的安全管理功能有效地運(yùn)行。其實(shí)這部分工作和網(wǎng)管員對(duì)網(wǎng)絡(luò)日常的管理沒有太大區(qū)別。
疫網(wǎng)絡(luò)具有強(qiáng)大的網(wǎng)絡(luò)基礎(chǔ)安全和管理功能,對(duì)ARP的防范僅是其十分之一不到的能力。但本文談的是ARP問題,所以我們需要回過頭來,具體地解釋免疫網(wǎng)絡(luò)對(duì)ARP欺騙和攻擊防范的機(jī)理。至于免疫網(wǎng)絡(luò)更多的強(qiáng)大,可以后續(xù)研究。
前述治理ARP問題的三個(gè)技術(shù)要點(diǎn),終端綁定、網(wǎng)關(guān)、機(jī)構(gòu)三個(gè)環(huán)節(jié),免疫網(wǎng)絡(luò)分別采用了專門的技術(shù)手段。
1、 終端綁定采用了看守式綁定技術(shù)。免疫網(wǎng)絡(luò)需要每一臺(tái)終端自動(dòng)安裝驅(qū)動(dòng),不安裝或卸載就不能上網(wǎng)。在驅(qū)動(dòng)中的看守式綁定,就是把正確的網(wǎng)關(guān)信息存貯在非公開的位置加以保護(hù),任何對(duì)網(wǎng)關(guān)信息的更改,由于看守程序的嚴(yán)密監(jiān)控,都是不能成功的,這就完成了對(duì)終端綁定牢固可靠的要求。
2、 免疫墻路由器或免疫網(wǎng)關(guān)的ARP先天免疫技術(shù)。在NAT轉(zhuǎn)發(fā)過程中,由于加入了特殊的機(jī)制,免疫墻路由器根本不理會(huì)任何對(duì)終端IP-MAC的ARP申告,也就是說,誰都無法欺騙網(wǎng)關(guān)。與其他路由器不同,免疫墻路由器沒有使用IP-MAC的列表進(jìn)行工作,當(dāng)然也不需要繁瑣的路由器IP-MAC表綁定和維護(hù)操作。先天免疫,就是不用管也具有這個(gè)能力。
3、 保證網(wǎng)關(guān)IP-MAC始終正確的機(jī)構(gòu),在免疫網(wǎng)絡(luò)中是一套安全機(jī)制。首先,它能夠做到把從路由器中取到的真實(shí)網(wǎng)關(guān)信息,分發(fā)到每一個(gè)網(wǎng)內(nèi)終端,而安裝有驅(qū)動(dòng)的終端,只接受這樣的信息,其他信息不能接受,保證了網(wǎng)關(guān)的唯一正確性。其次,在每一臺(tái)終端,免疫驅(qū)動(dòng)都會(huì)攔截病毒發(fā)出的錯(cuò)誤網(wǎng)關(guān)傳播,不使其流竄到網(wǎng)絡(luò)內(nèi),把ARP欺騙和攻擊從根源上切斷。
從以上三個(gè)措施來看,免疫網(wǎng)絡(luò)確實(shí)真正解決了困擾已久的ARP問題,技術(shù)上是嚴(yán)謹(jǐn)?shù)模瑧?yīng)用上是可行的,成本也是相對(duì)低廉。所以,與常見的四種ARP防范辦法比較,免疫網(wǎng)絡(luò)是解決ARP最根本的辦法。
