如何有效防止ARP攻击.docVIP

ARP欺骗和攻击问题，是企业网络的心腹大患。关于这个问题的讨论已经很深入了，对ARP攻击的机理了解的很透彻，各种防范措施也层出不穷。 但问题是，现在真正摆脱ARP问题困扰了吗？从用户那里了解到，虽然尝试过各种方法，但这个问题并没有根本解决。原因就在于，目前很多种ARP防范措施，一是解决措施的防范能力有限，并不是最根本的办法。二是对网络管理约束很大，不方便不实用，不具备可操作性。三是某些措施对网络传输的效能有损失，网速变慢，带宽浪费，也不可取。 本文通过具体分析一下普遍流行的四种防范ARP措施，去了解为什么ARP问题始终不能根治。 上篇：四种常见防范ARP措施的分析 一、双绑措施 双绑是在路由器和终端上都进行IP-MAC绑定的措施，它可以对ARP欺骗的两边，伪造网关和截获数据，都具有约束的作用。这是从ARP欺骗原理上进行的防范措施，也是最普遍应用的办法。它对付最普通的ARP欺骗是有效的。 但双绑的缺陷在于3点： 1、在终端上进行的静态绑定，很容易被升级的ARP攻击所捣毁，病毒的一个ARP –d命令，就可以使静态绑定完全失效。 2、在路由器上做IP-MAC表的绑定工作，费时费力，是一项繁琐的维护工作。换个网卡或更换IP，都需要重新配置路由。对于流动性电脑，这个需要随时进行的绑定工作，是网络维护的巨大负担，网管员几乎无法完成。 3、双绑只是让网络的两端电脑和路由不接收