Le pido sinceramente consejo sobre cómo evitar desconexiones frecuentes de la LAN o un cortafuegos ARP útil.
En la actualidad, arp se puede dividir en 7 tipos.
1. Falsificación de arp (puerta de enlace, PC)
2. Ataque de arp
3. Arp incompleto
4. /p>
5. Arp de segunda generación (IP falsa, Mac falso)
Debido a que el arp de segunda generación es el más difícil de resolver, ahora analizaré el problema del arp de segunda generación.
Fenómeno Hay nuevas variantes de ARP. Los ataques ARP de segunda generación tienen la capacidad de propagarse automáticamente. El método de enlace de archivos macro existente se ha roto. La red se enfrenta a una nueva ronda de desconexiones y retrasos. !
¿Principio? El ARP de segunda generación se manifiesta principalmente en la propagación del virus a través del acceso a la red o del acceso entre hosts. Dado que el virus ha infectado el host de la computadora, puede borrar fácilmente el enlace estático ARP en la computadora cliente (primero ejecute arp?-d y luego ejecute arp?-s?, en este momento el enlace es un error MAC) Con la cancelación Después del enlace, se puede escribir con éxito la correspondencia IP y MAC de la puerta de enlace incorrecta en la computadora cliente y el ataque ARP vuelve a estar libre de obstáculos.
Solución (1) Después de que algunos usuarios adoptaron el "enlace doble/simple", los ataques ARP se han controlado hasta cierto punto.
Cuando se enfrentan problemas, tanto el enlace doble como el enlace simple deben estar vinculados en el cliente. El ataque ARP de segunda generación borrará el enlace en la computadora, lo que invalidará el método de enlace estático de la computadora.
(2) Algunos usuarios adoptan un método llamado "enlace cíclico", lo que significa que el cliente vincula automáticamente un "IP/MAC" cada "vez".
Ante el problema, si nuestra "vinculación de bucle" tarda mucho tiempo (más que el tiempo de limpieza de arp), significa que la "vinculación de bucle" se borra antes de que aún se realice la segunda prevención de arp. ineficaz. Si el tiempo de "vinculación de bucle" es demasiado corto (más corto que el tiempo de limpieza de arp), esta área utilizará temporalmente más recursos del sistema, lo que supone "más pérdidas que ganancias"
(3) Algunos usuarios utilizan un método llamado Para "protección arp", la puerta de enlace envía la puerta de enlace "IP/MAC" correcta en la intranet a una determinada "frecuencia" de vez en cuando.
Nos enfrentamos a problemas si la "frecuencia" de el envío es demasiado rápido (envío cada segundo si hay demasiados ARP), consumirá seriamente los recursos de la intranet (y fácilmente causará congestión en la intranet si la "frecuencia" de envío es demasiado lenta (no hay ataques de protocolo arp). enviado con alta frecuencia), no tendrá ningún efecto en la prevención de arp.
El método más completo
(4) arp es un "monstruo de dos cabezas". Si quieres resolverlo por completo, debes "tener en cuenta tanto el principio como el final". end". Hay dos formas de lograrlo
¿Primero? Utilice el método "enlace guardián" para monitorear el caché ARP de la computadora en tiempo real para garantizar la correspondencia correcta entre la MAC de la puerta de enlace y la IP en el caché. Habrá un enlace estático en la tabla de caché de arp. Si es atacado por arp, o siempre que haya una solicitud de la red pública, este enlace estático saltará automáticamente, por lo que no afecta el acceso correcto a la red. Este método es una manifestación de la integración de las funciones de seguridad y de la tarjeta de red, también llamada "supresión de terminal".
El segundo es que debe haber una "integración de las funciones de seguridad y de red" en la arquitectura de acceso a la red. la puerta de enlace de entrada realiza NAT, no reenvía datos de acuerdo con la tabla de mapeo "MAC/IP" como el enrutamiento tradicional, sino en función de su MAC en la tabla NAT (de esta manera, siempre que los datos se puedan reenviar, se pueden reenviar). Definitivamente regresaré) Incluso si ARP explota a gran escala y la tabla arp está confusa, no tendrá ningún impacto en nuestra red. (No mire la tabla de mapeo IP/MAC). Este método también es el más completo entre los ARP de control existentes. También se le conoce como una característica importante de la "red inmune". En la actualidad, sólo la red inmune de patrulla tiene esta función especial.