防火墙可以防止arp攻击吗（ARP攻击防制的基本方法_路由器怎么抵御ARP病毒）

大家好，小太来为大家解答以上问题。防火墙可以防止arp攻击吗，ARP攻击防制的基本方法_路由器怎么抵御ARP病毒很多人还不知道，现在让我们一起来看看吧！

不稳定的ARP协议一般电脑里的原始ARP协议很像一个思想不坚定，容易受他人影响的人。ARP欺骗/攻击就是利用这个特性误导计算机做出错误的行为。ARP攻击的原理在网上很容易找到，这里就不赘述了。原来的ARP协议是有效的，它会附加在局域网接收到的广播包或ARP查询包中，无条件覆盖本地缓存中的ARP/MAC对照表。这个特征就像一个意志薄弱的人，他相信自己所说的一切，并根据听到的最新信息立即做出决定。

就像一个没有计划的快递员，谁要给“张三”送信，他只问“张三住哪儿？”，并交付给他最近说“我是！”或者“张三就住那个房间！”来决定如何交付。在一个大家都诚信的地方，快递员的工作还是可以踏实开展的；但是，如果其他人看着快递货物的价值，想骗，快递员的工作方式就会带来混乱。

我们再回头看看ARP攻击和这个意志薄弱的快递员的关系。常见的ARP攻击有两种，一种是网络网关，也就是路由器，一种是局域网上的电脑，也就是一般用户。攻击网关就像给快递员发错了地址信息，导致快递员整个工作混乱，所有信件都无法正常投递；攻击一般电脑就是直接骗一般人说自己是快递员，让一般用户把需要传送的物品传送到攻击电脑。

ARP攻击的防范方法1。利用ARP echo发送正确的ARP报文：通过经常提醒正确的ARP对照表，可以达到预防的效果。

2.利用绑定的方法，在不受外界影响的情况下固定ARP表：固定正确的ARP表，达到防控的效果。

3.放弃ARP协议，采用其他寻址协议：不使用ARP作为传输机制，使用PPPoE等其他协议进行传输。

在上述三种方法中，前两种方法较为常见，第三种方法由于变化较大，适合技术能力较好的应用。前两种方法描述如下。

PK赛的“ARP回声”

ARP echo是最早开发的ARP攻击解决方案，但是随着ARP攻击的发展，逐渐失去作用。现在这种方法不仅对攻击没有防范作用，而且降低了局域网运行的效率，但是很多用户还是用这种方法来防范攻击。以上述思想不坚定的快递员为例。ARP echo的做法，相当于时不时用电话提醒快递员正确的寄送对象和地址，减少附近各种信息的干扰。

但这种方式显然存在几个问题：第一，即使时不时提醒快递员，有些信件还是会因为刚要发出去就收到了错误的信息，而以错误的方式发出去；在这种情况下，如果错误信息出现的频率极高，比如一个人不停地给快递员提供信息，即使打电话提醒，也会立刻被覆盖，效果不会好；其次，因为必须时不时的进行提醒，而且为了保证提醒的良好效果，应该加大提醒的间隔时间，防止被覆盖，就像快递员一直忙于接总部的电话，根本没有时间去寄信，耽误了业务；第三，要指派专人给快递员打电话提醒，相当于多派了一个人负责，不断提醒他工作也很重。

ARP攻击对应ARP echo时也会发生类似的情况。第一，面对高频的新型ARP攻击，ARP echo无法发挥作用，掉线断网的情况还是会发生。ARP echo对早期以盗宝为目的的攻击软件的防控是有效的，但普遍承认近期以攻击为手段的攻击软件没有效果。其次，ARP echo手段必须在局域网上不断发出广播网络包，占用局域网的带宽，降低了局域网的工作能力。整个局域网的电脑和交换机总是在处理ARP echo广播包，局域网在被攻击前就开始卡顿。第三，局域网中必须有一个负责发送ARP echo广播包的设备，不管是路由器、服务器还是电脑。由于数据包每秒以数百种方式发送，这对设备来说是一个很大的负担。

常见的处理ARP echo的方法有两种，一种是路由器连续发送，另一种是在电脑或服务器上安装软件发送。路由器连续传输的缺点是路由器本来工作就很忙，无法发送高频广播包，有很大几率会被覆盖。因此，防止新的ARP攻击的作用很小。所以有的解决方法就是使用ARP攻击软件，只不断的发出正确的网关和服务器对照表，安装在服务器或者电脑上。因为服务器或者电脑的计算能力很强，可以同时发出更多的广播包，效果很大。但这种方法对局域网的工作影响很大，因为整个局域网都被广播包占据，而攻击软件通常设置更高频率的广播包，误导局域网计算机，效果仍然有限。

另外，ARP echo一般发送网关和私有服务器的控制信息，对防止局域网电脑被骗有效，但对路由器没有影响，所以还是要绑定。

PK赛的“ARP绑定”

ARP的做法是不断提醒电脑正确的ARP对照表，ARP绑定是为了解决ARP协议“思想不坚定”的基本问题。QN侠客技术服务人员认为，ARP绑定的做法，相当于基本训练了快递员写下正确的姓名地址，永远不会被别人的信息干扰。因为快递员脑子里记住了这个对照表，所以根本不会受有心人的影响。

但是ARP绑定并不是万灵药，还需要作的好才有完全的效果。第一，即使这个快递员思想正确，不受影响，但是攻击者的网络包还是会小幅影响局域网部份运作，网管必须通过网络监控或扫瞄的方法，找出攻击者加以去除；第二，必须作双向绑定才有完全的效果，只作路由器端绑定效果有限，一般计算机仍会被欺骗，而发生掉包或掉线的情况。

双向绑定的解决方法，最为网管不喜欢的就是必须一台一台加以绑定，增加工作量。但是从以上的说明可知道，只有双向绑定才能有效果地解决ARP攻击的问题，而不会发生防制效果不佳、局域网效率受影响、影响路由器效能或影响服务器效能的缺点。也就是说双向绑定是个硬工夫，可以较全面性地解决现在及未来ARP攻击的问题，网管为了一时的省事，而采取片面的ARP echo解决方式，未来还是要回来解决这个问题。

另外，对于有自动通过局域网安装软件的网络，例如网吧的收费系统、无盘系统，都可以透过自动的批次档，自动在开机时完成绑定的工作，网管只要撰写一个统一的批次文件程序即可，不必一一配置。这些信息可以很容易地在互联网上通过搜索找到或者是向Qno侠诺的技术服务人员索取即可。

以上以思想不坚定的快递员情况，说明了常见的ARP攻击防制方法。ARP攻击利用的就是ARP协议的意志不坚，只有以培训的方式让ARP协议的意志坚定，明白正确的工作方法，才能从根本解决问题。只是依赖频繁的提醒快递员正确的作事方法，但是没有能从快递员意志不坚的特点着手，就好像只管不教，最终大家都很累，但是效果仍有限。

Qno侠诺的技术服务人员建议，面对这种新兴攻击，取巧用省事的方式准备，最后的结果可能是费事又不管用，必须重新来过。ARP双向绑定虽然对网管带来一定的工作量，但是其效果确是从根本上有效，而且网管也可参考自动批次档的作法，加快配置自动化的进行，更有效地对抗ARP攻击。

本文到此结束，希望对大家有所帮助。

免责声明：本文为转载，非本网原创内容，不代表本网观点。其原创性以及文中陈述文字和内容未经本站证实，对本文以及其中全部或者部分内容、文字的真实性、完整性、及时性本站不作任何保证或承诺，请读者仅作参考，并请自行核实相关内容。