常见问题 >> 高级应用问题

如何应对ARP欺骗攻击?

新款路由器如何应对ARP欺骗攻击:
Vigor的各系列新款路由器,都已经加入了IP MAC绑定功能,只要在路由器端绑定了PC的IP/MAC地址,同时在PC端使用ARP Client工具绑定网关的IP MAC地址,即可完全不受ARP欺骗攻击的困扰。

由于ARP欺骗攻击既可以攻击网关,也可以直接作用到每台PC,所以任何一方的单方面绑定都无法杜绝ARP欺骗攻击带来的断网。因此,不带IP/MAC绑定的Vigor老型号无法彻底解决ARP欺骗攻击。

目前,带IP/MAC绑定功能的型号有VigorPro 200B,Vigor 3300B plus,Vigor 3300/V,Vigor 2910,VigorPro 100,Vigor 2800。使用Vigor 3300B plus旧版firmware的用户可以通过升级Firmware来得到IP/MAC绑定功能。

Vigor ARP欺骗攻击的解决方案,请参考:
http://www.draytek.com.cn/support/Solutioncontentshow.php?solarticle_id=29

旧型号路由器如何应对ARP欺骗攻击:
对于没有IP MAC绑定功能的旧型号Vigor路由器,仍然可以使用ARP Client做PC端绑定,减少ARP欺骗攻击的危害。
ARP欺骗攻击,从攻击目标来看,可以分为定向攻击和非定向攻击两种。对于非定向攻击来说,攻击目标是所有网内设备,因此,无论是网关还是PC,都是它攻击的目标,对于这种攻击,唯一的防范方式就是双向绑定。
还有一种攻击是定向攻击,只针对特定的一台/多台PC进行攻击,这样的攻击可能并不攻击路由器,这样一来,如果PC端锁定了网关的IP/MAC对应,就可以保证将上网封包发到路由器,路由器也可以正确的进行转发,上网完全不受ARP欺骗攻击的影响。也就是说,PC端单向绑定对于定向攻击是可以起到很好的作用的。

已读次数:2519