arp 防火墙物理层的ARP防火墙有吗?

arp 防火墙  时间:2022-02-24  阅读:()

物理层的ARP防火墙有吗?

你说感觉是什么意思,网速还慢吗? 你在本机绑定IP地址和MAC地址表或者使用ARP防火墙确实可以有效抵御ARP欺骗,但局域网内有一种欺骗攻击却是没治标又治本的解决办法,或者说以现在的技术基本上不能防御。 TCP/IP分为5层,从下至上计算,分别为: 第一层:物理层 第二层:数据链路层 第三层:网络层 第四层:传输层 第五层:应用层 局域网内部除了ARP欺骗以外还有一种MAC地址表欺骗,你可能是遭到了后者的攻击。 这种欺骗攻击并不针对用户电脑,是向交换机发动MAC地址表欺骗,从而侦测出由此交换机负责的所有计算机中正在使用网络的计算机的IP地址,然后攻击者会随意选定几个IP进行网速限制。 如果想要防御,必须与给你提供网络服务的服务商进行磋商,要求网络服务商更换采用既能把IP跟MAC静态绑定,也能把 MAC地址跟物理接入端口静态绑定,或者做基于接口的VLAN的交换机,因为幻境网盾所攻击的是用户的上层网络,也就是交换机,而处于底层网络的用户,不管用软件防火墙还是硬件防火墙都是徒劳的,根本不能够防御,事实上现在不能防御,将来也永远不能防御。 MAC地址欺骗     目前很多网络都使用Hub进行连接的,众所周知,数据包经过Hub传输到其他网段时,Hub只是简单地把数据包复制到其他端口。因此,对于利用Hub组成的网络来说,没有安全而言,数据包很容易被用户拦截分析并实施网络攻击(MAC地址欺骗、IP地址欺骗及更高层面的信息骗取等)。为了防止这种数据包的无限扩散,人们越来越倾向于运用交换机来构建网络,交换机具有MAC地址学习功能,能够通过VLAN等技术将用户之间相互隔离,从而保证一定的网络安全性。 交换机队于某个目的MAC地址明确的单址包不会像Hub那样将该单址包简单复制到其他端口上,而是只发到起对应的特定的端口上。如同一般的计算机需要维持一张ARP高速缓冲表一样,每台交换机里面也需要维持一张MAC地址(有时是MAC地址和VLAN)与端口映射关系的缓冲表,称为地址表,正是依靠这张表,交换机才能将数据包发到对应端口。 地址表一般是交换机通过学习构造出来的。学习过程如下: (1)    交换机取出每个数据包的源MAC地址,通过算法找到相应的位置,如果是新地址,则创建地址表项,填写相应的端口信息、生命周期时间等; (2)    如果此地址已经存在,并且对应端口号也相同,则刷新生命周期时间; (3)    如果此地址已经存在,但对应端口号不同,一般会改写端口号,刷新生命周期时间; (4)    如果某个地址项在生命周期时间内没有被刷新,则将被老化删除。 如同ARP缓冲表存在地址欺骗的问题,交换机里的这种MAC地址表也存在地址欺骗问题。在实际应用中,人们已经发现早期设计的许多交换机都存在这个问题,以Cisco2912交换机为例,阐明一下如何进行MAC地址欺骗。 如图所示,两个用户PcA和PcB分别连接Cisco2912的portA和portB两个端口。     PortC    00.00.CC.CC.CC.CC       |     |     Cisco2912     portA /    portB     /         Hub    Hub     |    |     PcA    PcB     00.00.AA.AA.AA.AA    00.00.BB.BB.BB.BB 假定PcA的MAC的地址是00.00.AA.AA.AA.AA     PcB的MAC的地址是00.00.BB.BB.BB.BB 在正常的情况下,Cisco2912里会保存如下的一对映射关系: (00.00.AA.AA.AA.AA)<—>portA (00.00.BB.BB.BB.BB)  <—>portB (00.00.CC.CC.CC.CC)  <—>portC 依据这个映射关系,Cisco2912把从PortC上收到的发给PcA的包通过PortA发出,而不会从PortB发出。但是如果我们通过某种手段使交换机改变了这个映射关系,则Cisco2912就会将数据包转发到不应该去的端口,导致用户无法正常访问等服务。最为简单的一种方法就是用户PcB构造一种数据包,该包的源MAC地址不再是自己的MAC地址00.00.BB.BB.BB.BB,而是PcA的MAC地址00.00.AA.AA.AA.AA,从上面的地址学习过程可以看出,Cisco2912就会错误的认为MAC地址00.00.AA.AA.AA.AA是从portB上来的,因此映射关系也就改为: (00.00.AA.AA.AA.AA)<—>portB (00.00.BB.BB.BB.BB) <—>portB 这样,Cisco2912就会错误地把从PortC上收到的目的地址为MAC A的数据包通过PortB发出,而不再发给PortA.。显然,如果PcB一直在发这种特意构造的包。用户PcA就无法通过Cisco2912正常访问。更为严重的是,如果用户PcB构造portC上联设备(如路由器)的MAC地址(00.00.CC.CC.CC.CC),则会导致Cisco 2912下面所有的用户无法正常访问等业务。 上述只是MAC地址表欺骗的原理,你也许看不懂,我就举个简单的例子吧! 两个“工厂”(用户电脑),A工厂和B工厂共同使用一个“变电站”(交换机),某天A工厂引进了一批“生产效率较高但耗能比较大的设备”(P2P软件,如迅雷、PPS等),这导致变电站无法承受而经常“断电”(掉线),于是B厂就到A厂对其电力设施实施“破坏”(ARP欺骗攻击),而后来A厂的保卫科增派了“人手”(ARP防火墙)使得B厂无法对其破坏,于是B厂干脆派“电工”(MAC地址表欺骗)去2厂共用的变电站那里进行设置限制或完全掐断了对A厂的“电力供应”(数据流),而这时虽然A厂的保卫科很努力的防守自己的工厂,但是电力供应是从变电站那里被限制的,而工厂本身并没有受到外人的直接破坏,所以保卫科加派的那些“人手”也不会起到任何作用。

香港物理服务器 E5-2660v2 16G 500GSSD 增送20G防御 688/月 华纳云

#年终感恩活动#华纳云海外物理机688元/月,续费同价,50M CN2 GIA/100M国际大带宽可选,超800G 防御,不限流华纳云成立于2015年,隶属于香港联合通讯国际有限公司。拥有香港政府颁发的商业登记证明,作为APNIC 和 ARIN 会员单位,现有香港、美国等多个地区数据中心资源,百G丰富带宽接入,坚持为海内外用户提供自研顶级硬件防火墙服务,支持T B级超大防护带宽,单IP防护最大可达...

美国云服务器 1核 1G 30M 50元/季 兆赫云

【双十二】兆赫云:全场vps季付六折优惠,低至50元/季,1H/1G/30M/20G数据盘/500G流量/洛杉矶联通9929商家简介:兆赫云是一家国人商家,成立2020年,主要业务是美西洛杉矶联通9929线路VPS,提供虚拟主机、VPS和独立服务器。VPS采用KVM虚拟架构,线路优质,延迟低,稳定性强。是不是觉得黑五折扣力度不够大?还在犹豫徘徊中?这次为了提前庆祝双十二,特价推出全场季付六折优惠。...

乐凝网络支持24小时无理由退款,香港HKBN/美国CERA云服务器,低至9.88元/月起

乐凝网络怎么样?乐凝网络是一家新兴的云服务器商家,目前主要提供香港CN2 GIA、美国CUVIP、美国CERA、日本东京CN2等云服务器及云挂机宝等服务。乐凝网络提供比同行更多的售后服务,让您在使用过程中更加省心,使用零云服务器,可免费享受超过50项运维服务,1分钟内极速响应,平均20分钟内解决运维问题,助您无忧上云。目前,香港HKBN/美国cera云服务器,低至9.88元/月起,支持24小时无理...

arp 防火墙为你推荐
诺诺云代账上海的亮证节有讲到诺诺云代账,产品如何?settimer如何使用SetTimer MFC 够详细showwindowVB6.0中ShowWindow函数的使用溢出隐藏overflow:hidden用在哪里?webcrack我用WebCrack4 在破解路由器密码的时候为什么在破解密码的中途自动关闭掉拓扑关系什么是矢量数据、栅格数据、拓扑关系?天融信防火墙天融信下一代防火墙有那些特点和优势?editplus破解版cool edit pro 2.1汉化破解版spawningvc出现error spawning c1.exe怎么解决?php论坛怎样快速在个人电脑上建立一个自己的PHP论坛服务器?
xenvps 免费申请域名和空间 火山主机 2019年感恩节 表格样式 云主机51web 免费ftp站点 创梦 韩国名字大全 免费防火墙 lick 华为云建站 免费网络 电信主机托管 建站论坛 服务器是什么 服务器操作系统 dns是什么意思 泥瓦工 ddos攻击 更多