이 문제에 대한 논의는 이미 매우 심도 있게 진행되고 있으며, ARP 공격의 메커니즘에 대해 이미 철저히 이해하고 있으며, 각종 예방조치도 속출하고 있다. 하지만 문제는, 당신은 지금 정말로 ARP 문제에서 벗어났습니까? 나는 사용자들로부터 여러 가지 방법을 시도했지만 이 문제는 근본적으로 해결되지 않았다는 것을 알게 되었다. 그 이유는 현재 ARP 에 대한 예방 조치가 여러 가지가 있기 때문이다. 첫째로, 해결책의 예방능력이 제한되어 있는 것이 가장 근본적인 방법은 아니다. 둘째, 네트워크 관리에 대한 제한이 커서 불편하고 실용적이지 않으며 조작성이 없습니다. 셋째, 일부 조치는 네트워크 전송 효율성 손실, 네트워크 속도 저하, 대역폭 낭비, 바람직하지 않습니다. 이 글은 현재 유행하고 있는 네 가지 ARP 예방 조치를 상세히 분석하여 ARP 문제가 왜 완치될 수 없는지 알아보았다. 첫 번째 부분: ARP 1 예방을 위한 네 가지 일반적인 조치를 분석합니다. 이중 바인딩 조치 이중 바인딩은 라우터와 터미널에 IP-MAC 를 동시에 바인딩하는 조치로, 상호 ARP 스푸핑, 게이트웨이 위조 및 데이터 차단을 억제할 수 있습니다. 이것은 ARP 스푸핑 원리에 기반한 예방 조치이자 가장 일반적인 방법이다. 가장 일반적인 ARP 스푸핑에 효과적입니다. 그러나 이중 바인딩의 단점은 3 점: 1 입니다. 터미널의 정적 바인딩은 업그레이드된 ARP 공격에 의해 쉽게 파괴되며 바이러스의 ARP–D 명령을 사용하면 정적 바인딩이 완전히 무효화됩니다. 2. 라우터에 IP-MAC 테이블을 바인딩하는 것은 시간이 많이 걸리고 힘들며 번거로운 유지 관리 작업입니다. 네트워크 카드를 교체하거나 IP 를 변경하려면 라우팅을 재구성해야 합니다. 모바일 PC 의 경우 언제든지 수행해야 하는 이러한 바인딩 작업은 네트워크 유지 관리에 큰 부담이 되며 네트워크 관리자는 거의 수행할 수 없습니다. 3. 이중 바인딩은 네트워크의 양쪽 끝에 있는 컴퓨터와 라우터가 관련 ARP 정보를 받지 못하게 할 뿐, 대량의 ARP 공격 데이터는 여전히 보낼 수 있고, 인트라넷에서 전송돼 인트라넷의 전송 효율을 크게 떨어뜨릴 뿐, 여전히 문제가 발생할 수 있다. 따라서 이중 바인딩은 ARP 예방의 기본 조치였지만 예방력이 제한적이어서 관리가 너무 번거로워 효과가 점점 제한되고 있다. 둘째, ARP 개인 방화벽은 일부 바이러스 백신 소프트웨어에 ARP 개인 방화벽 기능을 추가합니다. 이는 터미널 컴퓨터에 게이트웨이를 바인딩하여 네트워크에서 가짜 게이트웨이의 영향을 받지 않고 자신의 데이터를 도난으로부터 보호하는 조치입니다. ARP 방화벽은 널리 사용됩니다. 많은 사람들은 방화벽 ARP 공격이 있으면 위협이 되지 않을 것이라고 생각하지만, 실제로는 전혀 그렇지 않다. ARP 개인 방화벽에도 큰 결함이 있습니다: 1, 바인딩된 게이트웨이가 반드시 정확하다는 보장은 없습니다. 네트워크에서 ARP 스푸핑이 발생하고 누군가가 게이트웨이를 위조하는 경우 ARP 개인 방화벽은 잘못된 게이트웨이를 바인딩하여 위험이 크다. 구성에 기본 프롬프트가 없어도 네트워크 지식이 없는 사용자는 어쩔 수 없을 수 있습니다. 2.ARP 는 네트워크의 문제입니다. ARP 는 게이트웨이를 위조할 수 있을 뿐만 아니라 데이터도 차단할 수 있다. 쌍두괴다' 입니다. 개인 터미널에서 ARP 예방을 하고 게이트웨이에 관계없이 그 자체가 완전한 방법은 아니다. ARP 개인 방화벽의 역할은 자신의 데이터가 도난되는 것을 방지하는 것이지만, 오프라인, 카드 등 전체 네트워크 문제에 대해서는 ARP 개인 방화벽이 무력하다. 따라서 ARP 개인 방화벽은 신뢰할 수 있는 보증을 제공하지 않습니다. 가장 중요한 것은 이것이 네트워크 안정성과 무관한 조치라는 것이다. 개인용이지 온라인이 아닙니다. 셋째, VLAN 과 스위치 포트 바인딩은 VLAN 과 스위치 포트 바인딩을 분할하여 ARP 를 방지하는 일반적인 예방 방법이기도 합니다. VLAN 을 면밀히 분할하여 브로드캐스트 도메인 범위를 좁히고 ARP 가 광범위한 영향을 미치지 않고 소규모로 작업할 수 있도록 하는 것이 좋습니다. 동시에 일부 네트워크 관리 스위치에는 MAC 주소를 배울 수 있는 기능이 있습니다. 학습이 완료되면 이 기능을 끄면 해당 MAC 가 포트를 바인딩하여 바이러스가 ARP 공격을 통해 자신의 주소가 변조되는 것을 방지할 수 있습니다. 즉, ARP 공격에서 데이터 가로채기의 위험을 해소한 것이다. 이런 방법은 확실히 어느 정도 역할을 할 수 있다. 그러나 VLAN 과 스위치 포트 바인딩의 문제점은 1 이며 게이트웨이가 보호되지 않는다는 것입니다. VLAN 의 세분화에 관계없이 게이트웨이가 공격당하면 전체 네트워크가 마비될 수 있습니다. 2, 각 컴퓨터는 스위치 포트에 단단히 고정되어 있습니다. 이 관리는 너무 융통성이 없습니다. 이것은 모바일 단말기 사용에 전혀 적합하지 않다. 사무실에서 회의실까지 이 컴퓨터는 인터넷을 할 수 없을 것 같다. 무선 앱에서 어떻게 해야 하나요? 여전히 다른 방법이 필요하다. 3. 스위치 포트 바인딩을 실현하려면 모든 고급 네트워크 관리 스위치와 레이어 3 스위치를 채택하여 전체 스위칭 네트워크 비용을 크게 늘려야 합니다. 교환망 자체가 무조건 ARP 운영을 지원하기 때문에 ARP 공격 가능성을 일으키는 것은 자신의 허점이며, 그 관리 수단은 ARP 를 겨냥한 것이 아니다. 따라서 기존 스위칭 네트워크에 ARP 예방 조치를 실시하는 것은 창으로 공격하는 방패에 속한다. 그리고 운수 유지가 복잡하여, 기본적으로 힘들고 비위를 맞추지 않는 일이다. 4. PPPoE 네트워크에서 각 사용자에게 계정과 비밀번호가 할당됩니다. 인터넷을 할 때 그들은 반드시 PPPoE 인증을 받아야 한다. 이 방법은 또한 ARP 를 방지하기위한 조치입니다. PPPoE 전화 접속 방식은 패킷을 두 번 캡슐화하여 ARP 스푸핑의 영향을 받지 않도록 합니다. 많은 사람들은 ARP 문제에 대한 궁극적인 해결책이 이미 발견되었다고 생각한다. 문제는 주로 효율성과 실용성에 초점을 맞추고 있습니다. 1, PPPoE 는 패킷을 두 번 캡슐화하고 액세스 장치에서 캡슐화해야 하므로 네트워크 전송 효율성이 떨어지고 대역폭 자원 낭비가 발생할 수 있습니다. PPPoE 서버+라우팅 장치 및 기타 장치의 처리 효율은 규모급이 아니라는 것을 알아야 한다. (알버트 아인슈타인, Northern Exposure (미국 TV 드라마), 성공명언) PPPoE 모드에서는 LAN 이 서로 액세스할 수 없습니다. 많은 네트워크에서 도메인 제어 서버, DNS 서버, 메일 서버, OA 시스템, 데이터 공유, 인쇄 공유 등이 있습니다. LAN 내에서는 로컬 영역 간의 통신이 필요합니다. 그러나 PPPoE 모드는 이러한 모든 것을 사용할 수 없게 하고 받아들일 수 없게 합니다. 3. PPPoE 가 없으면 인트라넷을 방문할 때 ARP 문제가 여전히 존재하고, 아무것도 해결되지 않고, 인터넷의 안정성은 여전히 좋지 않다. 그래서 PPPoE 는 기술적으로 기본 프로토콜 연결을 피하고, 눈에 띄지 않고, 네트워크 효율성을 희생하여 네트워크 안정성을 교환하는 것이다. 가장 받아들일 수 없는 것은 인터넷이 온라인으로만 사용할 수 있고, 다른 내부 * * * 즐거움은 PPPoE 에서 할 수 없다는 것이다. 위의 네 가지 일반적인 ARP 예방 방법에 대한 분석을 통해 기존 ARP 예방 조치에 문제가 있음을 알 수 있습니다. 이것이 바로 ARP 가 오랫동안 연구해도 실제로 완전히 해결할 수 없는 이유이다. 다음 편: 면역네트워크는 ARP 를 해결하는 가장 근본적인 방법이며, 네트워크 문제는 반드시 네트워크의 방법으로 해결해야 한다. 현재 전방위면역네트워크는 ARP 문제를 철저히 해결하는 가장 실용적인 방법이다. 기술적인 원리로 볼 때, ARP 스푸핑과 공격을 완전히 해결하는 데는 세 가지 기술점이 있다. 1. 터미널과 게이트웨이 사이의 바인딩은 견고하고 신뢰할 수 있어야 하며, 이 바인딩은 바이러스의 파괴에 저항할 수 있습니다. 2. 액세스 라우터 또는 게이트웨이는 항상 후속 터미널의 IP-MAC 에 대한 고유하고 정확한 식별을 보장해야 합니다. 3. 게이트웨이 IP-MAC 에 대한 강력한 보호를 제공하기 위해 네트워크에 가장 신뢰할 수 있는 조직이 있어야 합니다. 올바른 게이트웨이 정보를 배포할 수 있을 뿐만 아니라 잘못된 게이트웨이 정보를 즉시 차단할 수 있습니다. 면역망은 이 세 가지 문제에 대해 모두 전문적인 기술 해결책을 가지고 있는데, 이 기술들은 모두 제조업체의 기술 특허이다. 아래에서 자세히 설명하겠습니다. 이제 면역 네트워크의 구조와 구현에 대해 간단히 소개하겠습니다. 면역망은 라우터, 스위치, 네트워크 카드, 네트워크 케이블로 구성된 기존의 일반 스위칭 네트워크를 기반으로 보안 및 관리 솔루션을 추가하는 것입니다. 이렇게 하면 일반 네트워크 통신에서 보안 및 관리 메커니즘이 통합되어 네트워크 통신 과정에서 보안 제어 기능을 보장하고 일반 네트워크를 차단하여 보안에 대한 무방비 상태의 선천적인 취약점이 아닙니다. 면역네트워크의 구조가 면역망을 실현하는 것은 결코 복잡한 일이 아니며 비용도 크지 않다. 기존 광대역 액세스 장치를 면역 벽 라우터나 면역 게이트웨이로 교체하는 것입니다. 면역벽 라우터에서는 자체 서버를 24 시간 가지고 면역운영센터를 운영해야 한다. 면역 게이트웨이가 필요하지 않고 자체 서버가 있습니다. 이 프로그램에 필요한 하드웨어 조정 조치입니다. 소프트 네트워크 조정은 IP 계획, 그룹 정책, 터미널 자동 설치, 인터넷 구동 등의 구성 설치 작업으로 전체 보안 관리 기능을 효율적으로 운영할 수 있도록 합니다. 사실, 이 부분은 네트워크 관리자의 일상적인 관리 네트워크와 크게 다르지 않습니다. 면역망의 감시센터 면역망은 강력한 네트워크 기반 보안 및 관리 기능을 갖추고 있어 ARP 를 예방하는 능력이 10 분의 1 도 안 된다. 그러나이 논문은 ARP 에 관한 것이므로 ARP 사기의 메커니즘과 면역 네트워크의 공격 방지를 설명하기 위해 되돌아 가야합니다. 면역망에 관해서는 기능이 더 강해서 더 연구할 수 있다. 위에서 언급한 ARP 거버넌스의 세 가지 기술점, 터미널 바인딩, 게이트웨이 및 조직, 면역 네트워크는 각각 특별한 기술적 수단을 사용합니다. 1, 터미널 바인딩은 데몬 바인딩 기술을 사용합니다. 면역망은 각 터미널에 자동으로 드라이버를 설치해야 하며 설치 또는 제거 없이는 인터넷에 접속할 수 없습니다. 구동 중인 보호 바인딩은 올바른 게이트웨이 정보를 비공개 위치에 저장하여 보호하는 것입니다. 게이트키퍼의 면밀한 감시로 인해 게이트웨이 정보에 대한 어떠한 변경도 성공할 수 없어 견고하고 신뢰할 수 있는 터미널 바인딩 요구 사항이 완성되었습니다. 2. 면역벽 라우터 또는 면역게이트웨이의 ARP 선천적 면역기술. NAT 전달 과정에서 면역벽 라우터는 특수한 메커니즘으로 인해 터미널 IP-MAC 에 대한 ARP 선언을 전혀 무시했다. 즉, 아무도 게이트웨이를 속일 수 없다는 것이다. 다른 라우터와 달리 면역벽 라우터는 IP-MAC 목록을 사용하지 않으며 복잡한 라우터 IP-MAC 테이블 바인딩 및 유지 관리 작업도 필요하지 않습니다. 선천적인 면역은 신경 쓰지 않아도 이 능력을 가지고 있다.