内网安全管理产品为何要慎用ARP欺骗阻断 (内网安全管理系统)

内网安全管理产品一定要慎用ARP欺骗阻断，现在随着内网安全管理产品在市场上的不断热卖，各种理念的产品花样繁多，但产品同质化趋势明显，尤其是针对终端非法接入内网的阻断方面，手段普遍单一，主要采用ARP欺骗的阻断方式。

随着内网安全管理产品在市场上的热销，各种理念的产品层出不穷，但产品同质化趋势明显，尤其是针对终端非法接入内网的阻断方面，手段普遍单一，主要采用ARP欺骗的阻断方式。任何技术都存在现实的两面性，ARP欺骗阻断对于内网安全产品而言，需要科学合理运用才能发挥最大的功效。

国内信息安全领军企业启明星辰公司在内网安全管理产品的诸多底层技术方面开展了积极的实践探索，并提出了新的防止非法接入的手段和思路。

什么是ARP欺骗阻断

ARP(Address Resolution Protocol是地址解析协议)，是一种将IP地址转化成物理地址的协议。从IP地址到物理地址的映射有两种方式：表格方式和非表格方式。ARP具体说来就是将网络层(IP层，也就是相当于OSI的第三层)地址解析为数据连接层(MAC层，也就是相当于OSI的第二层)。简单说，IP地址与MAC地址之间就必须存在一种对应关系，而ARP协议就是用来确定这种对应关系的协议。

ARP欺骗阻断：在同一个IP子网内，数据包根据目标机器的MAC地址进行寻址，而目标机器的MAC地址是通过ARP协议由目标机器的IP地址获得的。每台主机(包括网关)都有一个ARP缓存表，在正常情况下这个缓存表能够有效维护IP地址对MAC地址的一对一对应关系。但是在ARP缓存表的实现机制和ARP请求应答的机制中存在一些不完善的地方，容易造成ARP欺骗的情况发生。

由于ARP欺骗的阻断方式技术实现较简单，就被国内大部分厂商所采用，特别是针对未注册阻断、非法访问的阻断等，往往都采用ARP欺骗的阻断方式。

ARP欺骗阻断的不足

首先，采用ARP欺骗阻断方式对网络的负荷影响很大。ARP工作时，首先请求主机会发送出一个含有所希望到达的IP地址的以太网广播数据包，然后目标IP的所有者会以一个含有IP和MAC地址的数据包应答请求主机。

在ARP欺骗阻断的实现中，一个ARP请求可能会收到数十个、设置数百个ARP应答，有些ARP欺骗阻断程序还通过主动发ARP请求实现欺骗，因此，在网络中采用大量发ARP包的动作对于网络资源的占用是十分巨大的，可能导致网络设备性能下降，影响用户正常的业务。

其次，ARP欺骗阻断方式准入效果不可靠。

ARP欺骗并不能100%保证有效，比如目标机器的ARP应答包和欺骗包都能正确达到ARP请求者，请求者是否被欺骗还存在一定的机率，或者客户端安装了防ARP欺骗的软件，如果采用ARP欺骗包来实现终端设备的准入控制，效果就可想而知，其自身的缺陷，使得准入的可靠性大为降低。

最后，ARP欺骗阻断和真正的ARP欺骗难以区分。

在一个网络内如果启用了ARP欺骗阻断，当真的发生ARP欺骗时，后果将是灾难性的。用户将不能区分主动的ARP欺骗阻断和真正的ARP欺骗，将给用户的故障排除带来极大的困难，严重影响用户业务。

另一方面，在大多数的ARP欺骗阻断实现中，往往是子网内的所有电脑同时对目标电脑进行欺骗，如果目标电脑无需受欺骗后，要求所有电脑停止对其进行欺骗，而此时如果个别电脑没有收到停止欺骗的指令，将导致目标电脑持续不能正常访问网络，导致用户运维事故。

内网安全产品的新型阻断方式

综上所述，ARP欺骗的阻断方式存在很多问题，因此内网安全管理产品应该辨证地使用这一方式，启明星辰在其天珣内网安全风险管理与审计系统中提出了不同的思路。

1. 避免单一，采用多种阻断方式

天珣内网安全风险管理与审计系统在终端接入边界交换机，可以通过网络准入控制手段阻断不合法的终端接入内网，同时，在后台重要 服务器 中，通过应用准入控制，实现阻断不合法的终端访问重要服务器和服务资源。也就是说，从内网接入边界、后台服务器资源和客户端自身实现无缝的准入控制。

在不支持网络准入和应用准入两项条件的环境下，天珣产品虽然也使用了ARP欺骗的阻断方式，但是，这种阻断方式被大大规范和限制，特别是在个人防火墙只要拦截到ARP欺骗的攻击，就会立即制止客户端向其他客户端发送欺骗包，从而彻底改变了ARP欺骗的不利局面。除此之外，启明星辰天珣内网安全系统与天清汉马USG一体化安全网关(UTM)形成UTM平方统一安全套件，提供外网边界准入控制，可以实现阻断不合法的终端访问internet。

2. 主动防御ARP欺骗

启明星辰天珣内网安全系统通过检查IP数据包包头，可确保数据包欺骗不能发生。通过监控网络行为的发起进程，防止木马以隐藏进程方式进行网络访问。通过监控ARP请求或应答包，自动绑定网关MAC，拒绝延迟的ARP应答包等方式，防止内网ARP欺骗侵害。

内置强大的企业级主机防火墙系统，采用访问控制、流量控制、ARP欺骗控制、网络行为模式控制、非法外联控制等手段，实现了针对计算机终端的威胁主动防御和网络行为控制，从而保证计算机终端双向访问安全、行为受控，有效防护疑似攻击和未知病毒对企业内网造成的危害。

3. 基于终端网络行为模式的威胁主动防御

启明星辰天珣内网安全系统具备基于终端网络行为模式的威胁主动防御机制，通过集中控制每台计算机终端的网络行为，限定网络行为的主体、目标及服务，并结合计算机终端的安全状态控制网络访问，可以有效切断“独立进程型”蠕虫病毒的传播途径及木马和黑客的攻击路线，弥补防病毒软件“防治滞后”的弱点。通过监控TCP并发连接数，减缓蠕虫病毒对网络造成的损害。通过监控UDP的发包行为，限制异常进程的网络访问。

启明星辰天珣内网安全系统紧密围绕“合规”，内含企业级主机防火墙系统，通过“终端准入控制、终端安全控制、桌面合规管理、终端泄密控制和终端审计”五维化管理，全面提升内网安全防护能力和合规管理水平。

天珣内网安全系统引领了内网安全管理模式的新变革，在行使终端安全管理职能的同时，更与天清汉马USG一体化安全网关(UTM)组成以“网络边界、终端边界”为主要防护目标的UTM平方统一安全套件，协同构建多层次纵深防御体系，改变了“被动的、以事件驱动为特征”的传统内网安全管理模式，开创了“主动防御、合规管理”为目标的内网安全管理新时代。

什么是ARP阻断？？

ARP阻断原理分析

ARP阻断采用了ARP欺骗方法，阻断计算机利用ARP协议的原理打乱被阻断计算机和网络中其他计算机的IP-MAC地址对应表(ARP表)，使被阻断计算机无法正常进行网络通信，从而达到阻断的目的。北信源内网安全产品采用的ARP阻断分为以下两种方式：

轻量级阻断： 阻断计算机向网络中广播一个ARP请求报文，将被阻断计算机的IP地址及对应的假MAC地址发送给网络内所有的计算机，每台计算机收到请求后便会对本地的ARP缓存进行更新，将收到的请求中的IP和对应的假MAC地址存储在ARP缓存中。 这样对于网络中的计算机看来，被阻断计算机的IP地址没有变化，而它的MAC地址已经不是原来那个了。 由于局域网的网络通信不是根据IP地址进行，而是按照MAC地址进行传输。 因此，被阻断计算机便接收不到网络中计算机（不含阻断计算机）传送过来的信息。

重量级阻断： 阻断计算机冒充网络中的其他计算机（本网段1-255）给被阻断计算机发送定向ARP应答报文，被阻断计算机收到请求后便会对本地的ARP缓存进行更新，将收到的请求中的IP和对应的假MAC地址存储在ARP缓存中。 这样对于被阻断计算机看来，网络中的计算机的IP地址没有变化，而它们的MAC地址已经不是原来那个了。 因此，被阻断计算机便不能向网络中的计算机（不含阻断计算机）传送信息

附： ARP（Address Resolution Protocol）是地址解析协议，是一种将IP地址转化成物理地址的协议。 从IP地址到物理地址的映射有两种方式：表格方式和非表格方式。 ARP具体说来就是将网络层（IP层，也就是相当于OSI的第三层）地址解析为数据连接层（MAC层，也就是相当于OSI的第二层）的MAC地址。 ARP原理：某机器A要向主机B发送报文，会查询本地的ARP缓存表，找到B的IP地址对应的MAC地址后，就会进行数据传输。 如果未找到，则广播A一个ARP请求报文（携带主机A的IP地址Ia——物理地址Pa），请求IP地址为Ib的主机B回答物理地址Pb。 网上所有主机包括B都收到ARP请求，但只有主机B识别自己的IP地址，于是向A主机发回一个ARP响应报文。 其中就包含有B的MAC地址，A接收到B的应答后，就会更新本地的ARP缓存。 接着使用这个MAC地址发送数据（由网卡附加MAC地址）。 因此，本地高速缓存的这个ARP表是本地网络流通的基础，而且这个缓存是动态的。 ARP协议并不只在发送了ARP请求才接收ARP应答。 当计算机接收到ARP应答数据包的时候，就会对本地的ARP缓存进行更新，将应答中的IP和MAC地址存储在ARP缓存中。 因此，当局域网中的某台机器B向A发送一个自己伪造的ARP应答，而如果这个应答是B冒充C伪造来的，即IP地址为C的IP，而MAC地址是伪造的，则当A接收到B伪造的ARP应答后，就会更新本地的ARP缓存，这样在A看来C的IP地址没有变，而它的MAC地址已经不是原来那个了。 由于局域网的网络流通不是根据IP地址进行，而是按照MAC地址进行传输。 所以，那个伪造出来的MAC地址在A上被改变成一个不存在的MAC地址，这样就会造成网络不通，导致A不能Ping通C！这就是一个简单的ARP欺骗。

360安全卫士能拦截arp攻击吗？

360安全卫士能拦截ARP攻击吗？ARP是地址解析协议的意思,它是把IP地址翻译成网卡的MAC地址的,ARP欺骗一般是在局域网中发生,因为局域网中当两台电脑通信时以广播的形式查找对方,其它A主机在叫B主机的时候,所以局域网中的电脑都能收到,只是没叫自己也就不响应罢了,如果C主机回应了A主机,那么A主机就把C主机当成B主机处理,这就是ARP欺骗的原理解决方法:建议用户采用双向绑定的方法解决并且防止ARP欺骗。 1、在PC上绑定路由器的IP和MAC地址：1）首先，获得路由器的内网的MAC地址（例如HiPER网关地址192.168.16.254的MAC地址为0022aa0022aa）。 2）编写一个批处理文件内容如下：@echo offarp -darp -s 192.168.16.254 00-22-aa-00-22-aa将文件中的网关IP地址和MAC地址更改为您自己的网关IP地址和MAC地址即可。 将这个批处理软件拖到“windows--开始--程序--启动”中。 3）如果是网吧，可以利用收费软件服务端程序（pubwin或者万象都可以）发送批处理文件到所有客户机的启动目录。 Windows2000的默认启动目录为“C:/Documents and Settings/All Users「开始」菜单程序启动”。 2、在路由器上绑定用户主机的IP和MAC地址（440以后的路由器软件版本支持）：在HiPER管理界面--高级配置--用户管理中将局域网每台主机均作绑定。

ARP欺骗攻击是什么

ARP欺骗是黑客常用的攻击手段之一，ARP欺骗分为二种，一种是对路由器ARP表的欺骗；另一种是对内网PC的网关欺骗。 第一种ARP欺骗的原理是——截获网关数据。 它通知路由器一系列错误的内网MAC地址，并按照一定的频率不断进行，使真实的地址信息无法通过更新保存在路由器中，结果路由器的所有数据只能发送给错误的MAC地址，造成正常PC无法收到信息。 第二种ARP欺骗的原理是——伪造网关。 它的原理是建立假网关，让被它欺骗的PC向假网关发数据，而不是通过正常的路由器途径上网。 在PC看来，就是上不了网了，“网络掉线了”。 一般来说，ARP欺骗攻击的后果非常严重，大多数情况下会造成大面积掉线。 有些网管员对此不甚了解，出现故障时，认为PC没有问题，交换机没掉线的“本事”，电信也不承认宽带故障。 而且如果第一种ARP欺骗发生时，只要重启路由器，网络就能全面恢复，那问题一定是在路由器了。 为此，宽带路由器背了不少“黑锅”。