路由检测到ARP攻击

D-LINK DI 7100 路由器
已经对局域网所有机器都进行了 IP MAC 绑定
对未绑定的机器禁止了外网访问
为什么还是会收到局域网内部不同的机器的ARP攻击呢 属误报吗，还是说机器出于某种情况会被误认为是ARP攻击

ARP攻击分为二种，一种是对路由器ARP表的欺骗；另一种是对内网PC的网关欺骗。第一种ARP攻击的原理是——截获网关数据。它通知路由器一系列错误的内网MAC地址，并按照一定的频率不断进行，使真实的地址信息无法通过更新保存在路由器中，结果路由器的所有数据只能发送给错误的MAC地址，造成正常PC无法收到信息。第二种ARP攻击的原理是——伪造网关。它的原理是建立假网关，让被它欺骗的PC向假网关发数据，而不是通过正常的路由器途径上网。在PC看来，就是上不了网了，“网络掉线了”。常用的解决办法就是：一、在宽带路由器中把所有PC的IP-MAC输入到一个静态表中，这叫路由器IP-MAC绑定。二、在内网所有PC上设置网关的静态ARP信息，这叫PC机IP-MAC绑定。三是前两种办法的组合，称其为IP-MAC双向绑定。方法是有效的，但工作很繁琐，管理很麻烦。每台PC绑定本来就费力，在路由器中添加、维护、管理那么长长的一串列表，更是苦不堪言。一旦将来扩容调整，或更换网卡，又很容易由于疏忽造成混乱。况且ARP出现了新变种，二代ARP攻击已经具有自动传播能力，已有的宏文件绑定方式已经被破，主要表现在病毒通过网络访问或是主机间的访问互相传播。由于病毒已经感染到电脑主机，可以轻而易举的清除掉客户机电脑上的ARP静态绑定，伴随着绑定的取消，错误的网关IP和MAC的对应并可以顺利的写到客户机电脑，错误的网关IP和MAC的对应并可以顺利的写到客户机电脑，ARP的攻击又畅通无阻了。 我也曾受过arp的毒害，辛辛苦苦做的双向绑定遇到二代arp攻击变的是无所遁形，我觉得要想真正的杜绝arp攻击还是要我们内网每台电脑都联动起来，共同防范，共同抑制，光装防arp攻击的防火墙是远远不够的，这只能保证你可能不被攻击，但不能杜绝你不发arp攻击，这样是治标不治本的，因此要想真正杜绝arp最治本的方法还是从源头抑制，即从每个终端上抑制arp攻击的发出，因此要想完全的杜绝arp攻击要靠软硬件的结合，单靠硬件是无法实现的。后来是用“免疫墙”解决的，这个免疫墙技术专门针对内网病毒攻击的。你可以去试试。

温馨提示：答案为网友推荐，仅供参考

当前网址：http://99.wendadaohang.com/zd/eOOvtBjvtjW7WWjvjv.html