现在家用路由器是不是基本都无法解决 ARP 攻击问题?不是所有的流量都需要通过路由器中转吗,路由器完全有能力丢弃非法的 ARP 包吧
drymonfidelia 34 天前 3268 次点击这是一个创建于 34 天前的主题,其中的信息可能已经有所发展或是发生改变。
现在 NAS 基本都是通过不强制加密的 SAMBA 协议传输内容,还有各种明文传输数据的 IoT 设备,不解决 ARP 攻击的问题的话内网只要有一台设备有漏洞被攻击就可以监听篡改内网流量了
 | 1 ihuihui 34 天前 路由器前边加个小防火墙?现在家里的一般都还好吧,相比攻击,中毒啥的可能性是不是还更大点。 |
 | 2 spr1ngs 34 天前 家用路由器完全可以解决 arp 攻击 |
 | 3 likooo125802023 34 天前 随便哪个路由都有防火墙功能啊 更别说软路由了 默认都是开的 |
 | 4 chenplum 34 天前 家用路由器的安全功能各厂商也不统一,常用的手段一般有: IP-MAC 绑定:重要设备固定地址,防止 ARP 欺骗和伪造主机。 ARP 防护:部分路由器支持 ARP 包限速或静态 ARP 表,避免局域网欺骗。 Wifi SSID 网络隔离:为访客或 IoT 设备单独 Wi-Fi ,隔离主网资源。 VLAN 隔离:设不同的 VLAN ,隔离广播域。 简单一点的话,局域网电脑装火绒,开启网络防护,可以识别一些泛洪攻击,也可以使用 wireshark 抓包工具分析局域网流量 |
 | 5 drymonfidelia OP |
| 6 drymonfidelia OP @chenplum 好像大部分路由器 IP 绑定 MAC 都只限于 DHCP 分配 IP 用途,不能用来过滤 ARP 包 |
 | 7 gtese 34 天前 家里这么乱吗? |
 | 8 ashong 34 天前 via iPhone iOT vlan 隔离 |
| 9 chenplum 34 天前 @drymonfidelia 是的,家用级路由器支持有限 |
 | 10 wangsd 34 天前 家里用的电信装宽带配的 AC ,有 ARP 防护功能,1. 启用 ARP 防欺骗功能; 2.禁止非 IP-MAC 绑定的数据包通过路由器; 3.发现 ARP 攻击时发送 GARP 包; |
 | 11 Ipsum 34 天前 via Android 有交换机可不一定要过路由器。一般企业级的交换机都有 arp 绑定。 |
 | 12 Untu 34 天前 横向流量不经过路由器,ARP 防御是需要末端接入侧来控制 |
 | 13 luoyide2010 34 天前  1 ARP 攻击比较少了,特别是家用环境,意义也不大,大多数流量都是加密的,不像以前 你知识点也有错误,ARP 跑在二层的,路由器跑在三层的,ARP 流量在交换机上就完成转发了,路由器接触不到 想解决主流方法,在终端绑定 mac 地址,用带安全功能的交换机 SMB 认证过程是加密的,只能被动获取数据,你一个低价值用户没人会花这么多时间搞你的 |
 | 14 busier 34 天前 via iPhone 只用无线网络 并使用无线网络隔离 |
 | 15 Cruzz 34 天前 还真没研究过,现在还有 arp 攻击么,一般的二层交换机都带这玩意。 |
| 16 drymonfidelia OP @luoyide2010 我的描述确实不是很清楚。我想说的是家用路由器的交换机功能,因为很少人家里会有专门的交换机,基本都是路由器当交换机用。SMB 认证过程加密好像防不了中间人攻击,因为没有 CA 机构来证明主机身份,甚至不像 RDP 那样会弹窗验证主机证书 |
| 17 likooo125802023 34 天前 @drymonfidelia 网口不够接个交换机不就行了? |
 | 18 moefishtang 34 天前 可以吧...至少我用的路由器是有单独的开关的... 光猫的配置页面里有,不过只在路由模式生效 |
 | 19 julyclyde 34 天前 首先 arp 是基于二层广播的,并不经过路由器就可以欺骗到同网的其他机器 其次,就算路由器认识又咋样?包已经发出去了难道还能撤回?路由器最多是保卫自己不被欺骗而已 |
 | 20 Gilfoyle26 34 天前 现在还有 arp 攻击吗? |
 | 21 NewYear 34 天前 1 、NAS 支持不强制加密,但是客户端可以设置强制要求加密,或者通过服务器限制不加密的传输。 2 、IoT 明文无解 3 、最简单也是最重要的原因:家用网络监听、篡改流量的价值不大,所以这类攻击很罕见。 家庭 NAS 啥的,本身也是很稀少的家庭才会有。 4 、如果你真的担心,解决问题的方法也很简单,买一个 5 口的网管交换机,几十块钱,直接做端口隔离。无线的话设置隔离就可以,早期的路由器就有这个功能现代应该也有。问题就解决了。 arp 攻击还能通过绑定 mac 解决,实际上没有意义,因为手机不支持,平板不支持,普遍不支持。。mac 绑定要双向绑定才有意义,只是在路由器上绑定毫无意义。。。这也是为什么这个方案一直没有流行起来。 又或者你换个软路由,想怎么绑定就怎么绑定,想要什么功能就安装什么功能。 所以我的建议是:不要过分担忧,如果你真的担心,现成方案一堆一堆的,便宜还实在。。。几十块钱就能解决的事情,完全没必要担心。。。。如果是讨论别人家的事情,就没必要了,佳佳有本难念的经,你不是佳佳,别担心那些。 |
| 22 NewYear 34 天前 省流版:如果是针对你家的情况,几十块钱买个软路由,几十块钱买个网管交换机,都能轻松解决问题。。 双向 MAC 绑定、每个 IP 一个子网、端口隔离、WIFI 隔离。。。通通都能解决问题。 我的意见是:不要为几十块钱的事情担心难过,完全没必要。咱们直接买一个,配置好就能解决问题。 如果是担心别人家,就真没必要了,这种攻击从 20 年前开始就存在,但到现在为止都不流行,原因很简单,没价值。。。也因为流行不起来,所以家用设备普遍不支持。。。等真的出现大事了,自然会形成新的标准,要求设备支持等等。。。。像现在 http 协议普遍支持 https 了,监听难度很大(不搞自签名无法监听,搞自签名很容易被用户发现不对劲) |
 | 23 shcsc 34 天前 就拿几台设备,你担心 ARP 攻击 |
 | 24 pulutom40 34 天前 你担心这个,还不如担心家里 loT 设备少几个后门,还不如担心路由器、NAS 系统少几个 0Day |
 | 25 ryd994 34 天前 via Android 1 iot 设备只能用访客 WiFi ,禁止访问内网。我不管它们几个养蛊。 |
Select Language