现在家用路由器是不是基本都无法解决 ARP 攻击问题?不是所有的流量都需要通过路由器中转吗,路由器完全有能力丢弃非法的 ARP 包吧
drymonfidelia 3 小时 42 分钟前 1385 次点击现在 NAS 基本都是通过不强制加密的 SAMBA 协议传输内容,还有各种明文传输数据的 IoT 设备,不解决 ARP 攻击的问题的话内网只要有一台设备有漏洞被攻击就可以监听篡改内网流量了
 | 1 ihuihui 3 小时 34 分钟前 路由器前边加个小防火墙?现在家里的一般都还好吧,相比攻击,中毒啥的可能性是不是还更大点。 |
 | 2 spr1ngs 3 小时 20 分钟前 家用路由器完全可以解决 arp 攻击 |
 | 3 likooo125802023 3 小时 20 分钟前 随便哪个路由都有防火墙功能啊 更别说软路由了 默认都是开的 |
 | 4 chenplum 3 小时 19 分钟前 家用路由器的安全功能各厂商也不统一,常用的手段一般有: IP-MAC 绑定:重要设备固定地址,防止 ARP 欺骗和伪造主机。 ARP 防护:部分路由器支持 ARP 包限速或静态 ARP 表,避免局域网欺骗。 Wifi SSID 网络隔离:为访客或 IoT 设备单独 Wi-Fi ,隔离主网资源。 VLAN 隔离:设不同的 VLAN ,隔离广播域。 简单一点的话,局域网电脑装火绒,开启网络防护,可以识别一些泛洪攻击,也可以使用 wireshark 抓包工具分析局域网流量 |
 | 5 drymonfidelia OP |
| 6 drymonfidelia OP @chenplum 好像大部分路由器 IP 绑定 MAC 都只限于 DHCP 分配 IP 用途,不能用来过滤 ARP 包 |
 | 7 gtese 2 小时 56 分钟前 家里这么乱吗? |
 | 8 ashong 2 小时 42 分钟前 via iPhone iOT vlan 隔离 |
| 9 chenplum 2 小时 42 分钟前 @drymonfidelia 是的,家用级路由器支持有限 |
 | 10 wangsd 2 小时 34 分钟前 家里用的电信装宽带配的 AC ,有 ARP 防护功能,1. 启用 ARP 防欺骗功能; 2.禁止非 IP-MAC 绑定的数据包通过路由器; 3.发现 ARP 攻击时发送 GARP 包; |
 | 11 Ipsum 2 小时 17 分钟前 via Android 有交换机可不一定要过路由器。一般企业级的交换机都有 arp 绑定。 |
 | 12 Untu 2 小时 10 分钟前 横向流量不经过路由器,ARP 防御是需要末端接入侧来控制 |
 | 13 luoyide2010 2 小时 9 分钟前 ARP 攻击比较少了,特别是家用环境,意义也不大,大多数流量都是加密的,不像以前 你知识点也有错误,ARP 跑在二层的,路由器跑在三层的,ARP 流量在交换机上就完成转发了,路由器接触不到 想解决主流方法,在终端绑定 mac 地址,用带安全功能的交换机 SMB 认证过程是加密的,只能被动获取数据,你一个低价值用户没人会花这么多时间搞你的 |
 | 14 busier 2 小时 5 分钟前 via iPhone 只用无线网络 并使用无线网络隔离 |
 | 15 Cruzz 2 小时 2 分钟前 还真没研究过,现在还有 arp 攻击么,一般的二层交换机都带这玩意。 |
| 16 drymonfidelia OP @luoyide2010 我的描述确实不是很清楚。我想说的是家用路由器的交换机功能,因为很少人家里会有专门的交换机,基本都是路由器当交换机用。SMB 认证过程加密好像防不了中间人攻击,因为没有 CA 机构来证明主机身份,甚至不像 RDP 那样会弹窗验证主机证书 |
| 17 likooo125802023 1 小时 37 分钟前 @drymonfidelia 网口不够接个交换机不就行了? |
 | 18 moefishtang 1 小时 10 分钟前 可以吧...至少我用的路由器是有单独的开关的... 光猫的配置页面里有,不过只在路由模式生效 |
 | 19 julyclyde 25 分钟前 首先 arp 是基于二层广播的,并不经过路由器就可以欺骗到同网的其他机器 其次,就算路由器认识又咋样?包已经发出去了难道还能撤回?路由器最多是保卫自己不被欺骗而已 |
Select Language