双绑是最彻底的arp攻击解决办法吗？

我想知道双绑是arp攻击最有效的方法吗？

双绑顾名思义 就是两头都要绑，只得是网关和终端都要做绑定，但是本人不建议用你用双绑，解决arp攻击问题。因为arp是个双头怪，而且现在随着二代arp和变种的攻击，单靠双绑已经不能解决arp问题了。

arp是个“双头怪”要想彻底解决必须要“首尾兼顾”有两种方式可以实现
第一 采用“看守式绑定”的方法，实时监控电脑ARP缓存，确保缓存内网关MAC和IP的正确对应。在arp缓存表里会有一个静态的绑定，如果受到arp的攻击，或只要有公网的请求时，这个静态的绑定又会自动的跳出，所以并不影响网络的正确的访问。这种方式是安全与网卡功能融合的一种表现，也叫作“终端抑制”
第二就是在网络接入架构上要有“安全和网络功能的融合”就是在接入网关做NAT的时候不是按照传统路由那样根据“MAC/IP”映射表来转发数据，而是根据他们在NAT表中的MAC来确定（这样就会是只要数据可以转发出去就一定可以回来）就算ARP大规模的爆发，arp表也混乱了但是并不会给我们的网络造成任何影响。（不看IP/MAC映射表）这种方法在现有控制ARP中也是最彻底的。也被称为是“免疫网络”的重要特征。

双绑不能彻底解决，现在的ａｒｐ变种有七种以上，一个批处理arp -d你这个又绑就失效了．

arp攻击原理：

一个是对终端pc的网关欺骗，假冒网关ip-mac，让错误的数据转向一错误的网关。装的桌面arp防火墙就可以进行阻止。提示有arp攻击。

二个是对假冒终端pc的ip对路由网关进行欺骗，从公司转回的数据传到错误的mac，使终端pc不能正常收到数据包。这时桌面arp防火墙就无能为力了。也就是装了桌面防火墙为什么不能解决的原因所在。（单机版arp防火墙的局限在些看到了吧）。

首先要解决arp，那就要选网关先天arp免疫（网关数据的转发通过nat表进行，谁请求的公网连接，转发给谁，而不采用cam表进行数据的转发，cam表溢出无所盾形）。

其次通过在每个终端控制arp病毒发出，防止扩散到交换的广播域中。这样才能保证每局域网内部没有非法流量占用正常的带宽资源，又保证了网络的稳定性，这才是最彻底的方法。（传统的arp双绑，变种arp通过arp-d就失去其作，端口绑定对于无线网络无法适应，vlan的划分在同一valn中任然无法避免arp的攻击，pppoe的使用在共享的网络中相互矛盾，而且占用了很多带宽资源）。

以上解决方法参考“巡路免疫网络解决方案”，详细技术可以去查阅。希望对你有用。

目前处理arp欺骗的问题大多是网关和终端双向绑定ip和mac地址，终端再安装arp防火墙，但这样并不能完全解决arp的问题。 其一：有些arp木马在你的arp防火墙运行之前就修改了你的mac地址，使arp防火墙绑定的ip/mac原本就错误。让你的arp防火墙成为帮凶。 其二：不能防止局域网内一些人恶意攻击其他机器，或用一些软件控制其他机器，比如p2p终结者，聚生网管等软件。使局域网内充斥着大量的arp数据包，导致网络延时，丢包等问题。 目前市场上解决arp问题比较彻底的是欣向的免疫墙路由器，它独有的免疫网路解决方案能够彻底解决arp攻击问题。欣向的免疫墙路由器具有先天免疫功能，通过对协议的改动将nat表和arp表融合，当有arp请求时将直接查询nat表，使针对网关arp表的欺骗完全失去作用。终端装有免疫网卡驱动，直接读取烧录在网卡上的mac地址，保证正确。过滤恶意的arp数据包以及其他常见的洪水攻击，使网络保持畅通。监控中心能监控到每台机器的上下载流量，arp发送量/拦截量，tcp/udp连接数，那台机器犯事了，能准确地把它揪出来。

双绑是最彻底的arp攻击解决办法吗？答案一定是不可能的！！！ ARP欺骗病毒是个双头怪，它一头咬向PC，另一头咬向路由器。要防普通ARP所需要做的IP-MAC的静态绑定，在PC端要绑，路由器端也要绑。而并非路由自己本身具有防ARP功能。2007年新的ARP攻击方式使静态绑定无效。要想解决ARP以及攻击问题，必须从源头解决。欣向路由独有“免疫墙”技术能深入网络的最终端和最底层从每一个终端阻断攻击源， 彻底解决ARP和攻击问题，让你网络具有超强的稳定性。

双绑措施 双绑是在路由器和终端上都进行IP-MAC绑定的措施，它可以对ARP欺骗的两边，伪造网关和截获数据，都具有约束的作用。这是从ARP欺骗原理上进行的防范措施，也是最普遍应用的办法。它对付最普通的ARP欺骗是有效的。 但双绑的缺陷在于3点： 1、 在终端上进行的静态绑定，很容易被升级的ARP攻击所捣毁，病毒的一个ARP –d命令，就可以使静态绑定完全失效。 2、 在路由器上做IP-MAC表的绑定工作，费时费力，是一项繁琐的维护工作。换个网卡或更换IP，都需要重新配置路由。对于流动性电脑，这个需要随时进行的绑定工作，是网络维护的巨大负担，网管员几乎无法完成。 3、 双绑只是让网络的两端电脑和路由不接收相关ARP信息，但是大量的ARP攻击数据还是能发出，还要在内网传输，大幅降低内网传输效率，依然会出现问题。 因此，虽然双绑曾经是ARP防范的基础措施，但因为防范能力有限，管理太麻烦，现在它的效果越来越有限了。