防治ARP攻击,哪种方式让您轻松无忧?由于最近ARP欺骗/攻击反反复复,而市场上De各种防制方式让广大读者应接不暇,如何才能有效防制ARP,是今天我们所有技术人员都要应对De问题.最近一些方案,从短期看来似乎有效,实际上对于真正DeARP攻击发挥不了作用,也降低局域网工作效率.QnoDe技术服务人员接到很多用户反应说有些ARP防制方法很容易操作和实施,但经过实际深入了解后,发现长期效果都不大. 对于ARP攻击防制,Qno技术服务人员De建议,最好De方法是先踏踏实实把基本防制工作做好,才是根本解决De方法.由于市场上De解决方式众多,我们无法一一加以说明优劣,因此本文解释了ARP攻击防制De基本思想.我们认为读者如果能了解这个基本思想,就能自行判断何种防制方式有效,也能了解为何双向绑定是一个较全面又持久De解决方式. 一、不坚定DeARP协议 一般计算机中De原始DeARP协议,很像一个思想不坚定,容易被其它人影响De人,ARP欺骗/攻击就是利用这个特性,误导计算机作出错误De行为.ARP攻击De原理,互联网上很容易找到,这里不再覆述.原始DeARP协议运作,会附在局域网接收De广播包或是ARP询问包,无条件覆盖本机缓存中DeARP/MAC对照表.这个特性好比一个意志不坚定De人,听了每一个人和他说话都信以为真,并立刻以最新听到De信息作决定. 就像一个没有计划De快递员,想要送信给“张三”,只在马路上问“张三住那儿?”,并投递给最近和他说“我就是!”或“张三住那间!”,来决定如何投递一样.在一个人人诚实De地方,快递员De工作还是能切实地进行；但若是旁人看快递物品值钱,想要欺骗取得De话,快递员这种工作方式就会带来混乱了. 我们再回来看ARP攻击和这个意志不坚定快递员De关系.常见ARP攻击对象有两种,一是网络网关,也就是路由器,二是局域网上De计算机,也就是一般用户.攻击网络网关就好比发送错误De地址信息给快递员,让快递员整个工作大乱,所有信件无法正常送达；而攻击一般计算机就是直接和一般人谎称自己就是快递员,让一般用户把需要传送物品传送给发动攻击De计算机. 由于一般De计算机及路由器DeARP协议De意志都不坚定,因此只要有恶意计算机在局域网持续发出错误DeARP讯息,就会让计算机及路由器信以为真,作出错误De传送网络包动作.一般DeARP就是以这样De方式,造成网络运作不正常,达到盗取用户密码或破坏网络运作De目De.针对ARP攻击De防制,常见De方法,可以分为以下三种作法： 1、利用ARP echo传送正确DeARP讯息：通过频繁地提醒正确DeARP对照表,来达到防制De效果. 2、利用绑定方式,固定ARP对照表不受外来影响：通过固定正确DeARP对照表,来达到防制De效果. 3、舍弃ARP协议,采用其它寻址协议：不采用ARP作为传送De机制,而另行使用其它协议例如PPPoE方式传送. 以上三种方法中,前两种方法较为常见,第三种方法由于变动较大,适用于技术能力较佳De应用.下面针对前两种方法加以说明. PK 赛之“ARP echo” ARP echo是最早开发出来DeARP攻击解决方案,但随着ARP攻击De发展,渐渐失去它De效果.现在,这个方法不但面对攻击没有防制效果,还会降低局域网运作De效能,但是很多用户仍然以这个方法来进行防制.以前面介绍De思想不坚定De快递员De例子来说,ARP echoDe作法,等于是时时用电话提醒快递员正确De发送对象及地址,减低他被邻近De各种信息干扰De情况. 但是这种作法,明显有几个问题：第一,即使时时提醒,但由于快递员意志不坚定,仍会有部份De信件因为要发出时刚好收到错误De信息,以错误De方式送出去；这种情况如果是错误De信息频率特高,例如有一个人时时在快递员身边连续提供信息,即使打电话提醒也立刻被覆盖,效果就不好；第二,由于必须时时提醒,而且为了保证提醒De效果好,还要加大提醒De间隔时间,以防止被覆盖,就好比快递员一直忙于接听总部打来De电话,根本就没有时间可以发送信件,耽误了正事；第三,还要专门指派一位人时时打电话给快递员提醒,等于要多派一个人手负责,而且持续地提醒,这个人De工作也很繁重. 以ARP echo方式对应ARP攻击,也会发生相似De情况.第一,面对高频率De新式ARP攻击,ARP echo发挥不了效果,掉线断网De情况仍旧会发生.ARP echoDe方式防制De对早期以盗宝为目DeDe攻击软件有效果,但碰到最近以攻击为手段De攻击软件则公认是没有效果De.第二,ARP echo手段必须在局域网上持续发出广播网络包,占用局域网带宽,使得局域网工作De能力降低,整个局域网De计算机及交换机时时都在处理ARP echo广播包,还没受到攻击局域网就开始卡了.第三,必须在局域网有一台负责负责发ARP echo广播包De设备,不管是路由器、服务器或是计算机,由于发包是以一秒数以百计De方式来发送,对该设备都是很大De负担. 图一：ARP攻击防制 方法之“ARP echo”图示说明 常见DeARP echo处理手法有两种,一种是由路由器持续发送,另一则是在计算机或服务器安装软件发送.路由器持续发送De缺点是路由器原本De工作就很忙,因此无法发送高频率De广播包,被覆盖掉De机会很大,因此面对新型DeARP攻击防制效果小.因此,有些解决方法,就是拿ARP攻击De软件来用,只是持续发出正确De网关、服务器对照表,安装在服务器或是计算机上,由于服务器或是计算机运算能力较强,可以同一时间内发出更多广播包,效果较大,但是这种作法一则大幅影响局域网工作,因为整个局域网都被广播包占据,另则攻击软件通常会设定更高频率De广播包,误导局域网计算机,效果仍然有限. 此外,ARP echo一般是发送网关及私服De对照信息,对于防止局域网计算机被骗有效果,对于路由器没有效果,仍需作绑定De动作才可. PK赛之“ARP绑定” ARP echoDe作法是不断提醒计算机正确DeARP对照表,ARP绑定则是针对ARP协议“思想不坚定“De基本问题来加以解决.ARP绑定De作法,等于是从基本上给这个快递员培训,让他把正确De人名及地址记下来,再也不受其它人De信息干扰.由于快递员脑中记住了这个对照表,因此完全不会受到有心人士De干扰,能有效地完成工作.在这种情况下,无论如何都可以防止因受到攻击而掉线De情况发生. 但是ARP绑定并不是万灵药,还需要作De好才有完全De效果.第一,即使这个快递员思想正确,不受影响,但是攻击者De网络包还是会小幅影响局域网部份运作,网管必须通过网络监控或扫瞄De方法,找出攻击者加以去除；第二,必须作双向绑定才有完全De效果,只作路由器端绑定效果有限,一般计算机仍会被欺骗,而发生掉包或掉线De情况. 双向绑定De解决方法,最为网管不喜欢De就是必须一台一台加以绑定,增加工作量.但是从以上De说明可知道,只有双向绑定才能有效果地解决ARP攻击De问题,而不会发生防制效果不佳、局域网效率受影响、影响路由器效能或影响服务器效能De缺点.也就是说双向绑定是个硬工夫,可以较全面性地解决现在及未来ARP攻击De问题,网管为了一时De省事,而采取片面DeARP echo解决方式,未来还是要回来解决这个问题.

上一篇： 妙用Windows磁盘配额令黑客无从下手  
下一篇： Windows 2003单网卡实现VPN NAT完整攻略