ARP攻击不断的升级如何100%防御 - Windows - - 技术白皮书 - 51CTO技术论坛

社区导航: 专家门诊网络技术操作系统数据库程序设计系统应用考试认证 CIO及信息化站长交流综合交流下载基地 51CTO产品服务

【设为首页 | 收藏本站】

51CTO技术论坛» 技术白皮书 » Windows » ARP攻击不断的升级如何100%防御 [ 打印] [ 订阅] [ 收藏] [ 推荐给朋友] [ 本帖文本页]

论坛跳转:

本主题由 kirin 于 2008-6-28 21:34 移动

jc_liubo

新新人类

帖子 20
精华 0
无忧币 12
积分 24
阅读权限 20
来自 (保密)

注册日期 2008-5-16

最后登录 2008-8-28

离线

[查看资料] [发短消息] [Blog]

发表于:2008-6-27 14:43　　标题：ARP攻击不断的升级如何100%防御
＜上一帖 | 下一帖＞

阅读提示：/攻击已成为一条黑色产业链，是近来主机托管用户、IDC商、运营商最为头痛的安全问题双向绑定乃全面持久解决方案，上海首次运营商与IDC商合作防ARP主机托管专区即将开放。

ARP欺骗/攻击反复袭击，是近来IDC网络服务商和主机托管客户最为头痛的问题，随着ARP攻击的不断升级，不同的解决方案在市场上流传。有一些方案，从短期看来似乎有效，实际上对于真正的ARP攻击发挥不了作用，也降低局域网工作效率。中国网域网的技术服务人员接到很多用户反应说有些ARP防治方法很容易操作和实施，但经过实际深入了解后，发现长期效果都不大。对于ARP攻击防治，中国网域网技术服务人员的建议，最好的方法是先踏踏实实把基本防治工作做好，才是根本解决的方法。由于市场上的解决方式众多，我们无法一一加以说明优劣，因此本文解释了ARP攻击防治的基本思想。我们认为读者如果能了解这个基本思想，就能自行判断何种防治方式有效，也能了解为何双向绑定是一个较全面又持久的解决方式。

ARP协议原理

一般计算机中的原始的ARP协议，很像一个容易被人影响的人，ARP欺骗/攻击就是利用这个特性，误导计算机作出错误的行为。原始的ARP协议运作，会附在局域网接收的广播包或是ARP询问包，无条件覆盖本机缓存中的ARP/MAC对照表。这个特性好比一个意志不坚定的人，听了每一个人和他说话都信以为真，并立刻以最新听到的信息作决定。常见ARP攻击对象有两种，一是网络网关，也就是路由器，二是局域网上的计算机，也就是一般用户。攻击网络网关就好比发送错误的地址信息给快递员，让快递员整个工作大乱，所有信件无法正常送达；而攻击一般计算机就是直接和一般人谎称自己就是快递员，让一般用户把需要传送物品传送给发动攻击的计算机。由于一般的计算机及路由器的ARP协议的意志都不坚定，因此只要有恶意计算机在局域网持续发出错误的ARP讯息，就会让计算机及路由器信以为真，作出错误的传送网络包动作。一般的ARP就是以这样的方式，造成网络运作不正常，达到盗取用户密码或破坏网络运作的目的。针对ARP攻击的防治，常见的方法，可以分为以下三种作法： 1、利用ARP echo传送正确的ARP讯息：通过频繁地提醒正确的ARP对照表，来达到防治的效果； 2、利用绑定方式，固定ARP对照表不受外来影响：通过固定正确的ARP对照表，来达到防治的效果； 3、舍弃ARP协议，采用其它寻址协议：不采用ARP作为传送的机制，而另行使用其它协议例如PPPoE方式传送。以上三种方法中，前两种方法较为常见，第三种方法由于变动较大，适用于技术能力较佳的应用。下面针对前两种方法加以说明。

一、ARP echo

ARP echo是最早开发出来的ARP攻击解决方案，但随着ARP攻击的发展，渐渐失去它的效果。现在，这个方法不但面对攻击没有防治效果，还会降低局域网运作的效能，但是很多用户仍然以这个方法来进行防治。以前面介绍的思想不坚定的快递员的例子来说，ARP echo的作法，等于是时时用电话提醒快递员正确的发送对象及地址，减低他被邻近的各种信息干扰的情况。。

以ARP echo方式对应ARP攻击，也会发生相似的情况。第一，面对高频率的新式ARP攻击，ARP echo发挥不了效果，掉线断网的情况仍旧会发生。ARP echo的方式防治的对早期以盗宝为目的的攻击软件有效果，但碰到最近以攻击为手段的攻击软件则公认是没有效果的。第二，ARP echo手段必须在局域网上持续发出广播网络包，占用局域网带宽，使得局域网工作的能力降低，整个局域网的计算机及交换机时时都在处理ARP echo广播包，还没受到攻击局域网就开始卡了。第三，必须在局域网有一台负责负责发ARP echo广播包的设备，不管是路由器、服务器或是计算机，由于发包是以一秒数以百计的方式来发送，对该设备都是很大的负担。

常见的ARP echo处理手法有两种，一种是由路由器持续发送，另一则是在计算机或服务器安装软件发送。路由器持续发送的缺点是路由器原本的工作就很忙，因此无法发送高频率的广播包，被覆盖掉的机会很大，因此面对新型的ARP攻击防治效果小。因此，有些解决方法，就是拿ARP攻击的软件来用，只是持续发出正确的网关、服务器对照表，安装在服务器或是计算机上，由于服务器或是计算机运算能力较强，可以同一时间内发出更多广播包，效果较大，但是这种作法一则大幅影响局域网工作，因为整个局域网都被广播包占据，另则攻击软件通常会设定更高频率的广播包，误导局域网计算机，效果仍然有限。

此外，ARP echo一般是发送网关及私服的对照信息，对于防止局域网计算机被骗有效果，对于路由器没有效果，仍需作绑定的动作才可。

二、ARP绑定

ARP echo的作法是不断提醒计算机正确的ARP对照表，ARP绑定则是针对ARP协议"思想不坚定"的基本问题来加以解决。中国网域技术服务人员认为，ARP绑定的作法，等于是从基本上给这个快递员培训，让他把正确的人名及地址记下来，再也不受其它人的信息干扰。由于快递员脑中记住了这个对照表，因此完全不会受到有心人士的干扰，能有效地完成工作。在这种情况下，无论如何都可以防止因受到攻击而掉线的情况发生。

但是ARP绑定并不是万灵药，还需要作的好才有完全的效果。第一，即使这个快递员思想正确，不受影响，但是攻击者的网络包还是会小幅影响局域网部份运作，网管必须通过网络监控或扫瞄的方法，找出攻击者加以去除；第二，必须作双向绑定才有完全的效果，只作路由器端绑定效果有限，一般计算机仍会被欺骗，而发生掉包或掉线的情况。只有双向绑定才能有效果地解决ARP攻击的问题，而不会发生防治效果不佳、局域网效率受影响、影响路由器和网络服务器效能。

目前较佳解决方案就是MAC双向绑定，虽然对IDC商与运营商带来一定的工作量，但是其效果确是从根本上有效的。目前中国网域网已在上海电信机房开设了首个防ARP欺骗/攻击的主机托管专区，下周开始给新老客户提供免费测试服务，真正做到100%防ARP欺骗/攻击，斩断ARP欺骗/攻击这一新兴黑色产业链，为用户营造稳定、安全的托管环境。