巧論ARP攻擊防制方法

richardtc

ARP欺騙/攻擊反復(fù)襲擊，是近來網(wǎng)絡(luò)行業(yè)普遍了解的現(xiàn)象，隨著ARP攻擊的不斷升級，不同的解決方案在市場上流傳。但是筆者最近發(fā)現(xiàn)，有一些方案，從短期看來似乎有效，實際上對于真正的ARP攻擊發(fā)揮不了作用，也降低局域網(wǎng)工作效率。Qno俠諾的技術(shù)服務(wù)人員接到很多用戶反應(yīng)說有些ARP防制方法很容易操作和實施，但經(jīng)過實際深入了解后，發(fā)現(xiàn)長期效果都不大。 \r\n    對于ARP攻擊防制，Qno俠諾技術(shù)服務(wù)人員的建議，最好的方法是先踏踏實實把基本防制工作做好，才是根本解決的方法。由于市場上的解決方式眾多，我們無法一一加以說明優(yōu)劣，因此本文解釋了ARP攻擊防制的基本思想。我們認(rèn)為讀者如果能了解這個基本思想，就能自行判斷何種防制方式有效，也能了解為何雙向綁定是一個較全面又持久的解決方式。\r\n\r\n\r\n一、不堅定的ARP協(xié)議\r\n\r\n    一般計算機(jī)中的原始的ARP協(xié)議，很像一個思想不堅定，容易被其它人影響的人，ARP欺騙/攻擊就是利用這個特性，誤導(dǎo)計算機(jī)作出錯誤的行為。ARP攻擊的原理，互聯(lián)網(wǎng)上很容易找到，這里不再覆述。原始的ARP協(xié)議運作，會附在局域網(wǎng)接收的廣播包或是ARP詢問包，無條件覆蓋本機(jī)緩存中的ARP/MAC對照表。這個特性好比一個意志不堅定的人，聽了每一個人和他說話都信以為真，并立刻以最新聽到的信息作決定。\r\n\r\n\r\n    就像一個沒有計劃的快遞員，想要送信給“張三”，只在馬路上問“張三住那兒？”，并投遞給最近和他說“我就是！”或“張三住那間！”，來決定如何投遞一樣。在一個人人誠實的地方，快遞員的工作還是能切實地進(jìn)行；但若是旁人看快遞物品值錢，想要欺騙取得的話，快遞員這種工作方式就會帶來混亂了。\r\n\r\n\r\n    我們再回來看ARP攻擊和這個意志不堅定快遞員的關(guān)系。常見ARP攻擊對象有兩種，一是網(wǎng)絡(luò)網(wǎng)關(guān)，也就是路由器，二是局域網(wǎng)上的計算機(jī)，也就是一般用戶。攻擊網(wǎng)絡(luò)網(wǎng)關(guān)就好比發(fā)送錯誤的地址信息給快遞員，讓快遞員整個工作大亂，所有信件無法正常送達(dá)；而攻擊一般計算機(jī)就是直接和一般人謊稱自己就是快遞員，讓一般用戶把需要傳送物品傳送給發(fā)動攻擊的計算機(jī)。\r\n\r\n\r\n    由于一般的計算機(jī)及路由器的ARP協(xié)議的意志都不堅定，因此只要有惡意計算機(jī)在局域網(wǎng)持續(xù)發(fā)出錯誤的ARP訊息，就會讓計算機(jī)及路由器信以為真，作出錯誤的傳送網(wǎng)絡(luò)包動作。一般的ARP就是以這樣的方式，造成網(wǎng)絡(luò)運作不正常，達(dá)到盜取用戶密碼或破壞網(wǎng)絡(luò)運作的目的。針對ARP攻擊的防制，常見的方法，可以分為以下三種作法：\r\n    1、利用ARP echo傳送正確的ARP訊息：通過頻繁地提醒正確的ARP對照表，來達(dá)到防制的效果。\r\n    2、利用綁定方式，固定ARP對照表不受外來影響：通過固定正確的ARP對照表，來達(dá)到防制的效果。\r\n    3、舍棄ARP協(xié)議，采用其它尋址協(xié)議：不采用ARP作為傳送的機(jī)制，而另行使用其它協(xié)議例如PPPoE方式傳送。\r\n    以上三種方法中，前兩種方法較為常見，第三種方法由于變動較大，適用于技術(shù)能力較佳的應(yīng)用。下面針對前兩種方法加以說明。\r\n\r\n    PK 賽之“ARP echo” \r\n \r\n\r\n   ARP echo是最早開發(fā)出來的ARP攻擊解決方案，但隨著ARP攻擊的發(fā)展，漸漸失去它的效果。現(xiàn)在，這個方法不但面對攻擊沒有防制效果，還會降低局域網(wǎng)運作的效能，但是很多用戶仍然以這個方法來進(jìn)行防制。以前面介紹的思想不堅定的快遞員的例子來說，ARP echo的作法，等于是時時用電話提醒快遞員正確的發(fā)送對象及地址，減低他被鄰近的各種信息干擾的情況。\r\n\r\n\r\n    但是這種作法，明顯有幾個問題：第一，即使時時提醒，但由于快遞員意志不堅定，仍會有部份的信件因為要發(fā)出時剛好收到錯誤的信息，以錯誤的方式送出去；這種情況如果是錯誤的信息頻率特高，例如有一個人時時在快遞員身邊連續(xù)提供信息，即使打電話提醒也立刻被覆蓋，效果就不好；第二，由于必須時時提醒，而且為了保證提醒的效果好，還要加大提醒的間隔時間，以防止被覆蓋，就好比快遞員一直忙于接聽總部打來的電話，根本就沒有時間可以發(fā)送信件，耽誤了正事；第三，還要專門指派一位人時時打電話給快遞員提醒，等于要多派一個人手負(fù)責(zé)，而且持續(xù)地提醒，這個人的工作也很繁重。\r\n\r\n\r\n    以ARP echo方式對應(yīng)ARP攻擊，也會發(fā)生相似的情況。第一，面對高頻率的新式ARP攻擊，ARP echo發(fā)揮不了效果，掉線斷網(wǎng)的情況仍舊會發(fā)生。ARP echo的方式防制的對早期以盜寶為目的的攻擊軟件有效果，但碰到最近以攻擊為手段的攻擊軟件則公認(rèn)是沒有效果的。第二，ARP echo手段必須在局域網(wǎng)上持續(xù)發(fā)出廣播網(wǎng)絡(luò)包，占用局域網(wǎng)帶寬，使得局域網(wǎng)工作的能力降低，整個局域網(wǎng)的計算機(jī)及交換機(jī)時時都在處理ARP echo廣播包，還沒受到攻擊局域網(wǎng)就開始卡了。第三，必須在局域網(wǎng)有一臺負(fù)責(zé)負(fù)責(zé)發(fā)ARP echo廣播包的設(shè)備，不管是路由器、服務(wù)器或是計算機(jī)，由于發(fā)包是以一秒數(shù)以百計的方式來發(fā)送，對該設(shè)備都是很大的負(fù)擔(dān)。

richardtc

常見的ARP echo處理手法有兩種，一種是由路由器持續(xù)發(fā)送，另一則是在計算機(jī)或服務(wù)器安裝軟件發(fā)送。路由器持續(xù)發(fā)送的缺點是路由器原本的工作就很忙，因此無法發(fā)送高頻率的廣播包，被覆蓋掉的機(jī)會很大，因此面對新型的ARP攻擊防制效果小。因此，有些解決方法，就是拿ARP攻擊的軟件來用，只是持續(xù)發(fā)出正確的網(wǎng)關(guān)、服務(wù)器對照表，安裝在服務(wù)器或是計算機(jī)上，由于服務(wù)器或是計算機(jī)運算能力較強(qiáng)，可以同一時間內(nèi)發(fā)出更多廣播包，效果較大，但是這種作法一則大幅影響局域網(wǎng)工作，因為整個局域網(wǎng)都被廣播包占據(jù)，另則攻擊軟件通常會設(shè)定更高頻率的廣播包，誤導(dǎo)局域網(wǎng)計算機(jī)，效果仍然有限。\r\n    此外，ARP echo一般是發(fā)送網(wǎng)關(guān)及私服的對照信息，對于防止局域網(wǎng)計算機(jī)被騙有效果，對于路由器沒有效果，仍需作綁定的動作才可。\r\n\r\n    PK賽之“ARP綁定”\r\n    ARP echo的作法是不斷提醒計算機(jī)正確的ARP對照表，ARP綁定則是針對ARP協(xié)議“思想不堅定“的基本問題來加以解決。Qno俠諾技術(shù)服務(wù)人員認(rèn)為，ARP綁定的作法，等于是從基本上給這個快遞員培訓(xùn)，讓他把正確的人名及地址記下來，再也不受其它人的信息干擾。由于快遞員腦中記住了這個對照表，因此完全不會受到有心人士的干擾，能有效地完成工作。在這種情況下，無論如何都可以防止因受到攻擊而掉線的情況發(fā)生。\r\n \r\n\r\n   但是ARP綁定并不是萬靈藥，還需要作的好才有完全的效果。第一，即使這個快遞員思想正確，不受影響，但是攻擊者的網(wǎng)絡(luò)包還是會小幅影響局域網(wǎng)部份運作，網(wǎng)管必須通過網(wǎng)絡(luò)監(jiān)控或掃瞄的方法，找出攻擊者加以去除；第二，必須作雙向綁定才有完全的效果，只作路由器端綁定效果有限，一般計算機(jī)仍會被欺騙，而發(fā)生掉包或掉線的情況。\r\n\r\n\r\n    雙向綁定的解決方法，最為網(wǎng)管不喜歡的就是必須一臺一臺加以綁定，增加工作量。但是從以上的說明可知道，只有雙向綁定才能有效果地解決ARP攻擊的問題，而不會發(fā)生防制效果不佳、局域網(wǎng)效率受影響、影響路由器效能或影響服務(wù)器效能的缺點。也就是說雙向綁定是個硬工夫，可以較全面性地解決現(xiàn)在及未來ARP攻擊的問題，網(wǎng)管為了一時的省事，而采取片面的ARP echo解決方式，未來還是要回來解決這個問題。 \r\n\r\n    另外，對于有自動通過局域網(wǎng)安裝軟件的網(wǎng)絡(luò)，例如網(wǎng)吧的收費系統(tǒng)、無盤系統(tǒng)，都可以透過自動的批次檔，自動在開機(jī)時完成綁定的工作，網(wǎng)管只要撰寫一個統(tǒng)一的批次文件程序即可，不必一一配置。這些信息可以很容易地在互聯(lián)網(wǎng)上通過搜索找到或者是向Qno俠諾的技術(shù)服務(wù)人員索取即可。\r\n\r\n\r\n二、現(xiàn)階段較佳解決方案——雙向綁定\r\n\r\n    以上以思想不堅定的快遞員情況，說明了常見的ARP攻擊防制方法。ARP攻擊利用的就是ARP協(xié)議的意志不堅，只有以培訓(xùn)的方式讓ARP協(xié)議的意志堅定，明白正確的工作方法，才能從根本解決問題。只是依賴頻繁的提醒快遞員正確的作事方法，但是沒有能從快遞員意志不堅的特點著手，就好像只管不教，最終大家都很累，但是效果仍有限。\r\n \r\n\r\n   Qno俠諾的技術(shù)服務(wù)人員建議，面對這種新興攻擊，取巧用省事的方式準(zhǔn)備，最后的結(jié)果可能是費事又不管用，必須重新來過。ARP雙向綁定雖然對網(wǎng)管帶來一定的工作量，但是其效果確是從根本上有效，而且網(wǎng)管也可參考自動批次檔的作法，加快配置自動化的進(jìn)行，更有效地對抗ARP攻擊。

sunf321

好東東，收藏了，謝謝

charlesc

有沒有好的產(chǎn)品可以解決這樣的問題？

shengbaojun

感謝樓主分享,學(xué)習(xí)了！