一般ARP攻擊的對治方法
現(xiàn)在最常用的基本對治方法是“ARP雙向綁定”,。
由于ARP攻擊往往不是病毒造成的,而是合法運行的程序(外掛,、網(wǎng)頁)造成的,,所殺毒軟件多數(shù)時候束手無策。
所謂“雙向綁定”,,就是再路由器上綁定ARP表的同時,,在每臺電腦上也綁定一些常用的ARP表項。
“ARP雙向綁定”能夠防御輕微的,、手段不高明的ARP攻擊,。ARP攻擊程序如果沒有試圖去更改綁定的ARP表項,,那么ARP攻擊就不會成功,;如果攻擊手段不劇烈,也欺騙不了路由器,,這樣我們就能夠防住50%ARP攻擊,。
但是現(xiàn)在ARP攻擊的程序往往都是合法運行的,所以能夠合法的更改電腦的ARP表項,。在現(xiàn)在ARP雙向綁定流行起來之后,,攻擊程序的作者也提高了攻擊手段,攻擊的方法更綜合,,另外攻擊非常頻密,,僅僅進行雙向綁定已經(jīng)不能夠應付兇狠的ARP攻擊了,仍然很容易出現(xiàn)掉線,。
于是我們在路由器中加入了“ARP攻擊主動防御”的功能,。這個功能是在路由器ARP綁定的基礎上實現(xiàn)的,原理是:當網(wǎng)內(nèi)受到錯誤的ARP廣播包攻擊時,,路由器立即廣播正確的ARP包去修正和消除攻擊包的影響,。這樣我們就解決了掉線的問題,但是在最兇悍的ARP攻擊發(fā)生時,,仍然發(fā)生了問題----當ARP攻擊很頻密的時候,,就需要路由器發(fā)送更頻密的正確包去消除影響。雖然不掉線了,,但是卻出現(xiàn)了上網(wǎng)“卡”的問題,。
所以,我們認為,依靠路由器實現(xiàn)“ARP攻擊主動防御”,,也只能夠解決80%的問題,。
為了徹底消除ARP攻擊,我們在此基礎上有增加了“ARP攻擊源攻擊跟蹤”的功能,。對于剩下的強悍的ARP攻擊,,我采用“日志”功能,提供信息方便用戶跟蹤攻擊源,,這樣用戶通過臨時切斷攻擊電腦或者封殺發(fā)出攻擊的程序,,能夠解決問題。
徹底解決ARP攻擊
事實上,,由于路由器是整個局域網(wǎng)的出口,,而ARP攻擊是以整個局域網(wǎng)為目標,當ARP攻擊包已經(jīng)達到路由器的時候,,影響已經(jīng)照成,。所以由路由器來承擔防御ARP攻擊的任務只是權(quán)宜之計,并不能很好的解決問題,。
我們要真正消除ARP攻擊的隱患,,安枕無憂,必須轉(zhuǎn)而對“局域網(wǎng)核心”――交換機下手,。由于任何ARP包,,都必須經(jīng)由交換機轉(zhuǎn)發(fā),才能達到被攻擊目標,,只要交換機據(jù)收非法的ARP包,,哪么ARP攻擊就不能造成任何影響。
我們提出一個真正嚴密的防止ARP攻擊的方案,,就是在每臺接入交換機上面實現(xiàn)ARP綁定,,并且過濾掉所有非法的ARP包。這樣可以讓ARP攻擊足不能出戶,,在局域網(wǎng)內(nèi)完全消除了ARP攻擊,。
因為需要每臺交換機都具有ARP綁定和相關(guān)的安全功能,這樣的方案無疑價格是昂貴的,,所以我們提供了一個折衷方案,。
經(jīng)濟方案
我們只是中心采用能夠大量綁定ARP和進行ARP攻擊防御的交換機――Netcore 7324NSW,這款交換機能夠做到ARP綁定條目可以達到1000條,,因此基本上可以對整網(wǎng)的ARP進行綁定,,同時能杜絕任何非法ARP包在主交換機進行傳播。
這樣如果在強力的ARP攻擊下,,我們觀察到的現(xiàn)象是:ARP攻擊只能影響到同一個分支交換機上的電腦,,這樣可能被攻擊到的范圍就大大縮小了,。當攻擊發(fā)生時,不可能造成整個網(wǎng)絡的問題,。
在此基礎上,,我們再補充“日志”功能和“ARP主動防御”功能,ARP攻擊也可以被完美的解決,。
ARP攻擊最新動態(tài)
最近一段時間,,各網(wǎng)吧發(fā)現(xiàn)的ARP攻擊已經(jīng)升級,又一波ARP攻擊的高潮來臨,。
這次ARP攻擊發(fā)現(xiàn)的特征有:
1,、 速度快、效率高,,大概在10-20秒的時間內(nèi),,能夠造成300臺規(guī)模的電腦掉線。
2,、 不易發(fā)現(xiàn),。在攻擊完成后,立即停止攻擊并更正ARP信息,。如果網(wǎng)內(nèi)沒有日志功能,,再去通過ARP命令觀察,已經(jīng)很難發(fā)現(xiàn)攻擊痕跡,。
3,、 能夠破解最新的XP和2000的ARP補丁,,微軟提供的補丁很明顯在這次攻擊很脆弱,,沒有作用。
4,、 介質(zhì)變化,,這次攻擊的來源來自私服程序本身(不是外掛)和P2P程序。
【相關(guān)文章】
