|
1.首先企業(yè)或一個局域有了ARP攻擊��,肯定是很麻煩的�,這對于管理員來說很頭痛。有防火強或軟件可以查出哪些機器有了ARP前兆����,這類防ARP攻擊的軟件本人覺得彩影的比較直觀。既然查出了那些機器就可以隔離那些有ARP攻擊性的機器�����。然后再對那些機器進行清楚ARP攻擊軟件����。這是解決的方法之一。
2.在方法之一中我提過隔離機器再進行解決��。但是隨之問題又來了����,從ARP攻擊來源再看,有可能是P2P軟件或網(wǎng)絡中的一些軟件�。怎么確認修復好的機器被同事朋友又下了同樣的帶有攻擊的軟件又來ARP攻擊局域網(wǎng)呢?很難保證�����,因為局域網(wǎng)的網(wǎng)絡是開放的。
3.在下面文章中說�����,雙向綁定�,雙向綁定是有一些效果,但是不足以來防止ARP攻擊�。有時甚至沒有效果。
4.至于說交換機綁定����,如果有這個功能那當然很好可以解決,問題是哪個企業(yè)會花那么多錢買那些貴的交換機呢��,要知道局域中使用的交換機一般要比路由器多得多��。重新購買有綁定功能的交換機肯定是不可行的�����。成本很很大�����。
5.綜上所述,我認為不如再買一個ARP防火墻的路由器���。從硬件上防ARP攻擊。而且只需買一個即可��,不用買多個帶有綁定或防ARP攻擊的交換機����。
JIM我在這里獻丑了,有文字里面有些說的不對的提議����,望大家海函并幫忙修正!歡迎和更多的朋友一起交流����!郵件: 359394847@qq.com
一般ARP攻擊的對治方法
$ a3 `7 B! b) g+ Y0 Y$ E! F% u* T現(xiàn)在最常用的基本對治方法是“ARP雙向綁定”。
" s, C: I& ~- Y/ Q3 e由于ARP攻擊往往不是病毒造成的����,而是合法運行的程序(外掛、網(wǎng)頁)造成的�����,所殺毒軟件多數(shù)時候束手無策。
/ v. _+ {) j1 ]# V8 ^2 J1 H7 J所謂“雙向綁定”��,就是再路由器上綁定ARP表的同時��,在每臺電腦上也綁定一些常用的ARP表項���。* G& L6 o. O/ J4 ~/ @2 H- f
“ARP雙向綁定”能夠防御輕微的�、手段不高明的ARP攻擊����。ARP攻擊程序如果沒有試圖去更改綁定的ARP表項,那么ARP攻擊就不會成功���;如果攻擊手段不劇烈����,也欺騙不了路由器�����,這樣我們就能夠防住50%ARP攻擊���。
6 q- L b, \- S但是現(xiàn)在ARP攻擊的程序往往都是合法運行的����,所以能夠合法的更改電腦的ARP表項。在現(xiàn)在ARP雙向綁定流行起來之后����,攻擊程序的作者也提高了攻擊手段�����,攻擊的方法更綜合���,另外攻擊非常頻密�,僅僅進行雙向綁定已經不能夠應付兇狠的ARP攻擊了����,仍然很容易出現(xiàn)掉線。+ k9 w% d& r2 g
于是我們在路由器中加入了“ARP攻擊主動防御”的功能����。這個功能是在路由器ARP綁定的基礎上實現(xiàn)的,原理是:當網(wǎng)內受到錯誤的ARP廣播包攻擊時�,路由器立即廣播正確的ARP包去修正和消除攻擊包的影響。這樣我們就解決了掉線的問題,但是在最兇悍的ARP攻擊發(fā)生時�,仍然發(fā)生了問題----當ARP攻擊很頻密的時候,就需要路由器發(fā)送更頻密的正確包去消除影響����。雖然不掉線了,但是卻出現(xiàn)了上網(wǎng)“卡”的問題���。# v& h$ S s( Q4 H6 E
所以��,我們認為����,依靠路由器實現(xiàn)“ARP攻擊主動防御”�,也只能夠解決80%的問題。
& A N. i5 [6 J7 @4 h. }0 ^0 ]為了徹底消除ARP攻擊�����,我們在此基礎上有增加了“ARP攻擊源攻擊跟蹤”的功能�����。對于剩下的強悍的ARP攻擊����,我采用“日志”功能��,提供信息方便用戶跟蹤攻擊源��,這樣用戶通過臨時切斷攻擊電腦或者封殺發(fā)出攻擊的程序�����,能夠解決問題���。
$ }# f3 {$ `$ ?1 g( ?: @徹底解決ARP攻擊1 s# \9 I! N7 w8 P" H2 P5 G R
事實上���,由于路由器是整個局域網(wǎng)的出口����,而ARP攻擊是以整個局域網(wǎng)為目標����,當ARP攻擊包已經達到路由器的時候,影響已經照成���。所以由路由器來承擔防御ARP攻擊的任務只是權宜之計��,并不能很好的解決問題�����。
! r) T7 u6 h( f2 T4 R我們要真正消除ARP攻擊的隱患����,安枕無憂,必須轉而對“局域網(wǎng)核心”――交換機下手�。由于任何ARP包,都必須經由交換機轉發(fā)�����,才能達到被攻擊目標���,只要交換機據(jù)收非法的ARP包���,哪么ARP攻擊就不能造成任何影響。
/ B& {; W: `# c& T0 h: {我們提出一個真正嚴密的防止ARP攻擊的方案����,就是在每臺接入交換機上面實現(xiàn)ARP綁定,并且過濾掉所有非法的ARP包����。這樣可以讓ARP攻擊足不能出戶��,在局域網(wǎng)內完全消除了ARP攻擊�。
7 b3 } c, z) H+ j% @+ ^1 k, R因為需要每臺交換機都具有ARP綁定和相關的安全功能����,這樣的方案無疑價格是昂貴的,所以我們提供了一個折衷方案�。9 n, s9 j, h2 T0 q1 _& n
經濟方案
$ W2 H+ q+ p1 T% @$ A我們只是中心采用能夠大量綁定ARP和進行ARP攻擊防御的交換機――Netcore 7324NSW,這款交換機能夠做到ARP綁定條目可以達到1000條��,因此基本上可以對整網(wǎng)的ARP進行綁定���,同時能杜絕任何非法ARP包在主交換機進行傳播�����。; X9 {" e2 m k/ l
這樣如果在強力的ARP攻擊下,我們觀察到的現(xiàn)象是:ARP攻擊只能影響到同一個分支交換機上的電腦���,這樣可能被攻擊到的范圍就大大縮小了��。當攻擊發(fā)生時�,不可能造成整個網(wǎng)絡的問題。, H/ r$ D- r9 @5 ?2 q/ L1 Z* H
在此基礎上�,我們再補充“日志”功能和“ARP主動防御”功能,ARP攻擊也可以被完美的解決����。
- d, y& _0 g: c/ B8 [ARP攻擊最新動態(tài)7 A, F$ f, B: L/ r5 u7 m* h+ S
最近一段時間,各網(wǎng)吧發(fā)現(xiàn)的ARP攻擊已經升級�����,又一波ARP攻擊的高潮來臨��。7 T( U) S! T6 A* x) z
這次ARP攻擊發(fā)現(xiàn)的特征有:% Q3 `8 U m- }
1��、 速度快���、效率高�����,大概在10-20秒的時間內��,能夠造成300臺規(guī)模的電腦掉線����。
, r" f' f) x8 B- ~: a! d2、 不易發(fā)現(xiàn)�����。在攻擊完成后��,立即停止攻擊并更正ARP信息��。如果網(wǎng)內沒有日志功能���,再去通過ARP命令觀察��,已經很難發(fā)現(xiàn)攻擊痕跡�����。
3 m* r' Z# r2 h4 d, h9 t3���、 能夠破解最新的XP和2000的ARP補丁����,微軟提供的補丁很明顯在這次攻擊很脆弱,沒有作用���。0 Q8 ?7 U p7 n( U0 Z. g
4�����、 介質變化��,這次攻擊的來源來自私服程序本身(不是外掛)和P2P程序�����。
億恩科技地址(ADD):鄭州市黃河路129號天一大廈608室 郵編(ZIP):450008 傳真(FAX):0371-60123888
聯(lián)系:億恩小凡
QQ:89317007
電話:0371-63322206
本文出自:億恩科技【mszdt.com】
服務器租用/服務器托管中國五強��!虛擬主機域名注冊頂級提供商���!15年品質保障���!--億恩科技[ENKJ.COM]
|
香港服務器租用
美國服務器租用
電信骨干機房
聯(lián)通骨干機房
0371-60135900
