文章內(nèi)容

徹底解決局域網(wǎng)ARP攻擊

發(fā)布時(shí)間: 2012/5/25 19:33:09

1.首先企業(yè)或一個(gè)局域有了ARP攻擊，肯定是很麻煩的，這對(duì)于管理員來說很頭痛。有防火強(qiáng)或軟件可以查出哪些機(jī)器有了ARP前兆，這類防ARP攻擊的軟件本人覺得彩影的比較直觀。既然查出了那些機(jī)器就可以隔離那些有ARP攻擊性的機(jī)器。然后再對(duì)那些機(jī)器進(jìn)行清楚ARP攻擊軟件。這是解決的方法之一。
    2.在方法之一中我提過隔離機(jī)器再進(jìn)行解決。但是隨之問題又來了，從ARP攻擊來源再看，有可能是P2P軟件或網(wǎng)絡(luò)中的一些軟件。怎么確認(rèn)修復(fù)好的機(jī)器被同事朋友又下了同樣的帶有攻擊的軟件又來ARP攻擊局域網(wǎng)呢？很難保證，因?yàn)榫钟蚓W(wǎng)的網(wǎng)絡(luò)是開放的。
   3.在下面文章中說，雙向綁定，雙向綁定是有一些效果，但是不足以來防止ARP攻擊。有時(shí)甚至沒有效果。
   4.至于說交換機(jī)綁定，如果有這個(gè)功能那當(dāng)然很好可以解決，問題是哪個(gè)企業(yè)會(huì)花那么多錢買那些貴的交換機(jī)呢，要知道局域中使用的交換機(jī)一般要比路由器多得多。重新購買有綁定功能的交換機(jī)肯定是不可行的。成本很很大。
   5.綜上所述，我認(rèn)為不如再買一個(gè)ARP防火墻的路由器。從硬件上防ARP攻擊。而且只需買一個(gè)即可，不用買多個(gè)帶有綁定或防ARP攻擊的交換機(jī)。
JIM我在這里獻(xiàn)丑了，有文字里面有些說的不對(duì)的提議，望大家海函并幫忙修正！歡迎和更多的朋友一起交流！郵件： 359394847@qq.com

一般ARP攻擊的對(duì)治方法
$ a3 `7 B! b) g+ Y0 Y$ E! F% u* T現(xiàn)在最常用的基本對(duì)治方法是“ARP雙向綁定”。
" s, C: I& ~- Y/ Q3 e由于ARP攻擊往往不是病毒造成的，而是合法運(yùn)行的程序（外掛、網(wǎng)頁）造成的，所殺毒軟件多數(shù)時(shí)候束手無策。
/ v. _+ {) j1 ]# V8 ^2 J1 H7 J所謂“雙向綁定”，就是再路由器上綁定ARP表的同時(shí)，在每臺(tái)電腦上也綁定一些常用的ARP表項(xiàng)。* G& L6 o. O/ J4 ~/ @2 H- f
“ARP雙向綁定”能夠防御輕微的、手段不高明的ARP攻擊。ARP攻擊程序如果沒有試圖去更改綁定的ARP表項(xiàng)，那么ARP攻擊就不會(huì)成功；如果攻擊手段不劇烈，也欺騙不了路由器，這樣我們就能夠防住50％ARP攻擊。
6 q- L b, \- S但是現(xiàn)在ARP攻擊的程序往往都是合法運(yùn)行的，所以能夠合法的更改電腦的ARP表項(xiàng)。在現(xiàn)在ARP雙向綁定流行起來之后，攻擊程序的作者也提高了攻擊手段，攻擊的方法更綜合，另外攻擊非常頻密，僅僅進(jìn)行雙向綁定已經(jīng)不能夠應(yīng)付兇狠的ARP攻擊了，仍然很容易出現(xiàn)掉線。+ k9 w% d& r2 g
于是我們?cè)诼酚善髦屑尤肓?ldquo;ARP攻擊主動(dòng)防御”的功能。這個(gè)功能是在路由器ARP綁定的基礎(chǔ)上實(shí)現(xiàn)的，原理是：當(dāng)網(wǎng)內(nèi)受到錯(cuò)誤的ARP廣播包攻擊時(shí)，路由器立即廣播正確的ARP包去修正和消除攻擊包的影響。這樣我們就解決了掉線的問題，但是在最兇悍的ARP攻擊發(fā)生時(shí)，仍然發(fā)生了問題----當(dāng)ARP攻擊很頻密的時(shí)候，就需要路由器發(fā)送更頻密的正確包去消除影響。雖然不掉線了，但是卻出現(xiàn)了上網(wǎng)“卡”的問題。# v& h$ S s( Q4 H6 E
所以，我們認(rèn)為，依靠路由器實(shí)現(xiàn)“ARP攻擊主動(dòng)防御”，也只能夠解決80％的問題。
& A N. i5 [6 J7 @4 h. }0 ^0 ]為了徹底消除ARP攻擊，我們?cè)诖嘶A(chǔ)上有增加了“ARP攻擊源攻擊跟蹤”的功能。對(duì)于剩下的強(qiáng)悍的ARP攻擊，我采用“日志”功能，提供信息方便用戶跟蹤攻擊源，這樣用戶通過臨時(shí)切斷攻擊電腦或者封殺發(fā)出攻擊的程序，能夠解決問題。
$ }# f3 {$ `$ ?1 g( ?: @徹底解決ARP攻擊1 s# \9 I! N7 w8 P" H2 P5 G R
事實(shí)上，由于路由器是整個(gè)局域網(wǎng)的出口，而ARP攻擊是以整個(gè)局域網(wǎng)為目標(biāo)，當(dāng)ARP攻擊包已經(jīng)達(dá)到路由器的時(shí)候，影響已經(jīng)照成。所以由路由器來承擔(dān)防御ARP攻擊的任務(wù)只是權(quán)宜之計(jì)，并不能很好的解決問題。
! r) T7 u6 h( f2 T4 R我們要真正消除ARP攻擊的隱患，安枕無憂，必須轉(zhuǎn)而對(duì)“局域網(wǎng)核心”――交換機(jī)下手。由于任何ARP包，都必須經(jīng)由交換機(jī)轉(zhuǎn)發(fā)，才能達(dá)到被攻擊目標(biāo)，只要交換機(jī)據(jù)收非法的ARP包，哪么ARP攻擊就不能造成任何影響。
/ B& {; W: `# c& T0 h: {我們提出一個(gè)真正嚴(yán)密的防止ARP攻擊的方案，就是在每臺(tái)接入交換機(jī)上面實(shí)現(xiàn)ARP綁定，并且過濾掉所有非法的ARP包。這樣可以讓ARP攻擊足不能出戶，在局域網(wǎng)內(nèi)完全消除了ARP攻擊。
7 b3 } c, z) H+ j% @+ ^1 k, R因?yàn)樾枰颗_(tái)交換機(jī)都具有ARP綁定和相關(guān)的安全功能，這樣的方案無疑價(jià)格是昂貴的，所以我們提供了一個(gè)折衷方案。9 n, s9 j, h2 T0 q1 _& n
經(jīng)濟(jì)方案
$ W2 H+ q+ p1 T% @$ A我們只是中心采用能夠大量綁定ARP和進(jìn)行ARP攻擊防御的交換機(jī)――Netcore 7324NSW，這款交換機(jī)能夠做到ARP綁定條目可以達(dá)到1000條，因此基本上可以對(duì)整網(wǎng)的ARP進(jìn)行綁定，同時(shí)能杜絕任何非法ARP包在主交換機(jī)進(jìn)行傳播。; X9 {" e2 m k/ l
這樣如果在強(qiáng)力的ARP攻擊下，我們觀察到的現(xiàn)象是：ARP攻擊只能影響到同一個(gè)分支交換機(jī)上的電腦，這樣可能被攻擊到的范圍就大大縮小了。當(dāng)攻擊發(fā)生時(shí)，不可能造成整個(gè)網(wǎng)絡(luò)的問題。, H/ r$ D- r9 @5 ?2 q/ L1 Z* H
在此基礎(chǔ)上，我們?cè)傺a(bǔ)充“日志”功能和“ARP主動(dòng)防御”功能，ARP攻擊也可以被完美的解決。
- d, y& _0 g: c/ B8 [ARP攻擊最新動(dòng)態(tài)7 A, F$ f, B: L/ r5 u7 m* h+ S
最近一段時(shí)間，各網(wǎng)吧發(fā)現(xiàn)的ARP攻擊已經(jīng)升級(jí)，又一波ARP攻擊的高潮來臨。7 T( U) S! T6 A* x) z
這次ARP攻擊發(fā)現(xiàn)的特征有：% Q3 `8 U m- }
1、速度快、效率高，大概在10－20秒的時(shí)間內(nèi)，能夠造成300臺(tái)規(guī)模的電腦掉線。
, r" f' f) x8 B- ~: a! d2、不易發(fā)現(xiàn)。在攻擊完成后，立即停止攻擊并更正ARP信息。如果網(wǎng)內(nèi)沒有日志功能，再去通過ARP命令觀察，已經(jīng)很難發(fā)現(xiàn)攻擊痕跡。
3 m* r' Z# r2 h4 d, h9 t3、能夠破解最新的XP和2000的ARP補(bǔ)丁，微軟提供的補(bǔ)丁很明顯在這次攻擊很脆弱，沒有作用。0 Q8 ?7 U p7 n( U0 Z. g
4、介質(zhì)變化，這次攻擊的來源來自私服程序本身（不是外掛）和P2P程序。