ARP攻擊的一般防治方法

防治ARP攻擊方法——“ARP雙向綁定”

所謂“雙向綁定”，就是再路由器上綁定ARP表的同時，在每臺電腦上也綁定一些常用的ARP表項。

“ARP雙向綁定”能夠防御輕微的、手段不高明的ARP攻擊。ARP攻擊程序如果沒有試圖去更改綁定的ARP表項，那么ARP攻擊就不會成功；如果攻擊手段不劇烈，也欺騙不了路由器，這樣我們就能夠防住50％ARP攻擊。

但是現(xiàn)在ARP攻擊的程序往往都是合法運行的，所以能夠合法的更改電腦的ARP表項。在現(xiàn)在ARP雙向綁定流行起來之后，攻擊程序的作者也提高了攻擊手段，攻擊的方法更綜合，另外攻擊非常頻密，僅僅進行雙向綁定已經(jīng)不能夠應(yīng)付兇狠的ARP攻擊了，仍然很容易出現(xiàn)掉線。

于是我們在路由器中加入了“ARP攻擊主動防御”的功能。這個功能是在路由器ARP綁定的基礎(chǔ)上實現(xiàn)的，原理是：當網(wǎng)內(nèi)受到錯誤的ARP廣播包攻擊時，路由器立即廣播正確的ARP包去修正和消除攻擊包的影響。這樣我們就解決了掉線的問題，但是在最兇悍的ARP攻擊發(fā)生時，仍然發(fā)生了問題----當ARP攻擊很頻密的時候，就需要路由器發(fā)送更頻密的正確包去消除影響。雖然不掉線了，但是卻出現(xiàn)了上網(wǎng)“卡”的問題。所以，我們認為，依靠路由器實現(xiàn)“ARP攻擊主動防御”，也只能夠解決80％的問題。

為了徹底消除ARP攻擊，我們在此基礎(chǔ)上有增加了“ARP攻擊源攻擊跟蹤”的功能。對于剩下的強悍的ARP攻擊，我采用“日志”功能，提供信息方便用戶跟蹤攻擊源，這樣用戶通過臨時切斷攻擊電腦或者封殺發(fā)出攻擊的程序，能夠解決問題。

徹底解決ARP攻擊

事實上，由于路由器是整個局域網(wǎng)的出口，而ARP攻擊是以整個局域網(wǎng)為目標，當ARP攻擊包已經(jīng)達到路由器的時候，影響已經(jīng)照成。所以由路由器來承擔防御ARP攻擊的任務(wù)只是權(quán)宜之計，并不能很好的解決問題。

我們要真正消除ARP攻擊的隱患，安枕無憂，必須轉(zhuǎn)而對“局域網(wǎng)核心”――交換機下手。由于任何ARP包，都必須經(jīng)由交換機轉(zhuǎn)發(fā)，才能達到被攻擊目標，只要交換機據(jù)收非法的ARP包，哪么ARP攻擊就不能造成任何影響。

我們提出一個真正嚴密的防止ARP攻擊的方案，就是在每臺接入交換機上面實現(xiàn)ARP綁定，并且過濾掉所有非法的ARP包。這樣可以讓ARP攻擊足不能出戶，在局域網(wǎng)內(nèi)完全消除了ARP攻擊。

因為需要每臺交換機都具有ARP綁定和相關(guān)的安全功能，這樣的方案無疑價格是昂貴的，所以我們提供了一個折衷方案。

ARP攻擊防治經(jīng)濟方案

我們只是中心采用能夠大量綁定ARP和進行ARP攻擊防御的交換機――Netcore7324NSW，這款交換機能夠做到ARP綁定條目可以達到1000條，因此基本上可以對整網(wǎng)的ARP進行綁定，同時能杜絕任何非法ARP包在主交換機進行傳播。

這樣如果在強力的ARP攻擊下，我們觀察到的現(xiàn)象是：ARP攻擊只能影響到同一個分支交換機上的電腦，這樣可能被攻擊到的范圍就大大縮小了。當攻擊發(fā)生時，不可能造成整個網(wǎng)絡(luò)的問題。

在此基礎(chǔ)上，我們再補充“日志”功能和“ARP主動防御”功能，ARP攻擊也可以被完美的解決。

ARP攻擊最新動態(tài)

最近一段時間，各網(wǎng)吧發(fā)現(xiàn)的ARP攻擊已經(jīng)升級，又一波ARP攻擊的高潮來臨。

這次ARP攻擊發(fā)現(xiàn)的特征有：

1、速度快、效率高，大概在10－20秒的時間內(nèi)，能夠造成300臺規(guī)模的電腦掉線。

2、不易發(fā)現(xiàn)。在攻擊完成后，立即停止攻擊并更正ARP信息。如果網(wǎng)內(nèi)沒有日志功能，再去通過ARP命令觀察，已經(jīng)很難發(fā)現(xiàn)攻擊痕跡。

3、能夠破解最新的XP和2000的ARP補丁，微軟提供的補丁很明顯在這次攻擊很脆弱，沒有作用。

4、介質(zhì)變化，這次攻擊的來源來自私服程序本身（不是外掛）和P2P程序。

ARP攻擊的一般防治方法就為大家介紹完了，在你試用的過程中相信會起到很不錯的防御效果。

服務(wù)器租用/服務(wù)器托管中國五強！虛擬主機域名注冊頂級提供商！15年品質(zhì)保障！--億恩科技[ENKJ.COM]