從Qno俠諾技術服務的近期統計發現,近來最常見的攻擊仍是ARP及DoS。網絡管理人員如能夠了解這兩種常見攻擊的現象及預防之道,在長假期間如果遭遇到相關情況,會比較迅速地進行處理。
為確保網絡安全,節前提早准備好應對措施,是認真工作好網管的必做工作之一。本文將一一向讀者介紹針對最新ARP、DoS攻擊而進行的防范措施,幫助認真工作的網管員,安心度過黃金周。
一、 “雙向綁定”輕松應對ARP攻擊
簡單的ARP攻擊是偽裝成網關IP,轉發訊息,盜取用戶名及密碼之用,不會造成掉線。這種ARP攻擊,只會造成封包的遺失,或是Ping值提高,並不會造成嚴重的掉線或是大范圍掉線。
這種ARP攻擊的防范方式是以ARP ECHO指令方式應對,可以解決只是為了盜寶為目的傳統ARP攻擊。對於整體網絡不會有影響。互聯網上可以很容易找到相關的信息。
在ARP ECHO的解決方法提出後,ARP攻擊開始進行演化。新的ARP攻擊方式,使用更高頻率的ARP ECHO,壓過用戶的ARP ECHO廣播。由於發出廣播包的次數太多,因此會使整個局域網變慢,或占用網關運算能力,發生內網很慢或上網卡的現象。如果嚴重時,通常就發生瞬斷或全網掉線的情況。
對付這種較嚴重的ARP攻擊,近來有不同解決方法提出,例如從路由器下載某個imf文件,更改網絡堆棧,但效果有限。有些解決方式則在用戶與網關間建立PPPoE聯機,則配置功夫大又耗費運算能力。到現在為止最簡單有效的方法仍屬於Qno俠諾工程師2006年10月提出的“雙向綁定方式”,可以有效地縮小影響層面。不過,不同的方法大致都可以防制ARP攻擊。
此外,內網IP欺騙是在ARP攻擊另一個變型攻擊方式。攻擊計算機會偽裝成一樣的IP,讓受攻擊的計算機產生IP沖突,無法上網。這種攻擊,往往影響的計算機有限,而不是大規模影響。
內網IP欺騙采用雙向綁定方式,可以有效解決。先作好綁定配置的計算機,不會受到後來的偽裝計算機的影響。因此,等於一次因應ARP及內網IP欺騙解決。若是采用其它的ARP防制方法,則要采用另行的方法應對。