防范來自網絡的ARP攻擊

從Qno俠諾技術服務的近期統計發現，近來最常見的攻擊仍是ARP及DoS。網絡管理人員如能夠了解這兩種常見攻擊的現象及預防之道，在長假期間如果遭遇到相關情況，會比較迅速地進行處理。

為確保網絡安全，節前提早准備好應對措施，是認真工作好網管的必做工作之一。本文將一一向讀者介紹針對最新ARP、DoS攻擊而進行的防范措施，幫助認真工作的網管員，安心度過黃金周。

一、 “雙向綁定”輕松應對ARP攻擊

簡單的ARP攻擊是偽裝成網關IP，轉發訊息，盜取用戶名及密碼之用，不會造成掉線。這種ARP攻擊，只會造成封包的遺失，或是Ping值提高，並不會造成嚴重的掉線或是大范圍掉線。

這種ARP攻擊的防范方式是以ARP ECHO指令方式應對，可以解決只是為了盜寶為目的傳統ARP攻擊。對於整體網絡不會有影響。互聯網上可以很容易找到相關的信息。

在ARP ECHO的解決方法提出後，ARP攻擊開始進行演化。新的ARP攻擊方式，使用更高頻率的ARP ECHO，壓過用戶的ARP ECHO廣播。由於發出廣播包的次數太多，因此會使整個局域網變慢，或占用網關運算能力，發生內網很慢或上網卡的現象。如果嚴重時，通常就發生瞬斷或全網掉線的情況。

對付這種較嚴重的ARP攻擊，近來有不同解決方法提出，例如從路由器下載某個imf文件，更改網絡堆棧，但效果有限。有些解決方式則在用戶與網關間建立PPPoE聯機，則配置功夫大又耗費運算能力。到現在為止最簡單有效的方法仍屬於Qno俠諾工程師2006年10月提出的“雙向綁定方式”，可以有效地縮小影響層面。不過，不同的方法大致都可以防制ARP攻擊。

此外，內網IP欺騙是在ARP攻擊另一個變型攻擊方式。攻擊計算機會偽裝成一樣的IP，讓受攻擊的計算機產生IP沖突，無法上網。這種攻擊，往往影響的計算機有限，而不是大規模影響。

內網IP欺騙采用雙向綁定方式，可以有效解決。先作好綁定配置的計算機，不會受到後來的偽裝計算機的影響。因此，等於一次因應ARP及內網IP欺騙解決。若是采用其它的ARP防制方法，則要采用另行的方法應對。