萬盛學電腦網

 萬盛學電腦網 >> 電腦常見故障 >> 不能上網 >> 從交換機入手 徹底解決ARP攻擊

從交換機入手 徹底解決ARP攻擊

一般ARP攻擊的對治方法

  現在最常用的基本對治方法是“ARP雙向綁定”。

  由於ARP攻擊往往不是病毒造成的,而是合法運行的程序(外掛、網頁)造成的,所殺毒軟件多數時候束手無策。

  所謂“雙向綁定”,就是再路由器上綁定ARP表的同時,在每台電腦上也綁定一些常用的ARP表項。

  “ARP雙向綁定”能夠防御輕微的、手段不高明的ARP攻擊。ARP攻擊程序如果沒有試圖去更改綁定的ARP表項,那麼ARP攻擊就不會成功;如果攻擊手段不劇烈,也欺騙不了路由器,這樣我們就能夠防住50%ARP攻擊。

  但是現在ARP攻擊的程序往往都是合法運行的,所以能夠合法的更改電腦的ARP表項。在現在ARP雙向綁定流行起來之後,攻擊程序的作者也提高了攻擊手段,攻擊的方法更綜合,另外攻擊非常頻密,僅僅進行雙向綁定已經不能夠應付凶狠的ARP攻擊了,仍然很容易出現掉線。

  於是我們在路由器中加入了“ARP攻擊主動防御”的功能。這個功能是在路由器ARP綁定的基礎上實現的,原理是:當網內受到錯誤的ARP廣播包攻擊時,路由器立即廣播正確的ARP包去修正和消除攻擊包的影響。這樣我們就解決了掉線的問題,但是在最凶悍的ARP攻擊發生時,仍然發生了問題----當ARP攻擊很頻密的時候,就需要路由器發送更頻密的正確包去消除影響。雖然不掉線了,但是卻出現了上網“卡”的問題。

  所以,我們認為,依靠路由器實現“ARP攻擊主動防御”,也只能夠解決80%的問題。

  為了徹底消除ARP攻擊,我們在此基礎上有增加了“ARP攻擊源攻擊跟蹤”的功能。對於剩下的強http://.悍的ARP攻擊,我采用“日志”功能,提供信息方便用戶跟蹤攻擊源,這樣用戶通過臨時切斷攻擊電腦或者封殺發出攻擊的程序,能夠解決問題。

  徹底解決ARP攻擊

  事實上,由於路由器是整個局域網的出口,而ARP攻擊是以整個局域網為目標,當ARP攻擊包已經達到路由器的時候,影響已經照成。所以由路由器來承擔防御ARP攻擊的任務只是權宜之計,並不能很好的解決問題。

  我們要真正消除ARP攻擊的隱患,安枕無憂,必須轉而對“局域網核心”――交換機下手。由於任何ARP包,都必須經由交換機轉發,才能達到被攻擊目標,只要交換機據收非法的ARP包,哪麼ARP攻擊就不能造成任何影響。

  我們提出一個真正嚴密的防止ARP攻擊的方案,就是在每台接入交換機上面實現ARP綁定,並且過濾掉所有非法的ARP包。這樣可以讓ARP攻擊足不能出戶,在局域網內完全消除了ARP攻擊。

  因為需要每台交換機都具有ARP綁定和相關的安全功能,這樣的方案無疑價格是昂貴的,所以我們提供了一個折衷方案。

  解決方案

  我們只是中心采用能夠大量綁定ARP和進行ARP攻擊防御的交換機――Netcore 7324NSW,這款交換機能夠做到ARP綁定條目可以達到1000條,因此基本上可以對整網的ARP進行綁定,同時能杜絕任何非法ARP包在主交換機進行傳播。

  這樣如果在強http://.力的ARP攻擊下,我們觀察到的現象是:ARP攻擊只能影響到同一個分支交換機上的電腦,這樣可能被攻擊到的范圍就大大縮小了。當攻擊發生時,不可能造成整個網絡的問題。

  在此基礎上,我們再補充“日志”功能和“ARP主動防御”功能,ARP攻擊也可以被完美的解決。

  ARP攻擊最新動態

  最近一段時間,各網吧發現的ARP攻擊已經升級,又一波ARP攻擊的高潮來臨。

  這次ARP攻擊發現的特征有:

  1、 速度快、效率高,大概在10-20秒的時間內,能夠造成300台規模的電腦掉線。

  2、 不易發現。在攻擊完成後,立即停止攻擊並更正ARP信息。如果網內沒有日志功能,再去通過ARP命令觀察,已經很難發現攻擊痕跡。

  3、 能夠破解最新的XP和2000的ARP補丁,微軟提供的補丁很明顯在這次攻擊很脆弱,沒有作用。

  4、 介質變化,這次攻擊的來源來自私服程序本身(不是外掛)和P2P程序。
從交換機入手 徹底解決ARP攻擊
copyright © 萬盛學電腦網 all rights reserved