ARP攻擊防制方法之虛虛實(shí)實(shí)

　　ARP欺騙/攻擊反復(fù)襲擊， 是近來網(wǎng)絡(luò)行業(yè)普遍了解的現(xiàn)象， 隨著ARP攻擊的不斷升級(jí)， 不同的解決方案在市場上流傳。 但是筆者最近發(fā)現(xiàn)， 有一些方案， 從短期看來似乎有效， 實(shí)際上對(duì)于真正的ARP攻擊發(fā)揮不了作用， 也降低局域網(wǎng)工作效率。 Qno俠諾的技術(shù)服務(wù)人員接到很多用戶反應(yīng)說有些ARP防制方法很容易操作和實(shí)施， 但經(jīng)過實(shí)際深入了解后， 發(fā)現(xiàn)長期效果都不大。

　　對(duì)于ARP攻擊防制， Qno俠諾技術(shù)服務(wù)人員的建議， 最好的方法是先踏踏實(shí)實(shí)把基本防制工作做好， 才是根本解決的方法。 由于市場上的解決方式眾多， 我們無法一一加以說明優(yōu)劣， 因此本文解釋了ARP攻擊防制的基本思想。 我們認(rèn)為讀者如果能了解這個(gè)基本思想， 就能自行判斷何種防制方式有效， 也能了解為何雙向綁定是一個(gè)較全面又持久的解決方式。

　　一、不堅(jiān)定的ARP協(xié)議

　　一般計(jì)算機(jī)中的原始的ARP協(xié)議， 很像一個(gè)思想不堅(jiān)定， 容易被其它人影響的人， ARP欺騙/攻擊就是利用這個(gè)特性， 誤導(dǎo)計(jì)算機(jī)作出錯(cuò)誤的行為。 ARP攻擊的原理， 互聯(lián)網(wǎng)上很容易找到， 這里不再覆述。 原始的ARP協(xié)議運(yùn)作， 會(huì)附在局域網(wǎng)接收的廣播包或是ARP詢問包， 無條件覆蓋本機(jī)緩存中的ARP/MAC對(duì)照表。 這個(gè)特性好比一個(gè)意志不堅(jiān)定的人， 聽了每一個(gè)人和他說話都信以為真， 并立刻以最新聽到的信息作決定。

　　就像一個(gè)沒有計(jì)劃的快遞員， 想要送信給“張三”， 只在馬路上問“張三住那兒?”， 并投遞給最近和他說“我就是!”或“張三住那間!”， 來決定如何投遞一樣。 在一個(gè)人人誠實(shí)的地方， 快遞員的工作還是能切實(shí)地進(jìn)行;但若是旁人看快遞物品值錢， 想要欺騙取得的話， 快遞員這種工作方式就會(huì)帶來混亂了。

　　我們?cè)倩貋砜碅RP攻擊和這個(gè)意志不堅(jiān)定快遞員的關(guān)系。 常見ARP攻擊對(duì)象有兩種， 一是網(wǎng)絡(luò)網(wǎng)關(guān)， 也就是路由器， 二是局域網(wǎng)上的計(jì)算機(jī)， 也就是一般用戶。 攻擊網(wǎng)絡(luò)網(wǎng)關(guān)就好比發(fā)送錯(cuò)誤的地址信息給快遞員， 讓快遞員整個(gè)工作大亂， 所有信件無法正常送達(dá);而攻擊一般計(jì)算機(jī)就是直接和一般人謊稱自己就是快遞員， 讓一般用戶把需要傳送物品傳送給發(fā)動(dòng)攻擊的計(jì)算機(jī)。

　　由于一般的計(jì)算機(jī)及路由器的ARP協(xié)議的意志都不堅(jiān)定， 因此只要有惡意計(jì)算機(jī)在局域網(wǎng)持續(xù)發(fā)出錯(cuò)誤的ARP訊息， 就會(huì)讓計(jì)算機(jī)及路由器信以為真， 作出錯(cuò)誤的傳送網(wǎng)絡(luò)包動(dòng)作。 一般的ARP就是以這樣的方式， 造成網(wǎng)絡(luò)運(yùn)作不正常， 達(dá)到盜取用戶密碼或破壞網(wǎng)絡(luò)運(yùn)作的目的。 針對(duì)ARP攻擊的防制， 常見的方法， 可以分為以下三種作法：

　　1、利用ARP echo傳送正確的ARP訊息：通過頻繁地提醒正確的ARP對(duì)照表， 來達(dá)到防制的效果。

　　2、利用綁定方式， 固定ARP對(duì)照表不受外來影響：通過固定正確的ARP對(duì)照表， 來達(dá)到防制的效果。

　　3、舍棄ARP協(xié)議， 采用其它尋址協(xié)議：不采用ARP作為傳送的機(jī)制， 而另行使用其它協(xié)議例如PPPoE方式傳送。

　　以上三種方法中， 前兩種方法較為常見， 第三種方法由于變動(dòng)較大， 適用于技術(shù)能力較佳的應(yīng)用。 下面針對(duì)前兩種方法加以說明。

　　PK 賽之“ARP echo”

　　ARP echo是最早開發(fā)出來的ARP攻擊解決方案， 但隨著ARP攻擊的發(fā)展， 漸漸失去它的效果。 現(xiàn)在， 這個(gè)方法不但面對(duì)攻擊沒有防制效果， 還會(huì)降低局域網(wǎng)運(yùn)作的效能， 但是很多用戶仍然以這個(gè)方法來進(jìn)行防制。 以前面介紹的思想不堅(jiān)定的快遞員的例子來說， ARP echo的作法， 等于是時(shí)時(shí)用電話提醒快遞員正確的發(fā)送對(duì)象及地址， 減低他被鄰近的各種信息干擾的情況。

　　但是這種作法， 明顯有幾個(gè)問題：第一， 即使時(shí)時(shí)提醒， 但由于快遞員意志不堅(jiān)定， 仍會(huì)有部份的信件因?yàn)橐�發(fā)出時(shí)剛好收到錯(cuò)誤的信息， 以錯(cuò)誤的方式送出去;這種情況如果是錯(cuò)誤的信息頻率特高， 例如有一個(gè)人時(shí)時(shí)在快遞員身邊連續(xù)提供信息， 即使打電話提醒也立刻被覆蓋， 效果就不好;第二， 由于必須時(shí)時(shí)提醒， 而且為了保證提醒的效果好， 還要加大提醒的間隔時(shí)間， 以防止被覆蓋， 就好比快遞員一直忙于接聽總部打來的電話， 根本就沒有時(shí)間可以發(fā)送信件， 耽誤了正事;第三， 還要專門指派一位人時(shí)時(shí)打電話給快遞員提醒， 等于要多派一個(gè)人手負(fù)責(zé)， 而且持續(xù)地提醒， 這個(gè)人的工作也很繁重。

　　以ARP echo方式對(duì)應(yīng)ARP攻擊， 也會(huì)發(fā)生相似的情況。 第一， 面對(duì)高頻率的新式ARP攻擊， ARP echo發(fā)揮不了效果， 掉線斷網(wǎng)的情況仍舊會(huì)發(fā)生。 ARP echo的方式防制的對(duì)早期以盜寶為目的的攻擊軟件有效果， 但碰到最近以攻擊為手段的攻擊軟件則公認(rèn)是沒有效果的。 第二， ARP echo手段必須在局域網(wǎng)上持續(xù)發(fā)出廣播網(wǎng)絡(luò)包， 占用局域網(wǎng)帶寬， 使得局域網(wǎng)工作的能力降低， 整個(gè)局域網(wǎng)的計(jì)算機(jī)及交換機(jī)時(shí)時(shí)都在處理ARP echo廣播包， 還沒受到攻擊局域網(wǎng)就開始卡了。 第三， 必須在局域網(wǎng)有一臺(tái)負(fù)責(zé)負(fù)責(zé)發(fā)ARP echo廣播包的設(shè)備， 不管是路由器、服務(wù)器或是計(jì)算機(jī)， 由于發(fā)包是以一秒數(shù)以百計(jì)的方式來發(fā)送， 對(duì)該設(shè)備都是很大的負(fù)擔(dān)。

　　ARP攻擊防制 方法之“ARP echo”圖示說明

　　常見的ARP echo處理手法有兩種， 一種是由路由器持續(xù)發(fā)送， 另一則是在計(jì)算機(jī)或服務(wù)器安裝軟件發(fā)送。 路由器持續(xù)發(fā)送的缺點(diǎn)是路由器原本的工作就很忙， 因此無法發(fā)送高頻率的廣播包， 被覆蓋掉的機(jī)會(huì)很大， 因此面對(duì)新型的ARP攻擊防制效果小。 因此， 有些解決方法， 就是拿ARP攻擊的軟件來用， 只是持續(xù)發(fā)出正確的網(wǎng)關(guān)、服務(wù)器對(duì)照表， 安裝在服務(wù)器或是計(jì)算機(jī)上， 由于服務(wù)器或是計(jì)算機(jī)運(yùn)算能力較強(qiáng)， 可以同一時(shí)間內(nèi)發(fā)出更多廣播包， 效果較大， 但是這種作法一則大幅影響局域網(wǎng)工作， 因?yàn)檎麄�(gè)局域網(wǎng)都被廣播包占據(jù)， 另則攻擊軟件通常會(huì)設(shè)定更高頻率的廣播包， 誤導(dǎo)局域網(wǎng)計(jì)算機(jī)， 效果仍然有限。

　　此外， ARP echo一般是發(fā)送網(wǎng)關(guān)及私服的對(duì)照信息， 對(duì)于防止局域網(wǎng)計(jì)算機(jī)被騙有效果， 對(duì)于路由器沒有效果， 仍需作綁定的動(dòng)作才可。

　　PK賽之“ARP綁定”

　　ARP echo的作法是不斷提醒計(jì)算機(jī)正確的ARP對(duì)照表， ARP綁定則是針對(duì)ARP協(xié)議“思想不堅(jiān)定“的基本問題來加以解決。 Qno俠諾技術(shù)服務(wù)人員認(rèn)為， ARP綁定的作法， 等于是從基本上給這個(gè)快遞員培訓(xùn)， 讓他把正確的人名及地址記下來， 再也不受其它人的信息干擾。 由于快遞員腦中記住了這個(gè)對(duì)照表， 因此完全不會(huì)受到有心人士的干擾， 能有效地完成工作。 在這種情況下， 無論如何都可以防止因受到攻擊而掉線的情況發(fā)生。

　　但是ARP綁定并不是萬靈藥， 還需要作的好才有完全的效果。 第一， 即使這個(gè)快遞員思想正確， 不受影響， 但是攻擊者的網(wǎng)絡(luò)包還是會(huì)小幅影響局域網(wǎng)部份運(yùn)作， 網(wǎng)管必須通過網(wǎng)絡(luò)監(jiān)控或掃瞄的方法， 找出攻擊者加以去除;第二， 必須作雙向綁定才有完全的效果， 只作路由器端綁定效果有限， 一般計(jì)算機(jī)仍會(huì)被欺騙， 而發(fā)生掉包或掉線的情況。

　　雙向綁定的解決方法， 最為網(wǎng)管不喜歡的就是必須一臺(tái)一臺(tái)加以綁定， 增加工作量。 但是從以上的說明可知道， 只有雙向綁定才能有效果地解決ARP攻擊的問題， 而不會(huì)發(fā)生防制效果不佳、局域網(wǎng)效率受影響、影響路由器效能或影響服務(wù)器效能的缺點(diǎn)。 也就是說雙向綁定是個(gè)硬工夫， 可以較全面性地解決現(xiàn)在及未來ARP攻擊的問題， 網(wǎng)管為了一時(shí)的省事， 而采取片面的ARP echo解決方式， 未來還是要回來解決這個(gè)問題。

　　ARP攻擊防制 方法之俠諾“ARP雙向綁定”圖示說明

　　另外， 對(duì)于有自動(dòng)通過局域網(wǎng)安裝軟件的網(wǎng)絡(luò)， 例如網(wǎng)吧的收費(fèi)系統(tǒng)、無盤系統(tǒng)， 都可以透過自動(dòng)的批次檔， 自動(dòng)在開機(jī)時(shí)完成綁定的工作， 網(wǎng)管只要撰寫一個(gè)統(tǒng)一的批次文件程序即可， 不必一一配置。 這些信息可以很容易地在互聯(lián)網(wǎng)上通過搜索找到或者是向Qno俠諾的技術(shù)服務(wù)人員索取即可。

　　二、現(xiàn)階段較佳解決方案——雙向綁定

　　以上以思想不堅(jiān)定的快遞員情況， 說明了常見的ARP攻擊防制方法。 ARP攻擊利用的就是ARP協(xié)議的意志不堅(jiān)， 只有以培訓(xùn)的方式讓ARP協(xié)議的意志堅(jiān)定， 明白正確的工作方法， 才能從根本解決問題。 只是依賴頻繁的提醒快遞員正確的作事方法， 但是沒有能從快遞員意志不堅(jiān)的特點(diǎn)著手， 就好像只管不教， 最終大家都很累， 但是效果仍有限。

　　Qno俠諾的技術(shù)服務(wù)人員建議， 面對(duì)這種新興攻擊， 取巧用省事的方式準(zhǔn)備， 最后的結(jié)果可能是費(fèi)事又不管用， 必須重新來過。 ARP雙向綁定雖然對(duì)網(wǎng)管帶來一定的工作量， 但是其效果確是從根本上有效， 而且網(wǎng)管也可參考自動(dòng)批次檔的作法， 加快配置自動(dòng)化的進(jìn)行， 更有效地對(duì)抗ARP攻擊。