ARP欺骗/攻击反复袭击
是近来网络行业普遍了解
现象随着ARP攻击不断升级区别解决方案在市场上流传
但是笔者最近发现有
些方案从短期看来似乎有效实际上对于真正ARP攻击发挥不了作用也降低局域网工作效率Qno侠诺技术服务人员接到很多用户反应说有些ARP防制思路方法很容易操作和实施但经过实际深入了解后发现长期效果都不大 对于ARP攻击防制
Qno侠诺技术服务人员建议最好思路方法是先踏踏实实把基本防制工作做好才是根本解决思路方法由于市场上解决方式众多我们无法加以介绍说明优劣因此本文解释了ARP攻击防制基本思想我们认为读者如果能了解这个基本思想就能自行判断何种防制方式有效也能了解为何双向绑定是个较全面又持久解决方式、不坚定ARP协议般计算机中原始ARP协议很像个思想不坚定容易被其它人影响人ARP欺骗/攻击就是利用这个特性误导计算机作出
行为ARP攻击原理互联网上很容易找到这里不再覆述原始ARP协议运作会附在局域网接收广播包或是ARP询问包无条件覆盖本机缓存Cache中ARP/MAC对照表这个特性好比个意志不坚定人听了每个人和他说话都信以为真并立刻以最新听到信息作决定就像
个没有计划快递员想要送信给“张 3”只在马路上问“张 3住那儿?”并投递给最近和他说“我就是!”或“张 3住那间!”来决定如何投递样在个人人诚实地方快递员工作还是能切实地进行;但若是旁人看快递物品值钱想要欺骗取得话快递员这种工作方式就会带来混乱了我们再回来看ARP攻击和这个意志不坚定快递员
关系常见ARP攻击对象有两种是网络网关也就是路由器 2是局域网上计算机也就是般用户攻击网络网关就好比发送地址信息给快递员让快递员整个工作大乱所有信件无法正常送达;而攻击般计算机就是直接和般人谎称自己就是快递员让般用户把需要传送物品传送给发动攻击计算机由于
般计算机及路由器ARP协议意志都不坚定因此只要有恶意计算机在局域网持续发出ARP讯息就会让计算机及路由器信以为真作出传送网络包动作般ARP就是以这样方式造成网络运作不正常达到盗取用户密码或破坏网络运作目针对ARP攻击防制常见思路方法可以分为以下 3种作法:1、利用ARP echo传送正确
ARP讯息:通过频繁地提醒正确ARP对照表来达到防制效果2、利用绑定方式
固定ARP对照表不受外来影响:通过固定正确ARP对照表来达到防制效果3、舍弃ARP协议
采用其它寻址协议:不采用ARP作为传送机制而另行使用其它协议例如PPPoE方式传送以上 3种思路方法中
前两种思路方法较为常见第 3种思路方法由于变动较大适用于技术能力较佳应用下面针对前两种思路方法加以介绍说明PK 赛的“ARP echo”
ARP echo是最早开发出来
ARP攻击解决方案但随着ARP攻击发展渐渐失去它效果现在这个思路方法不但面对攻击没有防制效果还会降低局域网运作效能但是很多用户仍然以这个思路方法来进行防制以前面介绍思想不坚定快递员例子来说ARP echo作法等于是时时用电话提醒快递员正确发送对象及地址减低他被邻近各种信息干扰情况但是这种作法
明显有几个问题:第即使时时提醒但由于快递员意志不坚定仍会有部份信件
要发出时刚好收到信息以方式送出去;这种情况如果是信息频率特高例如有个人时时在快递员身边连续提供信息即使打电话提醒也立刻被覆盖效果就不好;第 2由于必须时时提醒而且为了保证提醒效果好还要加大提醒间隔时间以防止被覆盖就好比快递员直忙于接听总部打来电话根本就没有时间可以发送信件耽误了正事;第 3还要专门指派位人时时打电话给快递员提醒等于要多派个人手负责而且持续地提醒这个人工作也很繁重以ARP echo方式对应ARP攻击
也会发生相似情况第面对高频率新式ARP攻击ARP echo发挥不了效果掉线断网情况仍旧会发生ARP echo方式防制对早期以盗宝为目攻击软件Software有效果但碰到最近以攻击为手段攻击软件Software则公认是没有效果第 2ARP echo手段必须在局域网上持续发出广播网络包占用局域网带宽使得局域网工作能力降低整个局域网计算机及交换机时时都在处理ARP echo广播包还没受到攻击局域网就开始卡了第 3必须在局域网有台负责负责发ARP echo广播包设备不管是路由器、服务器或是计算机由于发包是以秒数以百计方式来发送对该设备都是很大负担ARP攻击防制 思路方法的“ARP echo”图示介绍说明
常见
ARP echo处理手法有两种种是由路由器持续发送另则是在计算机或服务器安装软件Software发送路由器持续发送缺点是路由器原本工作就很忙因此无法发送高频率广播包被覆盖掉机会很大因此面对新型ARP攻击防制效果小因此有些解决思路方法就是拿ARP攻击软件Software来用只是持续发出正确网关、服务器对照表安装在服务器或是计算机上由于服务器或是计算机运算能力较强可以同时间内发出更多广播包效果较大但是这种作法则大幅影响局域网工作整个局域网都被广播包占据另则攻击软件Software通常会设定更高频率广播包误导局域网计算机效果仍然有限此外
ARP echo般是发送网关及私服对照信息对于防止局域网计算机被骗有效果对于路由器没有效果仍需作绑定动作才可PK赛的“ARP绑定”
ARP echo
作法是不断提醒计算机正确ARP对照表ARP绑定则是针对ARP协议“思想不坚定“基本问题来加以解决Qno侠诺技术服务人员认为ARP绑定作法等于是从基本上给这个快递员培训让他把正确人名及地址记下来再也不受其它人信息干扰由于快递员脑中记住了这个对照表因此完全不会受到有心人士干扰能有效地完成工作在这种情况下无论如何都可以防止因受到攻击而掉线情况发生但是ARP绑定并不是万灵药
还需要作好才有完全效果第即使这个快递员思想正确不受影响但是攻击者网络包还是会小幅影响局域网部份运作网管必须通过网络监控或扫瞄思路方法找出攻击者加以去除;第 2必须作双向绑定才有完全效果只作路由器端绑定效果有限般计算机仍会被欺骗而发生掉包或掉线情况双向绑定
解决思路方法最为网管不喜欢就是必须台台加以绑定增加工作量但是从以上介绍说明可知道只有双向绑定才能有效果地解决ARP攻击问题而不会发生防制效果不佳、局域网效率受影响、影响路由器效能或影响服务器效能缺点也就是说双向绑定是个硬工夫可以较全面性地解决现在及未来ARP攻击问题网管为了时省事而采取片面ARP echo解决方式未来还是要回来解决这个问题ARP攻击防制 思路方法的侠诺“ARP双向绑定”图示介绍说明
另外
对于有自动通过局域网安装软件Software网络例如网吧收费系统、无盘系统都可以透过自动批次档自动在开机时完成绑定工作网管只要撰写个统批次文件
即可不必配置这些信息可以很容易地在互联网上通过搜索找到或者是向Qno侠诺技术服务人员索取即可2、现阶段较佳解决方案——双向绑定
以上以思想不坚定
快递员情况介绍说明了常见ARP攻击防制思路方法ARP攻击利用就是ARP协议意志不坚只有以培训方式让ARP协议意志坚定明白正确工作思路方法才能从根本解决问题只是依赖频繁提醒快递员正确作事思路方法但是没有能从快递员意志不坚特点着手就好像只管不教最终大家都很累但是效果仍有限Qno侠诺
技术服务人员建议面对这种新兴攻击取巧用省事方式准备最后结果可能是费事又不管用必须重新来过ARP双向绑定虽然对网管带来定工作量但是其效果确是从根本上有效而且网管也可参考自动批次档作法加快配置自动化进行更有效地对抗ARP攻击篇文章: 图文详解 WINRAR自解压跨站攻击漏洞篇文章: 认识黑客入侵利器 嗅探软件Software逐个了解
最新评论