IDC機(jī)房也能徹底防arp攻擊
一般計(jì)算機(jī)IDC機(jī)房中的原始的ARP協(xié)議�����,很像一個(gè)容易被人影響的人���,ARP欺騙/攻擊就是利用這個(gè)特性�����,誤導(dǎo)計(jì)算機(jī)作出錯(cuò)誤的行為�����。原始的ARP協(xié)議運(yùn)作���,會(huì)附在局域網(wǎng)接收的廣播包或是ARP詢問包���,無條件覆蓋本機(jī)緩存中的ARP/MAC對(duì)照表。這個(gè)特性好比一個(gè)意志不堅(jiān)定的人��,聽了每一個(gè)人和他說話都信以為真���,并立刻以最新聽到的信息作決定。常見ARP攻擊對(duì)象有兩種�,一是網(wǎng)絡(luò)網(wǎng)關(guān),也就是路由器�����,二是局域網(wǎng)上的計(jì)算機(jī)��,也就是一般用戶�����。攻擊網(wǎng)絡(luò)網(wǎng)關(guān)就好比發(fā)送錯(cuò)誤的地址信息給快遞員�,讓快遞員整個(gè)工作大亂,所有信件無法正常送達(dá);而攻擊一般計(jì)算機(jī)就是直接和一般人謊稱自己就是快遞員�����,讓一IDC機(jī)房般用戶把需要傳送物品傳送給發(fā)動(dòng)攻擊的計(jì)算機(jī)。由于一般的計(jì)算機(jī)及路由器的ARP協(xié)議的意志都不堅(jiān)定�,因此只要有惡意計(jì)算機(jī)在局域網(wǎng)持續(xù)發(fā)出錯(cuò)誤的ARP訊息,就會(huì)讓計(jì)算機(jī)及路由器信以為真�,作出錯(cuò)誤的傳送網(wǎng)絡(luò)包動(dòng)作。一般的ARP就是以這樣的方式�,造成網(wǎng)絡(luò)運(yùn)作不正常,達(dá)到盜取用戶密碼或破壞網(wǎng)絡(luò)運(yùn)作的目的����。針對(duì)ARP攻擊的防治,常見的方法���,可以分為以下三種作法: 1�、利用ARP echo傳送正確的ARP訊息:通過頻繁地提醒正確的ARP對(duì)照表�����,來達(dá)到防治的效果; 2�����、利用綁定方式,固定ARP對(duì)照表不受外來影響:通過固定正確的ARP對(duì)照表��,來達(dá)到防治的效果; 3���、舍棄ARP協(xié)議�����,采用其它尋址協(xié)議:不采用ARP作為傳送的機(jī)制����,而另行使用其它協(xié)議例如PPPoE方式傳送����。 以上三種方法中�,IDC機(jī)房前兩種方法較為常見,第三種方法由于變動(dòng)較大���,適用于技術(shù)能力較佳的應(yīng)用�����。下面針對(duì)前兩種方法加以說明���。
一�����、ARP echo
ARP echo是最早開發(fā)出來的ARP攻擊解決方案��,但隨著ARP攻擊的發(fā)展����,漸漸失去它的效果�����,F(xiàn)在�,這個(gè)方法不但面對(duì)攻擊沒有防治效果,還會(huì)降低局域網(wǎng)運(yùn)作的效能���,但是很多用戶仍然以這個(gè)方法來進(jìn)行防治����。以前面介紹的思想不堅(jiān)定的快遞員的例子來說���,ARP echo的作法����,等于是時(shí)時(shí)用電話提醒快遞員正確的發(fā)送對(duì)象及地址,減低他被鄰近的各種信息干擾的情況����。。
常見的ARP echo處理手法有兩種�,一種是由路由器持續(xù)發(fā)送,另一則是在計(jì)算機(jī)或服務(wù)器安裝軟件發(fā)送��。路由器持續(xù)發(fā)送的缺點(diǎn)是路由器原本的工作就很忙����,因此無法發(fā)送高頻率的廣播包,被覆蓋掉的機(jī)會(huì)很大����,因此面對(duì)新型的ARP攻擊防治效果小���。因此����,有些解決方法����,就是拿ARP攻擊的軟件來用��,只是持續(xù)發(fā)出正確的網(wǎng)關(guān)�����、服務(wù)器對(duì)照表�����,安裝在服務(wù)器或是計(jì)算機(jī)上���,由于
服務(wù)器或是計(jì)算機(jī)運(yùn)算能力較強(qiáng),可以同一時(shí)間內(nèi)發(fā)出更多廣播包����,效果較大,但是這種作法一則大幅影響局域網(wǎng)工作��,因?yàn)檎麄(gè)局域網(wǎng)都被廣播包占據(jù)�,另則攻擊軟件通常會(huì)設(shè)定更高頻率的廣播包,誤導(dǎo)局域網(wǎng)計(jì)算機(jī)��,效果仍然有限�。
此外����,ARP echo一般是發(fā)送網(wǎng)關(guān)及私服的對(duì)照信息�����,對(duì)于防止局域網(wǎng)計(jì)算機(jī)被騙有效果�����,對(duì)于路由器沒有效果�����,仍需作綁定的動(dòng)作才可IDC機(jī)房��。
二�、ARP綁定
ARP echo的作法是不斷提醒計(jì)算機(jī)正確的ARP對(duì)照表,ARP綁定則是針對(duì)ARP協(xié)議"思想不堅(jiān)定"的基本問題來加以解決IDC機(jī)房����。中國網(wǎng)域技術(shù)服務(wù)人員認(rèn)為�����,ARP綁定的作法,等于是從基本上給這個(gè)快遞員培訓(xùn)����,讓他把正確的人名及地址記下來,再也不受其它人的信息干擾�����。由于快遞員腦中記住了這個(gè)對(duì)照表�,因此完全不會(huì)受到有心人士的干擾,能有效地完成工作����。在這種情況下,無論如何都可以防止因受到攻擊而掉線的情況發(fā)生�。
目前較佳解決方案就是MAC雙向綁定,雖然對(duì)IDC商與運(yùn)營商帶來一定的工作量���,但是其效果確是從根本上有效的����。據(jù)傳中國網(wǎng)域網(wǎng)已在上海電信機(jī)房開設(shè)了首個(gè)防ARP欺騙/攻擊的主機(jī)托管專區(qū)���,下周開始給新老客戶提供免費(fèi)測試服務(wù)�,真正做到100%防ARP欺騙/攻擊,斬?cái)郃RP欺騙/攻擊這一新興黑色產(chǎn)業(yè)鏈����,為用戶營造穩(wěn)定、安全的托管環(huán)境���。
詳情請(qǐng)咨詢鄧小姐:0756-2291117 QQ:634909961
問題搜索 : 