PK 賽之"ARP echo"

ARP echo是最早開發(fā)出來的ARP攻擊解決方案，但隨著ARP攻擊的發(fā)展，漸漸失去它的效果?，F(xiàn)在，這個(gè)方法不但面對(duì)攻擊沒有防制效果，還會(huì)降低局域網(wǎng)運(yùn)作的效能，但是很多用戶仍然以這個(gè)方法來進(jìn)行防制。以前面介紹的思想不堅(jiān)定的快遞員的例子來說，ARP echo的作法，等于是時(shí)時(shí)用電話提醒快遞員正確的發(fā)送對(duì)象及地址，減低他被鄰近的各種信息干擾的情況。

但是這種作法，明顯有幾個(gè)問題：第一，即使時(shí)時(shí)提醒，但由于快遞員意志不堅(jiān)定，仍會(huì)有部份的信件因?yàn)橐l(fā)出時(shí)剛好收到錯(cuò)誤的信息，以錯(cuò)誤的方式送出去；這種情況如果是錯(cuò)誤的信息頻率特高，例如有一個(gè)人時(shí)時(shí)在快遞員身邊連續(xù)提供信息，即使打電話提醒也立刻被覆蓋，效果就不好；第二，由于必須時(shí)時(shí)提醒，而且為了保證提醒的效果好，還要加大提醒的間隔時(shí)間，以防止被覆蓋，就好比快遞員一直忙于接聽總部打來的電話，根本就沒有時(shí)間可以發(fā)送信件，耽誤了正事；第三，還要專門指派一位人時(shí)時(shí)打電話給快遞員提醒，等于要多派一個(gè)人手負(fù)責(zé)，而且持續(xù)地提醒，這個(gè)人的工作也很繁重。

以ARP echo方式對(duì)應(yīng)ARP攻擊，也會(huì)發(fā)生相似的情況。第一，面對(duì)高頻率的新式ARP攻擊，ARP echo發(fā)揮不了效果，掉線斷網(wǎng)的情況仍舊會(huì)發(fā)生。ARP echo的方式防制的對(duì)早期以盜寶為目的的攻擊軟件有效果，但碰到最近以攻擊為手段的攻擊軟件則公認(rèn)是沒有效果的。第二，ARP echo手段必須在局域網(wǎng)上持續(xù)發(fā)出廣播網(wǎng)絡(luò)包，占用局域網(wǎng)帶寬，使得局域網(wǎng)工作的能力降低，整個(gè)局域網(wǎng)的計(jì)算機(jī)及交換機(jī)時(shí)時(shí)都在處理ARP echo廣播包，還沒受到攻擊局域網(wǎng)就開始卡了。第三，必須在局域網(wǎng)有一臺(tái)負(fù)責(zé)負(fù)責(zé)發(fā)ARP echo廣播包的設(shè)備，不管是路由器、服務(wù)器或是計(jì)算機(jī)，由于發(fā)包是以一秒數(shù)以百計(jì)的方式來發(fā)送，對(duì)該設(shè)備都是很大的負(fù)擔(dān)。

圖一：ARP攻擊防制方法-----"ARP echo"

常見的ARP echo處理手法有兩種，一種是由路由器持續(xù)發(fā)送，另一則是在計(jì)算機(jī)或服務(wù)器安裝軟件發(fā)送。路由器持續(xù)發(fā)送的缺點(diǎn)是路由器原本的工作就很忙，因此無法發(fā)送高頻率的廣播包，被覆蓋掉的機(jī)會(huì)很大，因此面對(duì)新型的ARP攻擊防制效果小。因此，有些解決方法，就是拿ARP攻擊的軟件來用，只是持續(xù)發(fā)出正確的網(wǎng)關(guān)、服務(wù)器對(duì)照表，安裝在服務(wù)器或是計(jì)算機(jī)上，由于服務(wù)器或是計(jì)算機(jī)運(yùn)算能力較強(qiáng)，可以同一時(shí)間內(nèi)發(fā)出更多廣播包，效果較大，但是這種作法一則大幅影響局域網(wǎng)工作，因?yàn)檎麄€(gè)局域網(wǎng)都被廣播包占據(jù)，另則攻擊軟件通常會(huì)設(shè)定更高頻率的廣播包，誤導(dǎo)局域網(wǎng)計(jì)算機(jī)，效果仍然有限。

此外，ARP echo一般是發(fā)送網(wǎng)關(guān)及MAC的對(duì)照信息，對(duì)于防止局域網(wǎng)計(jì)算機(jī)被騙有效果，對(duì)于路由器沒有效果，仍需作綁定的動(dòng)作才可。

PK 賽之"ARP綁定"

ARP echo的作法是不斷提醒計(jì)算機(jī)正確的ARP對(duì)照表，ARP綁定則是針對(duì)ARP協(xié)議"思想不堅(jiān)定"的基本問題來加以解決。ARP綁定的作法，等于是從基本上給這個(gè)快遞員培訓(xùn)，讓他把正確的人名及地址記下來，再也不受其它人的信息干擾。由于快遞員腦中記住了這個(gè)對(duì)照表，因此完全不會(huì)受到有心人士的干擾，能有效地完成工作。在這種情況下，無論如何都可以防止因受到攻擊而掉線的情況發(fā)生。

但是ARP綁定并不是萬靈藥，還需要作的好才有完全的效果。第一，即使這個(gè)快遞員思想正確，不受影響，但是攻擊者的網(wǎng)絡(luò)包還是會(huì)小幅影響局域網(wǎng)部份運(yùn)作，網(wǎng)管必須通過網(wǎng)絡(luò)監(jiān)控或掃瞄的方法，找出攻擊者加以去除；第二，必須作雙向綁定才有完全的效果，只作路由器端綁定效果有限，一般計(jì)算機(jī)仍會(huì)被欺騙，而發(fā)生掉包或掉線的情況。

雙向綁定的解決方法，最為網(wǎng)管不喜歡的就是必須一臺(tái)一臺(tái)加以綁定，增加工作量。但是從以上的說明可知道，只有雙向綁定才能有效果地解決ARP攻擊的問題，而不會(huì)發(fā)生防制效果不佳、局域網(wǎng)效率受影響、影響路由器效能或影響服務(wù)器效能的缺點(diǎn)。也就是說雙向綁定是個(gè)硬工夫，可以較全面性地解決現(xiàn)在及未來ARP攻擊的問題，網(wǎng)管為了一時(shí)的省事，而采取片面的ARP echo解決方式，未來還是要回來解決這個(gè)問題。

圖二：ARP攻擊防制方法-----"ARP雙向綁定"

ARP攻擊防護(hù)的方法就為大家介紹完了，希望大家已經(jīng)掌握了ARP echo和ARP雙向綁定這兩種方法。

【編輯推薦】

1. 淺析讓內(nèi)網(wǎng)安全問題
2. 剖析ARP緩存感染攻擊
3. 對(duì)黑金ARP病毒原理的闡述
4. 深入解析ARP欺騙攻擊防護(hù)之ARP
5. 深入解析ARP欺騙攻擊防護(hù)之根本防護(hù)
6. Windows Vista有效防止ARP病毒 圖解