完全處理局域網(wǎng)ARP攻擊

一般ARP攻擊的對(duì)治方法

現(xiàn)在最常用的基本對(duì)治方法是“ARP雙向綁定”。

由于ARP攻擊往往不是病毒造成的， 而是合法運(yùn)行的程序（外掛、網(wǎng)頁）造成的， 所殺毒軟件多數(shù)時(shí)候束手無策。

所謂“雙向綁定”， 就是再路由器上綁定ARP表的同時(shí)， 在每臺(tái)電腦上也綁定一些常用的ARP表項(xiàng)。

“ARP雙向綁定”能夠防御輕微的、手段不高明的ARP攻擊。 ARP攻擊程序如果沒有試圖去更改綁定的ARP表項(xiàng)， 那么ARP攻擊就不會(huì)成功；如果攻擊手段不劇烈， 也欺騙不了路由器， 這樣我們就能夠防住50％ARP攻擊。

但是現(xiàn)在ARP攻擊的程序往往都是合法運(yùn)行的， 所以能夠合法的更改電腦的ARP表項(xiàng)。 在現(xiàn)在ARP雙向綁定流行起來之后， 攻擊程序的作者也提高了攻擊手段， 攻擊的方法更綜合， 另外攻擊非常頻密， 僅僅進(jìn)行雙向綁定已經(jīng)不能夠應(yīng)付兇狠的ARP攻擊了， 仍然很容易出現(xiàn)掉線。

于是我們?cè)诼酚善髦屑尤肓?ldquo;ARP攻擊主動(dòng)防御”的功能。 這個(gè)功能是在路由器ARP綁定的基礎(chǔ)上實(shí)現(xiàn)的， 原理是：當(dāng)網(wǎng)內(nèi)受到錯(cuò)誤的ARP廣播包攻擊時(shí)， 路由器立即廣播正確的ARP包去修正和消除攻擊包的影響。 這樣我們就解決了掉線的問題， 但是在最兇悍的ARP攻擊發(fā)生時(shí)， 仍然發(fā)生了問題----當(dāng)ARP攻擊很頻密的時(shí)候， 就需要路由器發(fā)送更頻密的正確包去消除影響。 雖然不掉線了， 但是卻出現(xiàn)了上網(wǎng)“卡”的問題。

所以， 我們認(rèn)為， 依靠路由器實(shí)現(xiàn)“ARP攻擊主動(dòng)防御”， 也只能夠解決80％的問題。

為了徹底消除ARP攻擊， 我們?cè)诖嘶�礎(chǔ)上有增加了“ARP攻擊源攻擊跟蹤”的功能。 對(duì)于剩下的強(qiáng)悍的ARP攻擊， 我采用“日志”功能， 提供信息方便用戶跟蹤攻擊源， 這樣用戶通過臨時(shí)切斷攻擊電腦或者封殺發(fā)出攻擊的程序， 能夠解決問題。

經(jīng)濟(jì)方案

我們只是中心采用能夠大量綁定ARP和進(jìn)行ARP攻擊防御的交換機(jī)――Netcore 7324NSW， 這款交換機(jī)能夠做到ARP綁定條目可以達(dá)到1000條， 因此基本上可以對(duì)整網(wǎng)的ARP進(jìn)行綁定， 同時(shí)能杜絕任何非法ARP包在主交換機(jī)進(jìn)行傳播。

這樣如果在強(qiáng)力的ARP攻擊下， 我們觀察到的現(xiàn)象是：ARP攻擊只能影響到同一個(gè)分支交換機(jī)上的電腦， 這樣可能被攻擊到的范圍就大大縮小了。 當(dāng)攻擊發(fā)生時(shí)， 不可能造成整個(gè)網(wǎng)絡(luò)的問題。

在此基礎(chǔ)上， 我們?cè)傺a(bǔ)充“日志”功能和“ARP主動(dòng)防御”功能， ARP攻擊也可以被完美的解決。

ARP攻擊最新動(dòng)態(tài)

最近一段時(shí)間， 各網(wǎng)吧發(fā)現(xiàn)的ARP攻擊已經(jīng)升級(jí)， 又一波ARP攻擊的高潮來臨。

這次ARP攻擊發(fā)現(xiàn)的特征有：

1、 速度快、效率高， 大概在10－20秒的時(shí)間內(nèi)， 能夠造成300臺(tái)規(guī)模的電腦掉線。

2、 不易發(fā)現(xiàn)。 在攻擊完成后， 立即停止攻擊并更正ARP信息。 如果網(wǎng)內(nèi)沒有日志功能， 再去通過ARP命令觀察， 已經(jīng)很難發(fā)現(xiàn)攻擊痕跡。

3、 能夠破解最新的XP和2000的ARP補(bǔ)丁， 微軟提供的補(bǔ)丁很明顯在這次攻擊很脆弱， 沒有作用。

4、 介質(zhì)變化， 這次攻擊的來源來自私服程序本身（不是外掛）和P2P程序。

徹底解決ARP攻擊

事實(shí)上， 由于路由器是整個(gè)局域網(wǎng)的出口， 而ARP攻擊是以整個(gè)局域網(wǎng)為目標(biāo)， 當(dāng)ARP攻擊包已經(jīng)達(dá)到路由器的時(shí)候， 影響已經(jīng)照成。 所以由路由器來承擔(dān)防御ARP攻擊的任務(wù)只是權(quán)宜之計(jì)， 并不能很好的解決問題。

我們要真正消除ARP攻擊的隱患， 安枕無憂， 必須轉(zhuǎn)而對(duì)“局域網(wǎng)核心”――交換機(jī)下手。 由于任何ARP包， 都必須經(jīng)由交換機(jī)轉(zhuǎn)發(fā)， 才能達(dá)到被攻擊目標(biāo)， 只要交換機(jī)據(jù)收非法的ARP包， 哪么ARP攻擊就不能造成任何影響。

我們提出一個(gè)真正嚴(yán)密的防止ARP攻擊的方案， 就是在每臺(tái)接入交換機(jī)上面實(shí)現(xiàn)ARP綁定， 并且過濾掉所有非法的ARP包。 這樣可以讓ARP攻擊足不能出戶， 在局域網(wǎng)內(nèi)完全消除了ARP攻擊。

因?yàn)樾枰�每臺(tái)交換機(jī)都具有ARP綁定和相關(guān)的安全功能， 這樣的方案無疑價(jià)格是昂貴的， 所以我們提供了一個(gè)折衷方案。