巧論ARP攻擊防制方法之虛虛實實

ARP欺騙/攻擊反復(fù)襲擊， 是近來網(wǎng)絡(luò)行業(yè)普遍了解的現(xiàn)象， 隨著ARP攻擊的不斷升級， 不同的解決方案在市場上流傳。 但是筆者最近發(fā)現(xiàn)， 有一些方案， 從短期看來似乎有效， 實際上對于真正的ARP攻擊發(fā)揮不了作用， 也降低局域網(wǎng)工作效率。 Qno俠諾的技術(shù)服務(wù)人員接到很多用戶反應(yīng)說有些ARP防制方法很容易操作和實施， 但經(jīng)過實際深入了解后， 發(fā)現(xiàn)長期效果都不大。

對于ARP攻擊防制， Qno俠諾技術(shù)服務(wù)人員的建議， 最好的方法是先踏踏實實把基本防制工作做好， 才是根本解決的方法。 由于市場上的解決方式眾多， 我們無法一一加以說明優(yōu)劣， 因此本文解釋了ARP攻擊防制的基本思想。 我們認為讀者如果能了解這個基本思想， 就能自行判斷何種防制方式有效， 也能了解為何雙向綁定是一個較全面又持久的解決方式。

一、不堅定的ARP協(xié)議一般計算機中的原始的ARP協(xié)議， 很像一個思想不堅定， 容易被其它人影響的人， ARP欺騙/攻擊就是利用這個特性， 誤導(dǎo)計算機作出錯誤的行為。 ARP攻擊的原理， 互聯(lián)網(wǎng)上很容易找到， 這里不再覆述。 原始的ARP協(xié)議運作， 會附在局域網(wǎng)接收的廣播包或是ARP詢問包， 無條件覆蓋本機緩存中的ARP/MAC對照表。 這個特性好比一個意志不堅定的人， 聽了每一個人和他說話都信以為真， 并立刻以最新聽到的信息作決定。

就像一個沒有計劃的快遞員， 想要送信給“張三”， 只在馬路上問“張三住那兒？”， 并投遞給最近和他說“我就是！”或“張三住那間！”， 來決定如何投遞一樣。 在一個人人誠實的地方， 快遞員的工作還是能切實地進行；但若是旁人看快遞物品值錢， 想要欺騙取得的話， 快遞員這種工作方式就會帶來混亂了。

我們再回來看ARP攻擊和這個意志不堅定快遞員的關(guān)系。 常見ARP攻擊對象有兩種， 一是網(wǎng)絡(luò)網(wǎng)關(guān)， 也就是路由器， 二是局域網(wǎng)上的計算機， 也就是一般用戶。 攻擊網(wǎng)絡(luò)網(wǎng)關(guān)就好比發(fā)送錯誤的地址信息給快遞員， 讓快遞員整個工作大亂， 所有信件無法正常送達；而攻擊一般計算機就是直接和一般人謊稱自己就是快遞員， 讓一般用戶把需要傳送物品傳送給發(fā)動攻擊的計算機。

由于一般的計算機及路由器的ARP協(xié)議的意志都不堅定， 因此只要有惡意計算機在局域網(wǎng)持續(xù)發(fā)出錯誤的ARP訊息， 就會讓計算機及路由器信以為真， 作出錯誤的傳送網(wǎng)絡(luò)包動作。 一般的ARP就是以這樣的方式， 造成網(wǎng)絡(luò)運作不正常， 達到盜取用戶密碼或破壞網(wǎng)絡(luò)運作的目的。 針對ARP攻擊的防制， 常見的方法， 可以分為以下三種作法：

1、利用ARP echo傳送正確的ARP訊息：通過頻繁地提醒正確的ARP對照表， 來達到防制的效果。

2、利用綁定方式， 固定ARP對照表不受外來影響：通過固定正確的ARP對照表， 來達到防制的效果。

3、舍棄ARP協(xié)議， 采用其它尋址協(xié)議：不采用ARP作為傳送的機制， 而另行使用其它協(xié)議例如PPPoE方式傳送。

以上三種方法中， 前兩種方法較為常見， 第三種方法由于變動較大， 適用于技術(shù)能力較佳的應(yīng)用。 下面針對前兩種方法加以說明。

PK 賽之“ARP echo”

ARP echo是最早開發(fā)出來的ARP攻擊解決方案， 但隨著ARP攻擊的發(fā)展， 漸漸失去它的效果。 現(xiàn)在， 這個方法不但面對攻擊沒有防制效果， 還會降低局域網(wǎng)運作的效能， 但是很多用戶仍然以這個方法來進行防制。 以前面介紹的思想不堅定的快遞員的例子來說， ARP echo的作法， 等于是時時用電話提醒快遞員正確的發(fā)送對象及地址， 減低他被鄰近的各種信息干擾的情況。

但是這種作法， 明顯有幾個問題：第一， 即使時時提醒， 但由于快遞員意志不堅定， 仍會有部份的信件因為要發(fā)出時剛好收到錯誤的信息， 以錯誤的方式送出去；這種情況如果是錯誤的信息頻率特高， 例如有一個人時時在快遞員身邊連續(xù)提供信息， 即使打電話提醒也立刻被覆蓋， 效果就不好；第二， 由于必須時時提醒， 而且為了保證提醒的效果好， 還要加大提醒的間隔時間， 以防止被覆蓋， 就好比快遞員一直忙于接聽總部打來的電話， 根本就沒有時間可以發(fā)送信件， 耽誤了正事；第三， 還要專門指派一位人時時打電話給快遞員提醒， 等于要多派一個人手負責(zé)， 而且持續(xù)地提醒， 這個人的工作也很繁重。

第二頁

<--iTingWangTag:content-->

以ARP echo方式對應(yīng)ARP攻擊， 也會發(fā)生相似的情況。 第一， 面對高頻率的新式ARP攻擊， ARP echo發(fā)揮不了效果， 掉線斷網(wǎng)的情況仍舊會發(fā)生。 ARP echo的方式防制的對早期以盜寶為目的的攻擊軟件有效果， 但碰到最近以攻擊為手段的攻擊軟件則公認是沒有效果的。 第二， ARP echo手段必須在局域網(wǎng)上持續(xù)發(fā)出廣播網(wǎng)絡(luò)包， 占用局域網(wǎng)帶寬， 使得局域網(wǎng)工作的能力降低， 整個局域網(wǎng)的計算機及交換機時時都在處理ARP echo廣播包， 還沒受到攻擊局域網(wǎng)就開始卡了。 第三， 必須在局域網(wǎng)有一臺負責(zé)負責(zé)發(fā)ARP echo廣播包的設(shè)備， 不管是路由器、服務(wù)器或是計算機， 由于發(fā)包是以一秒數(shù)以百計的方式來發(fā)送， 對該設(shè)備都是很大的負擔(dān)。

圖一：ARP攻擊防制 方法之“ARP echo”圖示說明

常見的ARP echo處理手法有兩種， 一種是由路由器持續(xù)發(fā)送， 另一則是在計算機或服務(wù)器安裝軟件發(fā)送。 路由器持續(xù)發(fā)送的缺點是路由器原本的工作就很忙， 因此無法發(fā)送高頻率的廣播包， 被覆蓋掉的機會很大， 因此面對新型的ARP攻擊防制效果小。 因此， 有些解決方法， 就是拿ARP攻擊的軟件來用， 只是持續(xù)發(fā)出正確的網(wǎng)關(guān)、服務(wù)器對照表， 安裝在服務(wù)器或是計算機上， 由于服務(wù)器或是計算機運算能力較強， 可以同一時間內(nèi)發(fā)出更多廣播包， 效果較大， 但是這種作法一則大幅影響局域網(wǎng)工作， 因為整個局域網(wǎng)都被廣播包占據(jù)， 另則攻擊軟件通常會設(shè)定更高頻率的廣播包， 誤導(dǎo)局域網(wǎng)計算機， 效果仍然有限。

此外， ARP echo一般是發(fā)送網(wǎng)關(guān)及私服的對照信息， 對于防止局域網(wǎng)計算機被騙有效果， 對于路由器沒有效果， 仍需作綁定的動作才可。

第三頁

<--iTingWangTag:content-->

PK賽之“ARP綁定”

ARP echo的作法是不斷提醒計算機正確的ARP對照表， ARP綁定則是針對ARP協(xié)議“思想不堅定“的基本問題來加以解決。 Qno俠諾技術(shù)服務(wù)人員認為， ARP綁定的作法， 等于是從基本上給這個快遞員培訓(xùn)， 讓他把正確的人名及地址記下來， 再也不受其它人的信息干擾。 由于快遞員腦中記住了這個對照表， 因此完全不會受到有心人士的干擾， 能有效地完成工作。 在這種情況下， 無論如何都可以防止因受到攻擊而掉線的情況發(fā)生。

但是ARP綁定并不是萬靈藥， 還需要作的好才有完全的效果。 第一， 即使這個快遞員思想正確， 不受影響， 但是攻擊者的網(wǎng)絡(luò)包還是會小幅影響局域網(wǎng)部份運作， 網(wǎng)管必須通過網(wǎng)絡(luò)監(jiān)控或掃瞄的方法， 找出攻擊者加以去除；第二， 必須作雙向綁定才有完全的效果， 只作路由器端綁定效果有限， 一般計算機仍會被欺騙， 而發(fā)生掉包或掉線的情況。

雙向綁定的解決方法， 最為網(wǎng)管不喜歡的就是必須一臺一臺加以綁定， 增加工作量。 但是從以上的說明可知道， 只有雙向綁定才能有效果地解決ARP攻擊的問題， 而不會發(fā)生防制效果不佳、局域網(wǎng)效率受影響、影響路由器效能或影響服務(wù)器效能的缺點。 也就是說雙向綁定是個硬工夫， 可以較全面性地解決現(xiàn)在及未來ARP攻擊的問題， 網(wǎng)管為了一時的省事， 而采取片面的ARP echo解決方式， 未來還是要回來解決這個問題。

圖二：ARP攻擊防制 方法之俠諾“ARP雙向綁定”圖示說明

另外， 對于有自動通過局域網(wǎng)安裝軟件的網(wǎng)絡(luò)， 例如網(wǎng)吧的收費系統(tǒng)、無盤系統(tǒng)， 都可以透過自動的批次檔， 自動在開機時完成綁定的工作， 網(wǎng)管只要撰寫一個統(tǒng)一的批次文件程序即可， 不必一一配置。 這些信息可以很容易地在互聯(lián)網(wǎng)上通過搜索找到或者是向Qno俠諾的技術(shù)服務(wù)人員索取即可。

二、現(xiàn)階段較佳解決方案——雙向綁定以上以思想不堅定的快遞員情況， 說明了常見的ARP攻擊防制方法。 ARP攻擊利用的就是ARP協(xié)議的意志不堅， 只有以培訓(xùn)的方式讓ARP協(xié)議的意志堅定， 明白正確的工作方法， 才能從根本解決問題。 只是依賴頻繁的提醒快遞員正確的作事方法， 但是沒有能從快遞員意志不堅的特點著手， 就好像只管不教， 最終大家都很累， 但是效果仍有限。

Qno俠諾的技術(shù)服務(wù)人員建議， 面對這種新興攻擊， 取巧用省事的方式準(zhǔn)備， 最后的結(jié)果可能是費事又不管用， 必須重新來過。 ARP雙向綁定雖然對網(wǎng)管帶來一定的工作量， 但是其效果確是從根本上有效， 而且網(wǎng)管也可參考自動批次檔的作法， 加快配置自動化的進行， 更有效地對抗ARP攻擊。