1.首先企業(yè)或一個局域有了ARP攻擊,肯定是很麻煩的,這對于管理員來說很頭痛。有防火強或軟件可以查出哪些機器有了ARP前兆,這類防ARP攻擊的軟件本人覺得彩影的比較直觀。既然查出了那些機器就可以隔離那些有ARP攻擊性的機器。然后再對那些機器進(jìn)行清楚ARP攻擊軟件。這是解決的方法之一。
2.在方法之一中我提過隔離機器再進(jìn)行解決。但是隨之問題又來了,從ARP攻擊來源再看,有可能是P2P軟件或網(wǎng)絡(luò)中的一些軟件。怎么確認(rèn)修復(fù)好的機器被同事朋友又下了同樣的帶有攻擊的軟件又來ARP攻擊局域網(wǎng)呢?很難保證,因為局域網(wǎng)的網(wǎng)絡(luò)是開放的。
3.在下面文章中說,雙向綁定,雙向綁定是有一些效果,但是不足以來防止ARP攻擊。有時甚至沒有效果。
4.至于說交換機綁定,如果有這個功能那當(dāng)然很好可以解決,問題是哪個企業(yè)會花那么多錢買那些貴的交換機呢,要知道局域中使用的交換機一般要比路由器多得多。重新購買有綁定功能的交換機肯定是不可行的。成本很很大。
5.綜上所述,我認(rèn)為不如再買一個ARP防火墻的路由器。從硬件上防ARP攻擊。而且只需買一個即可,不用買多個帶有綁定或防ARP攻擊的交換機。
JIM我在這里獻(xiàn)丑了,有文字里面有些說的不對的提議,望大家海函并幫忙修正!歡迎和更多的朋友一起交流!郵件: 359394847@qq.com
一般ARP攻擊的對治方法
$ a3 `7 B! b) g+ Y0 Y$ E! F% u* T現(xiàn)在最常用的基本對治方法是“ARP雙向綁定”。
" s, C: I& ~- Y/ Q3 e由于ARP攻擊往往不是病毒造成的,而是合法運行的程序(外掛、網(wǎng)頁)造成的,所殺毒軟件多數(shù)時候束手無策。
/ v. _+ {) j1 ]# V8 ^2 J1 H7 J所謂“雙向綁定”,就是再路由器上綁定ARP表的同時,在每臺電腦上也綁定一些常用的ARP表項。* G& L6 o. O/ J4 ~/ @2 H- f
“ARP雙向綁定”能夠防御輕微的、手段不高明的ARP攻擊。ARP攻擊程序如果沒有試圖去更改綁定的ARP表項,那么ARP攻擊就不會成功;如果攻擊手段不劇烈,也欺騙不了路由器,這樣我們就能夠防住50%ARP攻擊。
6 q- L b, \- S但是現(xiàn)在ARP攻擊的程序往往都是合法運行的,所以能夠合法的更改電腦的ARP表項。在現(xiàn)在ARP雙向綁定流行起來之后,攻擊程序的作者也提高了攻擊手段,攻擊的方法更綜合,另外攻擊非常頻密,僅僅進(jìn)行雙向綁定已經(jīng)不能夠應(yīng)付兇狠的ARP攻擊了,仍然很容易出現(xiàn)掉線。+ k9 w% d& r2 g
于是我們在路由器中加入了“ARP攻擊主動防御”的功能。這個功能是在路由器ARP綁定的基礎(chǔ)上實現(xiàn)的,原理是:當(dāng)網(wǎng)內(nèi)受到錯誤的ARP廣播包攻擊時,路由器立即廣播正確的ARP包去修正和消除攻擊包的影響。這樣我們就解決了掉線的問題,但是在最兇悍的ARP攻擊發(fā)生時,仍然發(fā)生了問題----當(dāng)ARP攻擊很頻密的時候,就需要路由器發(fā)送更頻密的正確包去消除影響。雖然不掉線了,但是卻出現(xiàn)了上網(wǎng)“卡”的問題。# v& h$ S s( Q4 H6 E
所以,我們認(rèn)為,依靠路由器實現(xiàn)“ARP攻擊主動防御”,也只能夠解決80%的問題。
& A N. i5 [6 J7 @4 h. }0 ^0 ]為了徹底消除ARP攻擊,我們在此基礎(chǔ)上有增加了“ARP攻擊源攻擊跟蹤”的功能。對于剩下的強悍的ARP攻擊,我采用“日志”功能,提供信息方便用戶跟蹤攻擊源,這樣用戶通過臨時切斷攻擊電腦或者封殺發(fā)出攻擊的程序,能夠解決問題。
$ }# f3 {$ `$ ?1 g( ?: @徹底解決ARP攻擊1 s# \9 I! N7 w8 P" H2 P5 G R
事實上,由于路由器是整個局域網(wǎng)的出口,而ARP攻擊是以整個局域網(wǎng)為目標(biāo),當(dāng)ARP攻擊包已經(jīng)達(dá)到路由器的時候,影響已經(jīng)照成。所以由路由器來承擔(dān)防御ARP攻擊的任務(wù)只是權(quán)宜之計,并不能很好的解決問題。
! r) T7 u6 h( f2 T4 R我們要真正消除ARP攻擊的隱患,安枕無憂,必須轉(zhuǎn)而對“局域網(wǎng)核心”――交換機下手。由于任何ARP包,都必須經(jīng)由交換機轉(zhuǎn)發(fā),才能達(dá)到被攻擊目標(biāo),只要交換機據(jù)收非法的ARP包,哪么ARP攻擊就不能造成任何影響。
/ B& {; W: `# c& T0 h: {我們提出一個真正嚴(yán)密的防止ARP攻擊的方案,就是在每臺接入交換機上面實現(xiàn)ARP綁定,并且過濾掉所有非法的ARP包。這樣可以讓ARP攻擊足不能出戶,在局域網(wǎng)內(nèi)完全消除了ARP攻擊。
7 b3 } c, z) H+ j% @+ ^1 k, R因為需要每臺交換機都具有ARP綁定和相關(guān)的安全功能,這樣的方案無疑價格是昂貴的,所以我們提供了一個折衷方案。9 n, s9 j, h2 T0 q1 _& n
經(jīng)濟方案
$ W2 H+ q+ p1 T% @$ A我們只是中心采用能夠大量綁定ARP和進(jìn)行ARP攻擊防御的交換機――Netcore 7324NSW,這款交換機能夠做到ARP綁定條目可以達(dá)到1000條,因此基本上可以對整網(wǎng)的ARP進(jìn)行綁定,同時能杜絕任何非法ARP包在主交換機進(jìn)行傳播。; X9 {" e2 m k/ l
這樣如果在強力的ARP攻擊下,我們觀察到的現(xiàn)象是:ARP攻擊只能影響到同一個分支交換機上的電腦,這樣可能被攻擊到的范圍就大大縮小了。當(dāng)攻擊發(fā)生時,不可能造成整個網(wǎng)絡(luò)的問題。, H/ r$ D- r9 @5 ?2 q/ L1 Z* H
在此基礎(chǔ)上,我們再補充“日志”功能和“ARP主動防御”功能,ARP攻擊也可以被完美的解決。
- d, y& _0 g: c/ B8 [ARP攻擊最新動態(tài)7 A, F$ f, B: L/ r5 u7 m* h+ S
最近一段時間,各網(wǎng)吧發(fā)現(xiàn)的ARP攻擊已經(jīng)升級,又一波ARP攻擊的高潮來臨。7 T( U) S! T6 A* x) z
這次ARP攻擊發(fā)現(xiàn)的特征有:% Q3 `8 U m- }
1、 速度快、效率高,大概在10-20秒的時間內(nèi),能夠造成300臺規(guī)模的電腦掉線。
, r" f' f) x8 B- ~: a! d2、 不易發(fā)現(xiàn)。在攻擊完成后,立即停止攻擊并更正ARP信息。如果網(wǎng)內(nèi)沒有日志功能,再去通過ARP命令觀察,已經(jīng)很難發(fā)現(xiàn)攻擊痕跡。
3 m* r' Z# r2 h4 d, h9 t3、 能夠破解最新的XP和2000的ARP補丁,微軟提供的補丁很明顯在這次攻擊很脆弱,沒有作用。0 Q8 ?7 U p7 n( U0 Z. g
4、 介質(zhì)變化,這次攻擊的來源來自私服程序本身(不是外掛)和P2P程序。
億恩科技地址(ADD):鄭州市黃河路129號天一大廈608室 郵編(ZIP):450008 傳真(FAX):0371-60123888
聯(lián)系:億恩小凡
QQ:89317007
電話:0371-63322206
本文出自:億恩科技【1tcdy.com】
服務(wù)器租用/服務(wù)器托管中國五強!虛擬主機域名注冊頂級提供商!15年品質(zhì)保障!--億恩科技[ENKJ.COM]
|