|
网络中ARP欺骗与攻击反复出现,是近来网络行业普遍关注的现象,随着ARP攻击的不断升级,不同的解决方案也在市面上流行。有些方案表面上看似乎有效,但实际上随着ARP攻击手断更新,它们就发挥不了什么作用,而且还会还会降低局域网的工作效率。 对于防止ARP欺骗攻击,我们认为最有效的方法是先把基本工作做好,本文解释了ARP攻击预防的基本思想。我们认为读者如果能了解这个基本思想,就能了解为何双向绑定是一个较全面又持久的解决方案了。
ARP协议其实就像一个思想不坚定者,容易被其他人影响,ARP欺骗/攻击就是利用这个特性,误导电脑作出错误的选择。就像一个没有计划的快递员,想要送信给“张三”,就在马路上喊“谁是张三?”,并投递给最近和他说“我就是”的人。如果是在一个人人诚实的地方,快递员的工作还能进行下去;但若是旁人看到快递物品值钱,想要骗取的话,快递员这种工作方式就会造成混乱了。 我们再回来看ARP攻击和这个意志不坚定快递员的关系。常见的ARP攻击有两种,一是针对路由器,二是局域网上的电脑,也就是用户。攻击路由器就好比发送错误的地址给快递员,让快递员整个工作大乱,所有信件无法正常送达;而攻击一般电脑就是直接和收件人谎称自己就是邮递员,让用户把需要传送的文件转发给发起攻击的电脑。 由于电脑及路由器的ARP协议意志都不坚定,因此只要有恶意电脑在局域网里持续发出错误的ARP信息,就会让所有的电脑及路由器信以为真,作出错误的传送网络包动作。ARP攻击就是以这样的方式,造成网络运行不正常,达到盗取用户密码或破坏网络运行的目的。而针对ARP攻击的常见预防方法,可以分为以下三种情况: 利用ARP echo传送正确的ARP讯息:通过频繁地比对正确的ARP对照表,来达到防制的效果。 利用绑定方式,固定ARP对照表不受外来影响:通过固定正确的ARP对照表,来达到防制的效果。 舍弃ARP协议,采用其他协议,例如PPPoE方式。 以上三种方案前两种方法较为常见,第三种方法由于变动较大,只针对部分用户使用。 ARP echo是最早设计出来的防ARP攻击解决方案,但随着ARP攻击的升级,它也渐渐失去效果。另外这个方法会降低局域网运行效率。我们还以前面介绍的快递员例子来说明ARP echo的作法,它等于是时时用电话提醒快递员正确的地址,降低被干扰的机率。 这种作法,明显有几个问题:第一,即使时时提醒,仍会有部份信件由于在发出时刚好收到错误的信息,就会以错误的地址送出了;第二,由于必须时时提醒,而且为了保证提醒的效果好,还要减小提醒的时间间隔。这就好比快递员一直忙于接听总部打来的告诉他正确地址的电话,根本就没有时间可以发送信件,耽误了正事; 以ARP echo方式应对ARP攻击,也会发生相似的情况。第一,面对高频率的新式ARP攻击,ARP echo发挥不了效果,断线断网的情况仍时有发生。第二,ARP echo方案必须在局域网上持续发出广播网络包,占用局域网带宽,使得局域网工作效率降低,整个局域网的电脑及交换机时时都在处理ARP echo广播包,还没受到攻击局域网就开始卡了。第三,必须在局域网有一台负责负责发ARP echo广播包的设备。 常见的ARP echo广播包有两种发送方法,一种是由路由器持续发送,另一种是由局域网中电脑上安装的软件发送。由路由器持续发送的缺点是路由器原本的工作就很忙,因此无法发送高频率的广播包,被覆盖掉的机会还是很大。另一种就是采用和ARP攻击同样的方式,在电脑上持续发出正确的APR对照表,但是这种作法大幅影响局域网工作,整个局域网都被广播包占据,效果仍然有限。 此外,ARP echo一般对于防止局域网电脑被骗有效果,但对于路由器没有效果,仍需作绑定的动作才可。 ARP echo的作法是不断提醒电脑正确的ARP对照表,而MAC/IP绑定则是针对ARP协议“思想不坚定“的基本问题来加以解决。我们认为ARP绑定的作法,等于是从基本上给这个快递员培训,让他把正确的人名及位址记下来,不再受其他人的干扰。由于快递员脑中记住了正确的对照表,因此完全不会受到别人的干扰,能有效地完成工作。就可以避免应为因受到攻击而断网的情况。 不过ARP绑定并不是万灵药,还需要做好一些基础工作才有效。第一,即使这个快递员思想正确,不受影响,但是攻击者的网络包还是会小幅影响局域网部份运作,网管必须通过网络监控或扫瞄的方法,找出攻击者加以剔除;第二,必须做双向绑定才完全有效果,如果只作路由器端绑定效果有限,电脑仍会因被欺骗而发生掉包或断线的情况。 双向绑定的方法,就是一台一台加以绑定,这就会增加工作量。但是从上面的说明可知道,只有双向绑定才能有效果地解决ARP攻击的问题。也就是说双向绑定是个细活,可以较全面性地解决现在的ARP攻击的问题,网管如果为了一时的省事,而采取片面的ARP echo解决方式,将来还是会遇见问题的。 |
