|
防治ARP攻擊方法——“ARP雙向綁定”
所謂“雙向綁定”�,就是再路由器上綁定ARP表的同時(shí),在每臺(tái)電腦上也綁定一些常用的ARP表項(xiàng)���。
“ARP雙向綁定”能夠防御輕微的���、手段不高明的ARP攻擊���。ARP攻擊程序如果沒(méi)有試圖去更改綁定的ARP表項(xiàng),那么ARP攻擊就不會(huì)成功��;如果攻擊手段不劇烈���,也欺騙不了路由器����,這樣我們就能夠防住50%ARP攻擊����。
但是現(xiàn)在ARP攻擊的程序往往都是合法運(yùn)行的,所以能夠合法的更改電腦的ARP表項(xiàng)����。在現(xiàn)在ARP雙向綁定流行起來(lái)之后��,攻擊程序的作者也提高了攻擊手段��,攻擊的方法更綜合,另外攻擊非常頻密����,僅僅進(jìn)行雙向綁定已經(jīng)不能夠應(yīng)付兇狠的ARP攻擊了,仍然很容易出現(xiàn)掉線�。
于是我們?cè)诼酚善髦屑尤肓?ldquo;ARP攻擊主動(dòng)防御”的功能。這個(gè)功能是在路由器ARP綁定的基礎(chǔ)上實(shí)現(xiàn)的�,原理是:當(dāng)網(wǎng)內(nèi)受到錯(cuò)誤的ARP廣播包攻擊時(shí),路由器立即廣播正確的ARP包去修正和消除攻擊包的影響�。這樣我們就解決了掉線的問(wèn)題,但是在最兇悍的ARP攻擊發(fā)生時(shí)�,仍然發(fā)生了問(wèn)題----當(dāng)ARP攻擊很頻密的時(shí)候,就需要路由器發(fā)送更頻密的正確包去消除影響�。雖然不掉線了,但是卻出現(xiàn)了上網(wǎng)“卡”的問(wèn)題��。所以�,我們認(rèn)為,依靠路由器實(shí)現(xiàn)“ARP攻擊主動(dòng)防御”�,也只能夠解決80%的問(wèn)題。
為了徹底消除ARP攻擊��,我們?cè)诖嘶A(chǔ)上有增加了“ARP攻擊源攻擊跟蹤”的功能���。對(duì)于剩下的強(qiáng)悍的ARP攻擊��,我采用“日志”功能�����,提供信息方便用戶跟蹤攻擊源����,這樣用戶通過(guò)臨時(shí)切斷攻擊電腦或者封殺發(fā)出攻擊的程序,能夠解決問(wèn)題��。
徹底解決ARP攻擊
事實(shí)上����,由于路由器是整個(gè)局域網(wǎng)的出口,而ARP攻擊是以整個(gè)局域網(wǎng)為目標(biāo)����,當(dāng)ARP攻擊包已經(jīng)達(dá)到路由器的時(shí)候,影響已經(jīng)照成�。所以由路由器來(lái)承擔(dān)防御ARP攻擊的任務(wù)只是權(quán)宜之計(jì),并不能很好的解決問(wèn)題�。
我們要真正消除ARP攻擊的隱患,安枕無(wú)憂�,必須轉(zhuǎn)而對(duì)“局域網(wǎng)核心”――交換機(jī)下手�。由于任何ARP包�,都必須經(jīng)由交換機(jī)轉(zhuǎn)發(fā)�����,才能達(dá)到被攻擊目標(biāo)�����,只要交換機(jī)據(jù)收非法的ARP包��,哪么ARP攻擊就不能造成任何影響���。
我們提出一個(gè)真正嚴(yán)密的防止ARP攻擊的方案�����,就是在每臺(tái)接入交換機(jī)上面實(shí)現(xiàn)ARP綁定��,并且過(guò)濾掉所有非法的ARP包�����。這樣可以讓ARP攻擊足不能出戶�����,在局域網(wǎng)內(nèi)完全消除了ARP攻擊�。
因?yàn)樾枰颗_(tái)交換機(jī)都具有ARP綁定和相關(guān)的安全功能,這樣的方案無(wú)疑價(jià)格是昂貴的���,所以我們提供了一個(gè)折衷方案���。
ARP攻擊防治經(jīng)濟(jì)方案
我們只是中心采用能夠大量綁定ARP和進(jìn)行ARP攻擊防御的交換機(jī)――Netcore7324NSW,這款交換機(jī)能夠做到ARP綁定條目可以達(dá)到1000條���,因此基本上可以對(duì)整網(wǎng)的ARP進(jìn)行綁定���,同時(shí)能杜絕任何非法ARP包在主交換機(jī)進(jìn)行傳播。
這樣如果在強(qiáng)力的ARP攻擊下�����,我們觀察到的現(xiàn)象是:ARP攻擊只能影響到同一個(gè)分支交換機(jī)上的電腦���,這樣可能被攻擊到的范圍就大大縮小了���。當(dāng)攻擊發(fā)生時(shí)���,不可能造成整個(gè)網(wǎng)絡(luò)的問(wèn)題。
在此基礎(chǔ)上��,我們?cè)傺a(bǔ)充“日志”功能和“ARP主動(dòng)防御”功能�,ARP攻擊也可以被完美的解決�����。
ARP攻擊最新動(dòng)態(tài)
最近一段時(shí)間�����,各網(wǎng)吧發(fā)現(xiàn)的ARP攻擊已經(jīng)升級(jí)�����,又一波ARP攻擊的高潮來(lái)臨���。
這次ARP攻擊發(fā)現(xiàn)的特征有:
1���、速度快、效率高��,大概在10-20秒的時(shí)間內(nèi),能夠造成300臺(tái)規(guī)模的電腦掉線��。
2���、不易發(fā)現(xiàn)��。在攻擊完成后�,立即停止攻擊并更正ARP信息���。如果網(wǎng)內(nèi)沒(méi)有日志功能�,再去通過(guò)ARP命令觀察�����,已經(jīng)很難發(fā)現(xiàn)攻擊痕跡�。
3、能夠破解最新的XP和2000的ARP補(bǔ)丁��,微軟提供的補(bǔ)丁很明顯在這次攻擊很脆弱�,沒(méi)有作用。
4�����、介質(zhì)變化,這次攻擊的來(lái)源來(lái)自私服程序本身(不是外掛)和P2P程序�����。
ARP攻擊的一般防治方法就為大家介紹完了��,在你試用的過(guò)程中相信會(huì)起到很不錯(cuò)的防御效果�����。
本文出自:億恩科技【www.riomediacenter.com】
服務(wù)器租用/服務(wù)器托管中國(guó)五強(qiáng)�����!虛擬主機(jī)域名注冊(cè)頂級(jí)提供商�!15年品質(zhì)保障!--億恩科技[ENKJ.COM]
|
香港服務(wù)器租用
美國(guó)服務(wù)器租用
電信骨干機(jī)房
聯(lián)通骨干機(jī)房
0371-60135900
