|
防治ARP攻擊方法——“ARP雙向綁定”
所謂“雙向綁定”�����,就是再路由器上綁定ARP表的同時�,在每臺電腦上也綁定一些常用的ARP表項(xiàng)����。
“ARP雙向綁定”能夠防御輕微的、手段不高明的ARP攻擊����。ARP攻擊程序如果沒有試圖去更改綁定的ARP表項(xiàng),那么ARP攻擊就不會成功���;如果攻擊手段不劇烈���,也欺騙不了路由器,這樣我們就能夠防住50%ARP攻擊�。
但是現(xiàn)在ARP攻擊的程序往往都是合法運(yùn)行的,所以能夠合法的更改電腦的ARP表項(xiàng)���。在現(xiàn)在ARP雙向綁定流行起來之后�,攻擊程序的作者也提高了攻擊手段��,攻擊的方法更綜合����,另外攻擊非常頻密�����,僅僅進(jìn)行雙向綁定已經(jīng)不能夠應(yīng)付兇狠的ARP攻擊了����,仍然很容易出現(xiàn)掉線����。
于是我們在路由器中加入了“ARP攻擊主動防御”的功能。這個功能是在路由器ARP綁定的基礎(chǔ)上實(shí)現(xiàn)的�,原理是:當(dāng)網(wǎng)內(nèi)受到錯誤的ARP廣播包攻擊時,路由器立即廣播正確的ARP包去修正和消除攻擊包的影響���。這樣我們就解決了掉線的問題����,但是在最兇悍的ARP攻擊發(fā)生時�����,仍然發(fā)生了問題----當(dāng)ARP攻擊很頻密的時候����,就需要路由器發(fā)送更頻密的正確包去消除影響����。雖然不掉線了���,但是卻出現(xiàn)了上網(wǎng)“卡”的問題。所以���,我們認(rèn)為�,依靠路由器實(shí)現(xiàn)“ARP攻擊主動防御”��,也只能夠解決80%的問題�����。
為了徹底消除ARP攻擊����,我們在此基礎(chǔ)上有增加了“ARP攻擊源攻擊跟蹤”的功能。對于剩下的強(qiáng)悍的ARP攻擊���,我采用“日志”功能��,提供信息方便用戶跟蹤攻擊源���,這樣用戶通過臨時切斷攻擊電腦或者封殺發(fā)出攻擊的程序���,能夠解決問題。
徹底解決ARP攻擊
事實(shí)上�����,由于路由器是整個局域網(wǎng)的出口�����,而ARP攻擊是以整個局域網(wǎng)為目標(biāo)���,當(dāng)ARP攻擊包已經(jīng)達(dá)到路由器的時候�,影響已經(jīng)照成����。所以由路由器來承擔(dān)防御ARP攻擊的任務(wù)只是權(quán)宜之計(jì),并不能很好的解決問題��。
我們要真正消除ARP攻擊的隱患�����,安枕無憂,必須轉(zhuǎn)而對“局域網(wǎng)核心”――交換機(jī)下手��。由于任何ARP包���,都必須經(jīng)由交換機(jī)轉(zhuǎn)發(fā)����,才能達(dá)到被攻擊目標(biāo)�,只要交換機(jī)據(jù)收非法的ARP包���,哪么ARP攻擊就不能造成任何影響�。
我們提出一個真正嚴(yán)密的防止ARP攻擊的方案�����,就是在每臺接入交換機(jī)上面實(shí)現(xiàn)ARP綁定��,并且過濾掉所有非法的ARP包�����。這樣可以讓ARP攻擊足不能出戶,在局域網(wǎng)內(nèi)完全消除了ARP攻擊��。
因?yàn)樾枰颗_交換機(jī)都具有ARP綁定和相關(guān)的安全功能�����,這樣的方案無疑價格是昂貴的��,所以我們提供了一個折衷方案��。
ARP攻擊防治經(jīng)濟(jì)方案
我們只是中心采用能夠大量綁定ARP和進(jìn)行ARP攻擊防御的交換機(jī)――Netcore7324NSW�����,這款交換機(jī)能夠做到ARP綁定條目可以達(dá)到1000條�����,因此基本上可以對整網(wǎng)的ARP進(jìn)行綁定��,同時能杜絕任何非法ARP包在主交換機(jī)進(jìn)行傳播��。
這樣如果在強(qiáng)力的ARP攻擊下���,我們觀察到的現(xiàn)象是:ARP攻擊只能影響到同一個分支交換機(jī)上的電腦��,這樣可能被攻擊到的范圍就大大縮小了�����。當(dāng)攻擊發(fā)生時����,不可能造成整個網(wǎng)絡(luò)的問題。
在此基礎(chǔ)上�,我們再補(bǔ)充“日志”功能和“ARP主動防御”功能,ARP攻擊也可以被完美的解決��。
ARP攻擊最新動態(tài)
最近一段時間����,各網(wǎng)吧發(fā)現(xiàn)的ARP攻擊已經(jīng)升級�����,又一波ARP攻擊的高潮來臨����。
這次ARP攻擊發(fā)現(xiàn)的特征有:
1、速度快��、效率高,大概在10-20秒的時間內(nèi)��,能夠造成300臺規(guī)模的電腦掉線�����。
2�、不易發(fā)現(xiàn)。在攻擊完成后�,立即停止攻擊并更正ARP信息。如果網(wǎng)內(nèi)沒有日志功能���,再去通過ARP命令觀察��,已經(jīng)很難發(fā)現(xiàn)攻擊痕跡��。
3�����、能夠破解最新的XP和2000的ARP補(bǔ)丁�����,微軟提供的補(bǔ)丁很明顯在這次攻擊很脆弱��,沒有作用�����。
4��、介質(zhì)變化��,這次攻擊的來源來自私服程序本身(不是外掛)和P2P程序�。
ARP攻擊的一般防治方法就為大家介紹完了,在你試用的過程中相信會起到很不錯的防御效果����。
本文出自:億恩科技【www.cmtents.com】
服務(wù)器租用/服務(wù)器托管中國五強(qiáng)���!虛擬主機(jī)域名注冊頂級提供商!15年品質(zhì)保障��!--億恩科技[ENKJ.COM]
|
香港服務(wù)器租用
美國服務(wù)器租用
電信骨干機(jī)房
聯(lián)通骨干機(jī)房
0371-60135900
