一般计算机IDC机房中的原始的ARP协议,很像一个容易被人影响的人,ARP欺骗/攻击就是利用这个特性,误导计算机作出错误的行为。原始的ARP协议运作,会附在局域网接收的广播包或是ARP询问包,无条件覆盖本机缓存中的ARP/MAC对照表。这个特性好比一个意志不坚定的人,听了每一个人和他说话都信以为真,并立刻以最新听到的信息作决定。常见ARP攻击对象有两种,一是网络网关,也就是路由器,二是局域网上的计算机,也就是一般用户。攻击网络网关就好比发送错误的地址信息给快递员,让快递员整个工作大乱,所有信件无法正常送达;而攻击一般计算机就是直接和一般人谎称自己就是快递员,让一IDC机房般用户把需要传送物品传送给发动攻击的计算机。由于一般的计算机及路由器的ARP协议的意志都不坚定,因此只要有恶意计算机在局域网持续发出错误的ARP讯息,就会让计算机及路由器信以为真,作出错误的传送网络包动作。一般的ARP就是以这样的方式,造成网络运作不正常,达到盗取用户密码或破坏网络运作的目的。针对ARP攻击的防治,常见的方法,可以分为以下三种作法: 1、利用ARP echo传送正确的ARP讯息:通过频繁地提醒正确的ARP对照表,来达到防治的效果; 2、利用绑定方式,固定ARP对照表不受外来影响:通过固定正确的ARP对照表,来达到防治的效果; 3、舍弃ARP协议,采用其它寻址协议:不采用ARP作为传送的机制,而另行使用其它协议例如PPPoE方式传送。 以上三种方法中,IDC机房前两种方法较为常见,第三种方法由于变动较大,适用于技术能力较佳的应用。下面针对前两种方法加以说明。
一、ARP echo
ARP echo是最早开发出来的ARP攻击解决方案,但随着ARP攻击的发展,渐渐失去它的效果。现在,这个方法不但面对攻击没有防治效果,还会降低局域网运作的效能,但是很多用户仍然以这个方法来进行防治。以前面介绍的思想不坚定的快递员的例子来说,ARP echo的作法,等于是时时用电话提醒快递员正确的发送对象及地址,减低他被邻近的各种信息干扰的情况。。
常见的ARP echo处理手法有两种,一种是由路由器持续发送,另一则是在计算机或服务器安装软件发送。路由器持续发送的缺点是路由器原本的工作就很忙,因此无法发送高频率的广播包,被覆盖掉的机会很大,因此面对新型的ARP攻击防治效果小。因此,有些解决方法,就是拿ARP攻击的软件来用,只是持续发出正确的网关、服务器对照表,安装在服务器或是计算机上,由于
服务器或是计算机运算能力较强,可以同一时间内发出更多广播包,效果较大,但是这种作法一则大幅影响局域网工作,因为整个局域网都被广播包占据,另则攻击软件通常会设定更高频率的广播包,误导局域网计算机,效果仍然有限。
此外,ARP echo一般是发送网关及私服的对照信息,对于防止局域网计算机被骗有效果,对于路由器没有效果,仍需作绑定的动作才可IDC机房。
二、ARP绑定
ARP echo的作法是不断提醒计算机正确的ARP对照表,ARP绑定则是针对ARP协议"思想不坚定"的基本问题来加以解决IDC机房。中国网域技术服务人员认为,ARP绑定的作法,等于是从基本上给这个快递员培训,让他把正确的人名及地址记下来,再也不受其它人的信息干扰。由于快递员脑中记住了这个对照表,因此完全不会受到有心人士的干扰,能有效地完成工作。在这种情况下,无论如何都可以防止因受到攻击而掉线的情况发生。
目前较佳解决方案就是MAC双向绑定,虽然对IDC商与运营商带来一定的工作量,但是其效果确是从根本上有效的。据传中国网域网已在上海电信机房开设了首个防ARP欺骗/攻击的主机托管专区,下周开始给新老客户提供免费测试服务,真正做到100%防ARP欺骗/攻击,斩断ARP欺骗/攻击这一新兴黑色产业链,为用户营造稳定、安全的托管环境。
详情请咨询邓小姐:0756-2291117 QQ:634909961
网站ICP备案咨询服务时间:08:30 - 18:00
联系电话:0756-2298225
联系电话7×24小时服务热线
400-883-1238
云主机/VPS:181-9879-9339
虚拟主机:0756-2298225
主机租用/托管:0756-2293555
政务服务:0756-2291199
政务服务:0756-2291117
财务直线:0756-2293777
投诉建议:0756-2298225
公司传真:0756-2293777
技术支持:0756-2298225[珠海]
技术支持:0757-22380002[佛山]
短信服务号:075722380002