如何有效的防止ARP攻擊

1、.：.；ARP欺騙和攻擊問(wèn)題，是企業(yè)網(wǎng)絡(luò)的心腹大患。關(guān)于這個(gè)問(wèn)題的討論曾經(jīng)很深化了，對(duì)ARP攻擊的機(jī)理了解的很透徹，各種防備措施也層出不窮。 但問(wèn)題是，如今真正擺脫ARP問(wèn)題困擾了嗎？從用戶(hù)那里了解到，雖然嘗試過(guò)各種方法，但這個(gè)問(wèn)題并沒(méi)有根本處理。緣由就在于，目前很多種ARP防備措施，一是處理措施的防備才干有限，并不是最根本的方法。二是對(duì)網(wǎng)絡(luò)管理約束很大，不方便不適用，不具備可操作性。三是某些措施對(duì)網(wǎng)絡(luò)傳輸?shù)男苡袚p失，網(wǎng)速變慢，帶寬浪費(fèi)，也不可取。本文經(jīng)過(guò)詳細(xì)分析一下普遍流行的四種防備ARP措施，去了解為什么ARP問(wèn)題一直不能根治。上篇：四種常見(jiàn)防備ARP措施的分析一、雙綁措施雙綁是在路由器

2、和終端上都進(jìn)展IP-MAC綁定的措施，它可以對(duì)ARP欺騙的兩邊，偽造網(wǎng)關(guān)和截獲數(shù)據(jù)，都具有約束的作用。這是從ARP欺騙原理上進(jìn)展的防備措施，也是最普遍運(yùn)用的方法。它對(duì)付最普通的ARP欺騙是有效的。但雙綁的缺陷在于3點(diǎn)：1、在終端上進(jìn)展的靜態(tài)綁定，很容易被晉級(jí)的ARP攻擊所搗毀，病毒的一個(gè)ARP d命令，就可以使靜態(tài)綁定完全失效。2、在路由器上做IP-MAC表的綁定任務(wù)，費(fèi)時(shí)費(fèi)力，是一項(xiàng)繁瑣的維護(hù)任務(wù)。換個(gè)網(wǎng)卡或改換IP，都需求重新配置路由。對(duì)于流動(dòng)性電腦，這個(gè)需求隨時(shí)進(jìn)展的綁定任務(wù)，是網(wǎng)絡(luò)維護(hù)的宏大負(fù)擔(dān)，網(wǎng)管員幾乎無(wú)法完成。3、雙綁只是讓網(wǎng)絡(luò)的兩端電腦和路由不接納相關(guān)ARP信息，但是大量的AR

3、P攻擊數(shù)據(jù)還是能發(fā)出，還要在內(nèi)網(wǎng)傳輸，大幅降低內(nèi)網(wǎng)傳輸效率，依然會(huì)出現(xiàn)問(wèn)題。因此，雖然雙綁曾經(jīng)是ARP防備的根底措施，但由于防備才干有限，管理太費(fèi)事，如今它的效果越來(lái)越有限了。二、ARP個(gè)人防火墻在一些殺毒軟件中參與了ARP個(gè)人防火墻的功能，它是經(jīng)過(guò)在終端電腦上對(duì)網(wǎng)關(guān)進(jìn)展綁定，保證不受網(wǎng)絡(luò)中假網(wǎng)關(guān)的影響，從而維護(hù)本身數(shù)據(jù)不被竊取的措施。ARP防火墻運(yùn)用范圍很廣，有很多人以為有了防火墻，ARP攻擊就不構(gòu)成要挾了，其實(shí)完全不是那么回事。ARP個(gè)人防火墻也有很大缺陷：1、它不能保證綁定的網(wǎng)關(guān)一定是正確的。假設(shè)一個(gè)網(wǎng)絡(luò)中曾經(jīng)發(fā)生了ARP欺騙，有人在偽造網(wǎng)關(guān)，那么，ARP個(gè)人防火墻上來(lái)就會(huì)綁定這個(gè)錯(cuò)誤的

4、網(wǎng)關(guān)，這是具有極大風(fēng)險(xiǎn)的。即使配置中不默許而發(fā)出提示，缺乏網(wǎng)絡(luò)知識(shí)的用戶(hù)恐怕也無(wú)所適從。2 、ARP是網(wǎng)絡(luò)中的問(wèn)題，ARP既能偽造網(wǎng)關(guān)，也能截獲數(shù)據(jù)，是個(gè)“雙頭怪。在個(gè)人終端上做ARP防備，而不論網(wǎng)關(guān)那端如何，這本身就不是一個(gè)完好的方法。ARP個(gè)人防火墻起到的作用，就是防止本人的數(shù)據(jù)不會(huì)被盜取，而整個(gè)網(wǎng)絡(luò)的問(wèn)題，如掉線、卡滯等，ARP個(gè)人防火墻是無(wú)能為力的。因此，ARP個(gè)人防火墻并沒(méi)有提供可靠的保證。最重要的是，它是跟網(wǎng)絡(luò)穩(wěn)定無(wú)關(guān)的措施，它是個(gè)人的，不是網(wǎng)絡(luò)的。三、VLAN和交換機(jī)端口綁定經(jīng)過(guò)劃分VLAN和交換機(jī)端口綁定，以圖防備ARP，也是常用的防備方法。做法是細(xì)致地劃分VLAN，減小廣播域

5、的范圍，使ARP在小范圍內(nèi)起作用，而不至于發(fā)生大面積影響。同時(shí)，一些網(wǎng)管交換機(jī)具有MAC地址學(xué)習(xí)的功能，學(xué)習(xí)完成后，再封鎖這個(gè)功能，就可以把對(duì)應(yīng)的MAC和端口進(jìn)展綁定，防止了病毒利用ARP攻擊篡改本身地址。也就是說(shuō)，把ARP攻擊中被截獲數(shù)據(jù)的風(fēng)險(xiǎn)解除了。這種方法確實(shí)能起到一定的作用。不過(guò)，VLAN和交換機(jī)端口綁定的問(wèn)題在于：1、沒(méi)有對(duì)網(wǎng)關(guān)的任何維護(hù)，不論如何細(xì)分VLAN，網(wǎng)關(guān)一旦被攻擊，照樣會(huì)呵斥全網(wǎng)上網(wǎng)的掉線和癱瘓。2、把每一臺(tái)電腦都牢牢地固定在一個(gè)交換機(jī)端口上，這種管理太死板了。這根本不適宜挪動(dòng)終端的運(yùn)用，從辦公室到會(huì)議室，這臺(tái)電腦恐怕就無(wú)法上網(wǎng)了。在無(wú)線運(yùn)用下，又怎樣辦呢？還是需求其他的

6、方法。3、實(shí)施交換機(jī)端口綁定，必定要全部采用高級(jí)的網(wǎng)管交換機(jī)、三層交換機(jī)，整個(gè)交換網(wǎng)絡(luò)的造價(jià)大大提高。由于交換網(wǎng)絡(luò)本身就是無(wú)條件支持ARP操作的，就是它本身的破綻呵斥了ARP攻擊的能夠，它上面的管理手段不是針對(duì)ARP的。因此，在現(xiàn)有的交換網(wǎng)絡(luò)上實(shí)施ARP防備措施，屬于以子之矛攻子之盾。而且操作維護(hù)復(fù)雜，根本上是個(gè)費(fèi)力不討好的事情。四、PPPoE網(wǎng)絡(luò)下面給每一個(gè)用戶(hù)分配一個(gè)帳號(hào)、密碼，上網(wǎng)時(shí)必需經(jīng)過(guò)PPPoE認(rèn)證，這種方法也是防備ARP措施的一種。PPPoE撥號(hào)方式對(duì)封包進(jìn)展了二次封裝，使其具備了不受ARP欺騙影響的運(yùn)用效果，很多人以為找到理處理ARP問(wèn)題的終極方案。問(wèn)題主要集中在效率和適用性上

7、面：1、PPPoE需求對(duì)封包進(jìn)展二次封裝，在接入設(shè)備上再解封裝，必然降低了網(wǎng)絡(luò)傳輸效率，呵斥了帶寬資源的浪費(fèi)，要知道在路由等設(shè)備上添加PPPoE Server的處置效能和電信接入商的PPPoE Server可不是一個(gè)數(shù)量級(jí)的。2、PPPoE方式下局域網(wǎng)間無(wú)法互訪，在很多網(wǎng)絡(luò)都有局域網(wǎng)內(nèi)部的域控效力器、DNS效力器、郵件效力器、OA系統(tǒng)、資料共享、打印共享等等，需求局域網(wǎng)間相互通訊的需求，而PPPoE方式使這一切都無(wú)法運(yùn)用，是無(wú)法被接受的。3、不運(yùn)用PPPoE，在進(jìn)展內(nèi)網(wǎng)訪問(wèn)時(shí)，ARP的問(wèn)題依然存在，什么都沒(méi)有處理，網(wǎng)絡(luò)的穩(wěn)定性還是不行。因此，PPPoE在技術(shù)上屬于避開(kāi)底層協(xié)議銜接，眼不見(jiàn)心不煩

8、，經(jīng)過(guò)犧牲網(wǎng)絡(luò)效率換取網(wǎng)絡(luò)穩(wěn)定。最不能接受的，就是網(wǎng)絡(luò)只能上網(wǎng)用，內(nèi)部其他的共享就不能在PPPoE下進(jìn)展了。經(jīng)過(guò)對(duì)以上四種普遍的ARP防備方法的分析，我們可以看出，現(xiàn)有ARP防備措施都存在問(wèn)題。這也就是ARP即使研討很久很透，但依然在實(shí)際中無(wú)法徹底處理的緣由所在了。下篇：免疫網(wǎng)絡(luò)是處理ARP最根本的方法道高一尺魔高一丈，網(wǎng)絡(luò)問(wèn)題必定需求網(wǎng)絡(luò)的方法去處理。目前，欣全向推行的免疫網(wǎng)絡(luò)就是徹底處理ARP問(wèn)題的最實(shí)踐的方法。從技術(shù)原理上，徹底處理ARP欺騙和攻擊，要有三個(gè)技術(shù)要點(diǎn)。1、終端對(duì)網(wǎng)關(guān)的綁定要堅(jiān)實(shí)可靠，這個(gè)綁定可以抵抗被病毒搗毀。2、接入路由器或網(wǎng)關(guān)要對(duì)下面終端IP-MAC的識(shí)別一直保證獨(dú)一

9、準(zhǔn)確。3、網(wǎng)絡(luò)內(nèi)要有一個(gè)最可依賴(lài)的機(jī)構(gòu)，提供對(duì)網(wǎng)關(guān)IP-MAC最強(qiáng)大的維護(hù)。它既可以分發(fā)正確的網(wǎng)關(guān)信息，又可以對(duì)出現(xiàn)的假網(wǎng)關(guān)信息立刻封殺。免疫網(wǎng)絡(luò)在這三個(gè)問(wèn)題上，都有專(zhuān)門(mén)的技術(shù)處理手段，而且這些技術(shù)都是廠家欣全向的技術(shù)專(zhuān)利。下面我們會(huì)詳細(xì)闡明。如今，我們要先做一個(gè)免疫網(wǎng)絡(luò)構(gòu)造和實(shí)施的簡(jiǎn)單引見(jiàn)。免疫網(wǎng)絡(luò)就是在現(xiàn)有的路由器、交換機(jī)、網(wǎng)卡、網(wǎng)線構(gòu)成的普通交換網(wǎng)絡(luò)根底上，參與一套平安和管理的處理方案。這樣一來(lái)，在普通的網(wǎng)絡(luò)通訊中，就交融進(jìn)了平安和管理的機(jī)制，保證了在網(wǎng)絡(luò)通訊過(guò)程中具有了平安管控的才干，堵上了普通網(wǎng)絡(luò)對(duì)平安從不設(shè)防的先天破綻。免疫網(wǎng)絡(luò)的構(gòu)造實(shí)施一個(gè)免疫網(wǎng)絡(luò)不是一個(gè)很復(fù)雜的事，代價(jià)并不大。

10、它要做的僅僅是用免疫墻路由器或免疫網(wǎng)關(guān)，交換掉現(xiàn)有的寬帶接入設(shè)備。在免疫墻路由器下，需求自備一臺(tái)效力器24小時(shí)運(yùn)轉(zhuǎn)免疫運(yùn)營(yíng)中心。免疫網(wǎng)關(guān)不需求，已自帶效力器。這就是方案的所需求的硬件調(diào)整措施。軟性的網(wǎng)絡(luò)調(diào)整是IP規(guī)劃、分組戰(zhàn)略、終端自動(dòng)安裝上網(wǎng)驅(qū)動(dòng)等配置和安裝任務(wù)，以保證整個(gè)的平安管理功能有效地運(yùn)轉(zhuǎn)。其實(shí)這部分任務(wù)和網(wǎng)管員對(duì)網(wǎng)絡(luò)日常的管理沒(méi)有太大區(qū)別。免疫網(wǎng)絡(luò)的監(jiān)控中心免疫網(wǎng)絡(luò)具有強(qiáng)大的網(wǎng)絡(luò)根底平安和管理功能，對(duì)ARP的防備僅是其非常之一不到的才干。但本文談的是ARP問(wèn)題，所以我們需求回過(guò)頭來(lái)，詳細(xì)地解釋免疫網(wǎng)絡(luò)對(duì)ARP欺騙和攻擊防備的機(jī)理。至于免疫網(wǎng)絡(luò)更多的強(qiáng)大，可以后續(xù)研討。前述治理ARP

11、問(wèn)題的三個(gè)技術(shù)要點(diǎn)，終端綁定、網(wǎng)關(guān)、機(jī)構(gòu)三個(gè)環(huán)節(jié)，免疫網(wǎng)絡(luò)分別采用了專(zhuān)門(mén)的技術(shù)手段。1、終端綁定采用了看守式綁定技術(shù)。免疫網(wǎng)絡(luò)需求每一臺(tái)終端自動(dòng)安裝驅(qū)動(dòng)，不安裝或卸載就不能上網(wǎng)。在驅(qū)動(dòng)中的看守式綁定，就是把正確的網(wǎng)關(guān)信息存貯在非公開(kāi)的位置加以維護(hù)，任何對(duì)網(wǎng)關(guān)信息的更改，由于看守程序的嚴(yán)密監(jiān)控，都是不能勝利的，這就完成了對(duì)終端綁定結(jié)實(shí)可靠的要求。2、免疫墻路由器或免疫網(wǎng)關(guān)的ARP先天免疫技術(shù)。在NAT轉(zhuǎn)發(fā)過(guò)程中，由于參與了特殊的機(jī)制，免疫墻路由器根本不理睬任何對(duì)終端IP-MAC的ARP申告，也就是說(shuō)，誰(shuí)都無(wú)法欺騙網(wǎng)關(guān)。與其他路由器不同，免疫墻路由器沒(méi)有運(yùn)用IP-MAC的列表進(jìn)展任務(wù)，當(dāng)然也不需求繁瑣的路由器IP-MAC表綁定和維護(hù)操作。先天免疫，就是不用管也具有這個(gè)才干。3、保證網(wǎng)關(guān)IP-MAC一直正確的機(jī)構(gòu)，在免疫網(wǎng)絡(luò)中是一套平安機(jī)制。首先，它可以做到把從路由器中取到的真實(shí)網(wǎng)關(guān)信息，分發(fā)到每一個(gè)網(wǎng)內(nèi)終端，而安裝有驅(qū)動(dòng)的終端，