ARP欺骗/攻击反复袭击,是近来IDC网络服务商和主机托管客户最为头痛的问题,随着ARP攻击的不断升级,不同的解决方案在市场上流传。有一些方案,从短期看来似乎有效,实际上对于真正的ARP攻击发挥不了作用,也降低局域网工作效率。中国网域网的技术服务人员接到很多用户反应说有些ARP防治方法很容易操作和实施,但经过实际深入了解后,发现长期效果都不大。对于ARP攻击防治,中国网域网技术服务人员的建议,最好的方法是先踏踏实实把基本防治工作做好,才是根本解决的方法。由于市场上的解决方式众多,我们无法一一加以说明优劣,因此本文解释了ARP攻击防治的基本思想。我们认为读者如果能了解这个基本思想,就能自行判断何种防治方式有效,也能了解为何双向绑定是一个较全面又持久的解决方式。
ARP协议原理
一般计算机中的原始的ARP协议,很像一个容易被人影响的人,ARP欺骗/攻击就是利用这个特性,误导计算机作出错误的行为。原始的ARP协议运作,会附在局域网接收的广播包或是ARP询问包,无条件覆盖本机缓存中的ARP/MAC对照表。这个特性好比一个意志不坚定的人,听了每一个人和他说话都信以为真,并立刻以最新听到的信息作决定。常见ARP攻击对象有两种,一是网络网关,也就是路由器,二是局域网上的计算机,也就是一般用户。攻击网络网关就好比发送错误的地址信息给快递员,让快递员整个工作大乱,所有信件无法正常送达;而攻击一般计算机就是直接和一般人谎称自己就是快递员,让一般用户把需要传送物品传送给发动攻击的计算机。由于一般的计算机及路由器的ARP协议的意志都不坚定,因此只要有恶意计算机在局域网持续发出错误的ARP讯息,就会让计算机及路由器信以为真,作出错误的传送网络包动作。一般的ARP就是以这样的方式,造成网络运作不正常,达到盗取用户密码或破坏网络运作的目的。针对ARP攻击的防治,常见的方法,可以分为以下三种作法: 1、利用ARP echo传送正确的ARP讯息:通过频繁地提醒正确的ARP对照表,来达到防治的效果; 2、利用绑定方式,固定ARP对照表不受外来影响:通过固定正确的ARP对照表,来达到防治的效果; 3、舍弃ARP协议,采用其它寻址协议:不采用ARP作为传送的机制,而另行使用其它协议例如PPPoE方式传送。 以上三种方法中,前两种方法较为常见,第三种方法由于变动较大,适用于技术能力较佳的应用。下面针对前两种方法加以说明。
一、ARP echo
ARP echo是最早开发出来的ARP攻击解决方案,但随着ARP攻击的发展,渐渐失去它的效果。现在,这个方法不但面对攻击没有防治效果,还会降低局域网运作的效能,但是很多用户仍然以这个方法来进行防治。以前面介绍的思想不坚定的快递员的例子来说,ARP echo的作法,等于是时时用电话提醒快递员正确的发送对象及地址,减低他被邻近的各种信息干扰的情况。。
以ARP echo方式对应ARP攻击,也会发生相似的情况。第一,面对高频率的新式ARP攻击,ARP echo发挥不了效果,掉线断网的情况仍旧会发生。ARP echo的方式防治的对早期以盗宝为目的的攻击软件有效果,但碰到最近以攻击为手段的攻击软件则公认是没有效果的。第二,ARP echo手段必须在局域网上持续发出广播网络包,占用局域网带宽,使得局域网工作的能力降低,整个局域网的计算机及交换机时时都在处理ARP echo广播包,还没受到攻击局域网就开始卡了。第三,必须在局域网有一台负责负责发ARP echo广播包的设备,不管是路由器、服务器或是计算机,由于发包是以一秒数以百计的方式来发送,对该设备都是很大的负担。
常见的ARP echo处理手法有两种,一种是由路由器持续发送,另一则是在计算机或服务器安装软件发送。路由器持续发送的缺点是路由器原本的工作就很忙,因此无法发送高频率的广播包,被覆盖掉的机会很大,因此面对新型的ARP攻击防治效果小。因此,有些解决方法,就是拿ARP攻击的软件来用,只是持续发出正确的网关、服务器对照表,安装在服务器或是计算机上,由于服务器或是计算机运算能力较强,可以同一时间内发出更多广播包,效果较大,但是这种作法一则大幅影响局域网工作,因为整个局域网都被广播包占据,另则攻击软件通常会设定更高频率的广播包,误导局域网计算机,效果仍然有限。
此外,ARP echo一般是发送网关及私服的对照信息,对于防止局域网计算机被骗有效果,对于路由器没有效果,仍需作绑定的动作才可。
二、ARP绑定
ARP echo的作法是不断提醒计算机正确的ARP对照表,ARP绑定则是针对ARP协议"思想不坚定"的基本问题来加以解决。中国网域技术服务人员认为,ARP绑定的作法,等于是从基本上给这个快递员培训,让他把正确的人名及地址记下来,再也不受其它人的信息干扰。由于快递员脑中记住了这个对照表,因此完全不会受到有心人士的干扰,能有效地完成工作。在这种情况下,无论如何都可以防止因受到攻击而掉线的情况发生。
但是ARP绑定并不是万灵药,还需要作的好才有完全的效果。第一,即使这个快递员思想正确,不受影响,但是攻击者的网络包还是会小幅影响局域网部份运作,网管必须通过网络监控或扫瞄的方法,找出攻击者加以去除;第二,必须作双向绑定才有完全的效果,只作路由器端绑定效果有限,一般计算机仍会被欺骗,而发生掉包或掉线的情况。只有双向绑定才能有效果地解决ARP攻击的问题,而不会发生防治效果不佳、局域网效率受影响、影响路由器和网络服务器效能。
目前较佳解决方案就是MAC双向绑定,虽然对IDC商与运营商带来一定的工作量,但是其效果确是从根本上有效的。目前中国网域网已在上海电信机房开设了首个防ARP欺骗/攻击的主机托管专区,下周开始给新老客户提供免费测试服务,真正做到100%防ARP欺骗/攻击,斩断ARP欺骗/攻击这一新兴黑色产业链,为用户营造稳定、安全的托管环境。