內(nèi)網(wǎng)安全產(chǎn)品慎用ARP欺騙阻斷

什么是ARP欺騙阻斷

ARP（Address Resolution Protocol是地址解析協(xié)議），是一種將IP地址轉(zhuǎn)化成物理地址的協(xié)議。從IP地址到物理地址的映射有兩種方式：表格方式和非表格方式。ARP具體說來就是將網(wǎng)絡(luò)層（IP層，也就是相當(dāng)于OSI的第三層）地址解析為數(shù)據(jù)連接層（MAC層，也就是相當(dāng)于OSI的第二層）。簡單說，IP地址與MAC地址之間就必須存在一種對應(yīng)關(guān)系，而ARP協(xié)議就是用來確定這種對應(yīng)關(guān)系的協(xié)議。

ARP欺騙阻斷：在同一個IP子網(wǎng)內(nèi)，數(shù)據(jù)包根據(jù)目標(biāo)機(jī)器的MAC地址進(jìn)行尋址，而目標(biāo)機(jī)器的MAC地址是通過ARP協(xié)議由目標(biāo)機(jī)器的IP地址獲得的。每臺主機(jī)（包括網(wǎng)關(guān)）都有一個ARP緩存表，在正常情況下這個緩存表能夠有效維護(hù)IP地址對MAC地址的一對一對應(yīng)關(guān)系。但是在ARP緩存表的實(shí)現(xiàn)機(jī)制和ARP請求應(yīng)答的機(jī)制中存在一些不完善的地方，容易造成ARP欺騙的情況發(fā)生。

由于ARP欺騙的阻斷方式技術(shù)實(shí)現(xiàn)較簡單，就被國內(nèi)大部分廠商所采用，特別是針對未注冊阻斷、非法訪問的阻斷等，往往都采用ARP欺騙的阻斷方式。

ARP欺騙阻斷的不足

首先，采用ARP欺騙阻斷方式對網(wǎng)絡(luò)的負(fù)荷影響很大。ARP工作時(shí)，首先請求主機(jī)會發(fā)送出一個含有所希望到達(dá)的IP地址的以太網(wǎng)廣播數(shù)據(jù)包，然后目標(biāo)IP的所有者會以一個含有IP和MAC地址的數(shù)據(jù)包應(yīng)答請求主機(jī)。在ARP欺騙阻斷的實(shí)現(xiàn)中，一個ARP請求可能會收到數(shù)十個、設(shè)置數(shù)百個ARP應(yīng)答，有些ARP欺騙阻斷程序還通過主動發(fā)ARP請求實(shí)現(xiàn)欺騙，因此，在網(wǎng)絡(luò)中采用大量發(fā)ARP包的動作對于網(wǎng)絡(luò)資源的占用是十分巨大的，可能導(dǎo)致網(wǎng)絡(luò)設(shè)備性能下降，影響用戶正常的業(yè)務(wù)。
 其次，ARP欺騙阻斷方式準(zhǔn)入效果不可靠。

ARP欺騙并不能100%保證有效，比如目標(biāo)機(jī)器的ARP應(yīng)答包和欺騙包都能正確達(dá)到ARP請求者，請求者是否被欺騙還存在一定的機(jī)率，或者客戶端安裝了防ARP欺騙的軟件，如果采用ARP欺騙包來實(shí)現(xiàn)終端設(shè)備的準(zhǔn)入控制，效果就可想而知，其自身的缺陷，使得準(zhǔn)入的可靠性大為降低。
 最后，ARP欺騙阻斷和真正的ARP欺騙難以區(qū)分。

在一個網(wǎng)絡(luò)內(nèi)如果啟用了ARP欺騙阻斷，當(dāng)真的發(fā)生ARP欺騙時(shí)，后果將是災(zāi)難性的。用戶將不能區(qū)分主動的ARP欺騙阻斷和真正的ARP欺騙，將給用戶的故障排除帶來極大的困難，嚴(yán)重影響用戶業(yè)務(wù)。另一方面，在大多數(shù)的ARP欺騙阻斷實(shí)現(xiàn)中，往往是子網(wǎng)內(nèi)的所有電腦同時(shí)對目標(biāo)電腦進(jìn)行欺騙，如果目標(biāo)電腦無需受欺騙后，要求所有電腦停止對其進(jìn)行欺騙，而此時(shí)如果個別電腦沒有收到停止欺騙的指令，將導(dǎo)致目標(biāo)電腦持續(xù)不能正常訪問網(wǎng)絡(luò)，導(dǎo)致用戶運(yùn)維事故。

服務(wù)器租用/服務(wù)器托管中國五強(qiáng)！虛擬主機(jī)域名注冊頂級提供商！15年品質(zhì)保障！--億恩科技[ENKJ.COM]