|
ARP欺騙和攻擊問題�����,是企業(yè)網(wǎng)絡(luò)的心腹大患����。關(guān)于這個問題的討論已經(jīng)很深入了,對ARP攻擊的機理了解的很透徹����,各種防范措施也層出不窮�。
但問題是����,現(xiàn)在真正擺脫ARP問題困擾了嗎?從用戶那里了解到��,雖然嘗試過各種方法�,但這個問題并沒有根本解決。原因就在于��,目前很多種ARP防范措施,一是解決措施的防范能力有限���,并不是最根本的辦法。二是對網(wǎng)絡(luò)管理約束很大���,不方便不實用,不具備可操作性���。三是某些措施對網(wǎng)絡(luò)傳輸?shù)男苡袚p失�,網(wǎng)速變慢,帶寬浪費��,也不可取�����。
本文通過具體分析一下普遍流行的四種防范ARP措施�,去了解為什么ARP問題始終不能根治�����。并進一步分析在免疫網(wǎng)絡(luò)的模式下�����,對ARP是如何徹底根除的,為什么只有免疫網(wǎng)絡(luò)能夠做到�����。
上篇:四種常見防范ARP措施的分析
一�、雙綁措施
雙綁是在路由器和終端上都進行IP-MAC綁定的措施,它可以對ARP欺騙的兩邊�����,偽造網(wǎng)關(guān)和截獲數(shù)據(jù)���,都具有約束的作用��。這是從ARP欺騙原理上進行的防范措施���,也是最普遍應(yīng)用的辦法。它對付最普通的ARP欺騙是有效的。
但雙綁的缺陷在于3點:
1�����、在終端上進行的靜態(tài)綁定���,很容易被升級的ARP攻擊所搗毀�,病毒的一個ARP –d命令,就可以使靜態(tài)綁定完全失效。
2、在路由器上做IP-MAC表的綁定工作����,費時費力��,是一項繁瑣的維護工作。換個網(wǎng)卡或更換IP,都需要重新配置路由���。對于流動性電腦,這個需要隨時進行的綁定工作,是網(wǎng)絡(luò)維護的巨大負擔�,網(wǎng)管員幾乎無法完成�。
3���、雙綁只是讓網(wǎng)絡(luò)的兩端電腦和路由不接收相關(guān)ARP信息�����,但是大量的ARP攻擊數(shù)據(jù)還是能發(fā)出��,還要在內(nèi)網(wǎng)傳輸,大幅降低內(nèi)網(wǎng)傳輸效率,依然會出現(xiàn)問題�����。
因此��,雖然雙綁曾經(jīng)是ARP防范的基礎(chǔ)措施�����,但因為防范能力有限,管理太麻煩,現(xiàn)在它的效果越來越有限了����。
二�、ARP個人防火墻
在一些殺毒軟件中加入了ARP個人防火墻的功能�����,它是通過在終端電腦上對網(wǎng)關(guān)進行綁定���,保證不受網(wǎng)絡(luò)中假網(wǎng)關(guān)的影響����,從而保護自身數(shù)據(jù)不被竊取的措施�����。ARP防火墻使用范圍很廣��,有很多人以為有了防火墻,ARP攻擊就不構(gòu)成威脅了��,其實完全不是那么回事��。
ARP個人防火墻也有很大缺陷:
1�、它不能保證綁定的網(wǎng)關(guān)一定是正確的�。如果一個網(wǎng)絡(luò)中已經(jīng)發(fā)生了ARP欺騙,有人在偽造網(wǎng)關(guān)����,那么�����,ARP個人防火墻上來就會綁定這個錯誤的網(wǎng)關(guān)����,這是具有極大風險的。即使配置中不默認而發(fā)出提示���,缺乏網(wǎng)絡(luò)知識的用戶恐怕也無所適從。
2�����、ARP是網(wǎng)絡(luò)中的問題�,ARP既能偽造網(wǎng)關(guān),也能截獲數(shù)據(jù)���,是個“雙頭怪”。在個人終端上做ARP防范����,而不管網(wǎng)關(guān)那端如何��,這本身就不是一個完整的辦法。ARP個人防火墻起到的作用��,就是防止自己的數(shù)據(jù)不會被盜取��,而整個網(wǎng)絡(luò)的問題��,如掉線、卡滯等�����,ARP個人防火墻是無能為力的�。
因此,ARP個人防火墻并沒有提供可靠的保證�。最重要的是�����,它是跟網(wǎng)絡(luò)穩(wěn)定無關(guān)的措施�,它是個人的��,不是網(wǎng)絡(luò)的。
三�����、VLAN和交換機端口綁定
通過劃分VLAN和交換機端口綁定���,以圖防范ARP��,也是常用的防范方法�。做法是細致地劃分VLAN����,減小廣播域的范圍,使ARP在小范圍內(nèi)起作用�,而不至于發(fā)生大面積影響�����。同時,一些網(wǎng)管交換機具有MAC地址學(xué)習的功能���,學(xué)習完成后,再關(guān)閉這個功能�����,就可以把對應(yīng)的MAC和端口進行綁定���,避免了病毒利用ARP攻擊篡改自身地址��。也就是說,把ARP攻擊中被截獲數(shù)據(jù)的風險解除了。這種方法確實能起到一定的作用。
不過��,VLAN和交換機端口綁定的問題在于:
1�����、沒有對網(wǎng)關(guān)的任何保護�,不管如何細分VLAN�,網(wǎng)關(guān)一旦被攻擊,照樣會造成全網(wǎng)上網(wǎng)的掉線和癱瘓。
2�����、把每一臺電腦都牢牢地固定在一個交換機端口上�����,這種管理太死板了����。這根本不適合移動終端的使用����,從辦公室到會議室,這臺電腦恐怕就無法上網(wǎng)了。在無線應(yīng)用下�����,又怎么辦呢�����?還是需要其他的辦法���。
3、實施交換機端口綁定�����,必定要全部采用高級的網(wǎng)管交換機���、三層交換機��,整個交換網(wǎng)絡(luò)的造價大大提高����。
因為交換網(wǎng)絡(luò)本身就是無條件支持ARP操作的,就是它本身的漏洞造成了ARP攻擊的可能��,它上面的管理手段不是針對ARP的��。因此�,在現(xiàn)有的交換網(wǎng)絡(luò)上實施ARP防范措施�����,屬于以子之矛攻子之盾��。而且操作維護復(fù)雜,基本上是個費力不討好的事情。
四、PPPoE
網(wǎng)絡(luò)下面給每一個用戶分配一個帳號����、密碼����,上網(wǎng)時必須通過PPPoE認證����,這種方法也是防范ARP措施的一種�����。PPPoE撥號方式對封包進行了二次封裝�,使其具備了不受ARP欺騙影響的使用效果���,很多人認為找到了解決ARP問題的終極方案��。
問題主要集中在效率和實用性上面:
1�����、PPPoE需要對封包進行二次封裝,在接入設(shè)備上再解封裝���,必然降低了網(wǎng)絡(luò)傳輸效率,造成了帶寬資源的浪費�,要知道在路由等設(shè)備上添加PPPoE Server的處理效能和電信接入商的PPPoE Server可不是一個數(shù)量級的�����。
2、PPPoE方式下局域網(wǎng)間無法互訪����,在很多網(wǎng)絡(luò)都有局域網(wǎng)內(nèi)部的域控服務(wù)器���、DNS服務(wù)器����、郵件服務(wù)器���、OA系統(tǒng)�����、資料共享、打印共享等等,需要局域網(wǎng)間相互通信的需求,而PPPoE方式使這一切都無法使用�,是無法被接受的�。
3����、不使用PPPoE,在進行內(nèi)網(wǎng)訪問時,ARP的問題依然存在,什么都沒有解決����,網(wǎng)絡(luò)的穩(wěn)定性還是不行�����。
因此��,PPPoE在技術(shù)上屬于避開底層協(xié)議連接,眼不見心不煩���,通過犧牲網(wǎng)絡(luò)效率換取網(wǎng)絡(luò)穩(wěn)定。最不能接受的����,就是網(wǎng)絡(luò)只能上網(wǎng)用���,內(nèi)部其他的共享就不能在PPPoE下進行了���。
通過對以上四種普遍的ARP防范方法的分析���,我們可以看出����,現(xiàn)有ARP防范措施都存在問題�。這也就是ARP即使研究很久很透����,但依然在實踐中無法徹底解決的原因所在了。
本文出自:億恩科技【www.ypdoo.com.cn】
服務(wù)器租用/服務(wù)器托管中國五強��!虛擬主機域名注冊頂級提供商!15年品質(zhì)保障����!--億恩科技[ENKJ.COM]
|
香港服務(wù)器租用
美國服務(wù)器租用
電信骨干機房
聯(lián)通骨干機房
0371-60135900
