常见的ARP攻击治疗手段目前最常用的基本治疗手段是“ARP双向绑定”。
由于ARP攻击大多不是由病毒引起的,而是由合法运行的程序(插件、网页)引起的,所以杀毒软件往往无能为力。
“双向绑定”是指在路由器上绑定ARP表的同时,还绑定每台计算机上常用的ARP表条目。
“ARP双向绑定”可以防御轻微、笨拙的ARP攻击。 如果ARP攻击程序不尝试改变绑定的ARP表项,则ARP攻击不成功; 如果攻击手段不激烈,也骗不了路由器。 这样可以防止50%的ARP攻击。
但目前,ARP攻击的程序大多是合法运行的,因此可以合法修改计算机的ARP表项。 当前流行ARP双向绑定后,攻击程序的作者也提高了攻击手段,攻击的方法更加综合,而且攻击变得非常频繁,仅靠进行双向绑定已无法应对凶狠的ARP攻击,仍然容易掉线。
因此在路由器上添加了“主动防御ARP攻击”功能。 该功能是基于路由器的ARP绑定实现的,其原理是在网络中受到错误的ARP广播分组攻击的情况下,路由器立即广播正确的ARP分组以纠正和消除攻击分组的影响。 这样就解决了离线问题,但在发生最凶恶的ARP攻击时,问题仍然存在。 当ARP攻击频繁发生时,路由器需要更频繁地发送正确的数据包以消除影响。 虽然线路断了,但出现了网络“卡”的问题。
因此,我们认为,依靠路由器实现“对ARP攻击的积极防御”也只能解决80%的问题。
为了完全消除ARP攻击,我们在此基础上增加了“ARP攻击源攻击追踪”的功能。 对于剩下的强大的ARP攻击,我们采用“日志”功能,提供信息帮助用户跟踪攻击源。 这样,用户可以通过暂时断开攻击计算机或阻止发出攻击的程序来解决问题。
彻底解决ARP攻击
事实上,由于路由器是整个局域网的出口,而ARP攻击以整个局域网为目标,因此在ARP攻击包到达路由器时,影响已经得到反映。 所以路由器承担防御ARP攻击的任务只是权宜之计,不能很好地解决问题。
为了让我们真正消除ARP攻击的危险,放心,我们就必须对“LAN核心”交换机下手。 由于任何ARP分组都必须通过交换机转发才能实现攻击对象,所以只要交换机接收到非法的ARP分组,任何ARP攻击都不会造成任何影响。
我们真正严密地提出了防范ARP攻击的方案,就是在每个接入交换机上实现ARP绑定,过滤所有非法的ARP数据包。 这样可以使ARP攻击完全足不出户,并在局域网中完全消除ARP攻击。
每个交换机都需要ARP绑定和相关的安全功能,这无疑是昂贵的,因此提供了一种折衷方案。
经济方案
我们只是大量绑定ARP,进行ARP攻击防御的交换机——以――Netcore 7324NSW为中心采用。 由于此交换机的ARP绑定条目可达1000个,因此基本上可以绑定整个网络的ARP,同时防止非法ARP包在主交换机上传播。
在这样强大的ARP攻击下,ARP攻击只影响同一分支交换机上的电脑,因此观察到了可能被攻击的范围大幅缩小的现象。 如果发生攻击,就不能引起整个网络的问题。
在此基础上,增加了“日志”功能和“ARP主动防御”功能,也可以完美解决ARP攻击。
ARP攻击的最新动向
最近,各网吧发现的ARP攻击升级了,又来了ARP攻击的高潮。
在这次ARP攻击中发现的特征如下。
1、速度快、效率高,大约10-20秒钟,就能下线300台规模的电脑。
2、不易发现。 攻击完成后,立即停止攻击,修正ARP信息。 如果网络中没有日志功能,用ARP命令观察的话,很难找到攻击的痕迹。
3、能够解密最新的XP和2000个ARP补丁。 微软提供的补丁显然在这次攻击中很脆弱,不起作用。
4、媒体变化,此次攻击的来源来自私服程序本身(非插件)和P2P程序。
引用地址: http://www.qq08.net/article/2007/1010/article _ 23327.html
转载于:https://www.cn blogs.com/junzhongxu/archive/2008/09/28/1301167.html