面对ARP欺骗攻击 最新解决方案

From: http://www.chinaidcnet.cn/html/IDCfangan/20071023/865_2.html

随着ARP攻击的不断升级，不同的解决方案在市场上流传。有一些方案，从短期看来似乎有效，实际上对于真正的 ARP攻击发挥不了作用，也降低局域网工作效率。对于ARP攻击防治，中国网域网技术服务人员建议，根据ARP欺骗/攻击原理，采取双向邦定是一个较全面并相对持久的解决
【chinaidcnet】

    互联网发展至今，越来越多的企业选择互联网作为企业宣传推广的平台，电子商务类网站日益增加。但随着电子商务时代的到来，众多类型的攻击便曾出不穷。自去年下半年开始ARP欺骗/攻击逐渐泛滥，由于其攻击的特性，它可以导致被攻击网站或服务器的无法访问，或者是受众访问其他错误网址或接收到错误信息。直接危害着企业的利益。特别在近段时间来，上海地区众多机房和众多IDC商均频繁发生ARP欺骗/攻击时间，由于其技术特性，很难预防.

    ARP欺骗/攻击原理

    ARP欺骗/攻击就是误导计算机作出错误的行为。原始的ARP协议运作，会附在局域网接收的广播包或是ARP询问包，无条件覆盖本机缓存中的 ARP/MAC对照表。常见ARP攻击对象有两种，一是网络网关，也就是路由器，二是局域网上的计算机，也就是一般用户。攻击网络网关就好比发送错误的地址信息给“快递员”，让“快递员”整个工作大乱，所有信件无法正常送达；而攻击一般计算机就是直接和一般人谎称自己就是快递员，让一般用户把需要传送物品传送给发动攻击的计算机。由于一般的计算机及路由器的ARP协议的意志都不坚定，因此只要有恶意计算机在局域网持续发出错误的ARP讯息，就会让计算机及路由器信以为真，作出错误的传送网络包动作。一般的ARP欺骗/攻击就是以这样的方式，造成网络运作不正常，达到盗取用户密码或破坏网络运作的目的。

    随着ARP攻击的不断升级，不同的解决方案在市场上流传。有一些方案，从短期看来似乎有效，实际上对于真正的ARP攻击发挥不了作用，也降低局域网工作效率。对于ARP攻击防治，中国网域网技术服务人员建议，根据ARP欺骗/攻击原理，采取双向邦定是一个较全面并相对持久的解决方式。

    ARP双向绑定的作法，等于是从基本上给ARP协议中的这个“快递员培训”，让他把正确的IP地址及MAC地址记下来，再也不受其它人的信息干扰。由于 “快递员”完全按照邦定的地址进行信息数据的传输，因此完全不会排除了其他错误指令的干扰，能有效地完成工作。在这种情况下，可大大降低用户服务器或主机在受到攻击时无法访问而掉线的情况发生。

    但是ARP绑定并不是万灵药，还需要作的好才有完全的效果。第一，即使这个“快递员”严格按照邦定地址进行信息传输，但是攻击者的网络包还是会小幅影响局域网部份运作，因此网管必须通过网络监控或扫瞄的方法，找出攻击者加以去除；第二，必须作双向绑定才有完全的效果，只作路由器端绑定效果有限，一般计算机仍会被欺骗，而发生掉包或掉线的情况。只有双向绑定才能有效果地解决ARP攻击的问题，而不会发生防治效果不佳、局域网效率受影响、影响路由器和网络服务器效能。

   目前较佳解决方案就是MAC双向绑定，虽然对IDC商与电信运营商带来一定的工作量，但是其效果确是从根本上有效的。相信该项增值服务将真正做到100%防ARP欺骗/攻击，斩断ARP欺骗/攻击这一新兴黑色产业链，为用户营造稳定、安全的托管环境。