ARP欺騙和攻擊問題,是企業網絡的心腹大患。關於這個問題的討論已經很深入瞭,對ARP攻擊的機理瞭解的很透徹,各種防范措施也層出不窮。
但問題是,現在真正擺脫ARP問題困擾瞭嗎?從用戶那裡瞭解到,雖然嘗試過各種方法,但這個問題並沒有根本解決。原因就在於,目前很多種ARP防范措施,一是解決措施的防范能力有限,並不是最根本的辦法。二是對網絡管理約束很大,不方便不實用,不具備可操作性。三是某些措施對網絡傳輸的效能有損失,網速變慢,帶寬浪費,也不可取。
本文通過具體分析一下普遍流行的四種防范ARP措施,去瞭解為什麼ARP問題始終不能根治。
上篇:四種常見防范ARP措施的分析
一、雙綁措施
雙綁是在路由器和終端上都進行IP-MAC綁定的措施,它可以對ARP欺騙的兩邊,偽造網關和截獲數據,都具有約束的作用。這是從ARP欺騙原理上進行的防范措施,也是最普遍應用的辦法。它對付最普通的ARP欺騙是有效的。
但雙綁的缺陷在於3點:
1、在終端上進行的靜態綁定,很容易被升級的ARP攻擊所搗毀,病毒的一個ARP–d命令,就可以使靜態綁定完全失效。
2、在路由器上做IP-MAC表的綁定工作,費時費力,是一項繁瑣的維護工作。換個網卡或更換IP,都需要重新配置路由。對於流動性電腦,這個需要隨時進行的綁定工作,是網絡維護的巨大負擔,網管員幾乎無法完成。
3、雙綁隻是讓網絡的兩端電腦和路由不接收相關ARP信息,但是大量的ARP攻擊數據還是能發出,還要在內網傳輸,大幅降低內網傳輸效率,依然會出現問題。
因此,雖然雙綁曾經是ARP防范的基礎措施,但因為防范能力有限,管理太麻煩,現在它的效果越來越有限瞭。
二、ARP個人防火墻
在一些殺毒軟件中加入瞭ARP個人防火墻的功能,它是通過在終端電腦上對網關進行綁定,保證不受網絡中假網關的影響,從而保護自身數據不被竊取的措施。ARP防火墻使用范圍很廣,有很多人以為有瞭防火墻,ARP攻擊就不構成威脅瞭,其實完全不是那麼回事。
ARP個人防火墻也有很大缺陷:
1、它不能保證綁定的網關一定是正確的。如果一個網絡中已經發生瞭ARP欺騙,有人在偽造網關,那麼,ARP個人防火墻上來就會綁定這個錯誤的網關,這是具有極大風險的。即使配置中不默認而發出提示,缺乏網絡知識的用戶恐怕也無所適從。
2 、ARP是網絡中的問題,ARP既能偽造網關,也能截獲數據,是個“雙頭怪”。在個人終端上做ARP防范,而不管網關那端如何,這本身就不是一個完整的辦法。ARP個人防火墻起到的作用,就是防止自己的數據不會被盜取,而整個網絡的問題,如掉線、卡滯等,ARP個人防火墻是無能為力的。
因此,ARP個人防火墻並沒有提供可靠的保證。最重要的是,它是跟網絡穩定無關的措施,它是個人的,不是網絡的。
三、VLAN和交換機端口綁定
通過劃分VLAN和交換機端口綁定,以圖防范ARP,也是常用的防范方法。做法是細致地劃分VLAN,減小廣播域的范圍,使ARP在小范圍內起作用,而不至於發生大面積影響。同時,一些網管交換機具有MAC地址學習的功能,學習完成後,再關閉這個功能,就可以把對應的MAC和端口進行綁定,避免瞭病毒利用ARP攻擊篡改自身地址。也就是說,把ARP攻擊中被截獲數據的風險解除瞭。這種方法確實能起到一定的作用。
不過,VLAN和交換機端口綁定的問題在於:
1、沒有對網關的任何保護,不管如何細分VLAN,網關一旦被攻擊,照樣會造成全網上網的掉線和癱瘓。
2、把每一臺電腦都牢牢地固定在一個交換機端口上,這種管理太死板瞭。這根本不適合移動終端的使用,從辦公室到會議室,這臺電腦恐怕就無法上網瞭。在無線應用下,又怎麼辦呢?還是需要其他的辦法。
3、實施交換機端口綁定,必定要全部采用高級的網管交換機、三層交換機,整個交換網絡的造價大大提高。
因為交換網絡本身就是無條件支持ARP操作的,就是它本身的漏洞造成瞭ARP攻擊的可能,它上面的管理手段不是針對ARP的。因此,在現有的交換網絡上實施ARP防范措施,屬於以子之矛攻子之盾。而且操作維護復雜,基本上是個費力不討好的事情。
四、PPPoE
網絡下面給每一個用戶分配一個帳號、密碼,上網時必須通過PPPoE認證,這種方法也是防范ARP措施的一種。PPPoE撥號方式對封包進行瞭二次封裝,使其具備瞭不受ARP欺騙影響的使用效果,很多人認為找到瞭解決ARP問題的終極方案。
問題主要集中在效率和實用性上面:
1、PPPoE需要對封包進行二次封裝,在接入設備上再解封裝,必然降低瞭網絡傳輸效率,造成瞭帶寬資源的浪費,要知道在路由等設備上添加PPPoE Server的處理效能和電信接入商的PPPoE Server可不是一個數量級的。
2、PPPoE方式下局域網間無法互訪,在很多網絡都有局域網內部的域控服務器、DNS服務器、郵件服務器、OA系統、資料共享、打印共享等等,需要局域網間相互通信的需求,而PPPoE方式使這一切都無法使用,是無法被接受的。
3、不使用PPPoE,在進行內網訪問時,ARP的問題依然存在,什麼都沒有解決,網絡的穩定性還是不行。
因此,PPPoE在技術上屬於避開底層協議連接,眼不見心不煩,通過犧牲網絡效率換取網絡穩定。最不能接受的,就是網絡隻能上網用,內部其他的共享就不能在PPPoE下進行瞭。
通過對以上四種普遍的ARP防范方法的分析,我們可以看出,現有ARP防范措施都存在問題。這也就是ARP即使研究很久很透,但依然在實踐中無法徹底解決的原因所在瞭。
下篇:免疫網絡是解決ARP最根本的辦法
道高一尺魔高一丈,網絡問題必定需要網絡的方法去解決。目前,欣全向推廣的免疫網絡就是徹底解決ARP問題的最實際的方法。
從技術原理上,徹底解決ARP欺騙和攻擊,要有三個技術要點。
1、終端對網關的綁定要堅實可靠,這個綁定能夠抵制被病毒搗毀。
2、接入路由器或網關要對下面終端IP-MAC的識別始終保證唯一準確。
3、網絡內要有一個最可依賴的機構,提供對網關IP-MAC最強大的保護。它既能夠分發正確的網關信息,又能夠對出現的假網關信息立即封殺。
免疫網絡在這三個問題上,都有專門的技術解決手段,而且這些技術都是廠傢欣全向的技術專利。下面我們會詳細說明。現在,我們要先做一個免疫網絡結構和實施的簡單介紹。
免疫網絡就是在現有的路由器、交換機、網卡、網線構成的普通交換網絡基礎上,加入一套安全和管理的解決方案。這樣一來,在普通的網絡通信中,就融合進瞭安全和管理的機制,保證瞭在網絡通信過程中具有瞭安全管控的能力,堵上瞭普通網絡對安全從不設防的先天漏洞。
實施一個免疫網絡不是一個很復雜的事,代價並不大。它要做的僅僅是用免疫墻路由器或免疫網關,替換掉現有的寬帶接入設備。在免疫墻路由器下,需要自備一臺服務器24小時運行免疫運營中心。免疫網關不需要,已自帶服務器。這就是方案的所需要的硬件調整措施。
軟性的網絡調整是IP規劃、分組策略、終端自動安裝上網驅動等配置和安裝工作,以保證整個的安全管理功能有效地運行。其實這部分工作和網管員對網絡日常的管理沒有太大區別。
免疫網絡具有強大的網絡基礎安全和管理功能,對ARP的防范僅是其十分之一不到的能力。但本文談的是ARP問題,所以我們需要回過頭來,具體地解釋免疫網絡對ARP欺騙和攻擊防范的機理。至於免疫網絡更多的強大,可以後續研究。
前述治理ARP問題的三個技術要點,終端綁定、網關、機構三個環節,免疫網絡分別采用瞭專門的技術手段。
1、終端綁定采用瞭看守式綁定技術。免疫網絡需要每一臺終端自動安裝驅動,不安裝或卸載就不能上網。在驅動中的看守式綁定,就是把正確的網關信息存貯在非公開的位置加以保護,任何對網關信息的更改,由於看守程序的嚴密監控,都是不能成功的,這就完成瞭對終端綁定牢固可靠的要求。
2、免疫墻路由器或免疫網關的ARP先天免疫技術。在NAT轉發過程中,由於加入瞭特殊的機制,免疫墻路由器根本不理會任何對終端IP-MAC的ARP申告,也就是說,誰都無法欺騙網關。與其他路由器不同,免疫墻路由器沒有使用IP-MAC的列表進行工作,當然也不需要繁瑣的路由器IP-MAC表綁定和維護操作。先天免疫,就是不用管也具有這個能力。
3、保證網關IP-MAC始終正確的機構,在免疫網絡中是一套安全機制。首先,它能夠做到把從路由器中取到的真實網關信息,分發到每一個網內終端,而安裝有驅動的終端,隻接受這樣的信息,其他信息不能接受,保證瞭網關的唯一正確性。其次,在每一臺終端,免疫驅動都會攔截病毒發出的錯誤網關傳播,不使其流竄到網絡內,把ARP欺騙和攻擊從根源上切斷。
點評:從以上三個措施來看,免疫網絡確實真正解決瞭困擾已久的ARP問題,技術上是嚴謹的,應用上是可行的,成本也是相對低廉。所以,與常見的四種ARP防范辦法比較,免疫網絡是解決ARP最根本的辦法
Orignal From: 如何有效的防止ARP欺騙和攻擊問題
留言列表
