如何有效的防止ARP攻擊

關於這個問題的討論已經很深入了，對ARP攻擊的機理了解的很透徹，各種防範措施也層出不窮。但問題是，現在真正擺脫ARP問題困擾了嗎？從用戶那裏了解到，雖然嘗試過各種方法，但這個問題並沒有根本解決。原因就在於，目前很多種ARP防範措施，壹是解決措施的防範能力有限，並不是最根本的辦法。二是對網絡管理約束很大，不方便不實用，不具備可操作性。三是某些措施對網絡傳輸的效能有損失，網速變慢，帶寬浪費，也不可取。本文通過具體分析壹下普遍流行的四種防範ARP措施，去了解為什麽ARP問題始終不能根治。上篇：四種常見防範ARP措施的分析壹、雙綁措施雙綁是在路由器和終端上都進行IP-MAC綁定的措施，它可以對ARP欺騙的兩邊，偽造網關和截獲數據，都具有約束的作用。這是從ARP欺騙原理上進行的防範措施，也是最普遍應用的辦法。它對付最普通的ARP欺騙是有效的。但雙綁的缺陷在於3點：1、在終端上進行的靜態綁定，很容易被升級的ARP攻擊所搗毀，病毒的壹個ARP–d命令，就可以使靜態綁定完全失效。2、在路由器上做IP-MAC表的綁定工作，費時費力，是壹項繁瑣的維護工作。換個網卡或更換IP，都需要重新配置路由。對於流動性電腦，這個需要隨時進行的綁定工作，是網絡維護的巨大負擔，網管員幾乎無法完成。3、雙綁只是讓網絡的兩端電腦和路由不接收相關ARP信息，但是大量的ARP攻擊數據還是能發出，還要在內網傳輸，大幅降低內網傳輸效率，依然會出現問題。因此，雖然雙綁曾經是ARP防範的基礎措施，但因為防範能力有限，管理太麻煩，現在它的效果越來越有限了。二、ARP個人防火墻在壹些殺毒軟件中加入了ARP個人防火墻的功能，它是通過在終端電腦上對網關進行綁定，保證不受網絡中假網關的影響，從而保護自身數據不被竊取的措施。ARP防火墻使用範圍很廣，有很多人以為有了防火墻，ARP攻擊就不構成威脅了，其實完全不是那麽回事。ARP個人防火墻也有很大缺陷：1、它不能保證綁定的網關壹定是正確的。如果壹個網絡中已經發生了ARP欺騙，有人在偽造網關，那麽，ARP個人防火墻上來就會綁定這個錯誤的網關，這是具有極大風險的。即使配置中不默認而發出提示，缺乏網絡知識的用戶恐怕也無所適從。2、ARP是網絡中的問題，ARP既能偽造網關，也能截獲數據，是個“雙頭怪”。在個人終端上做ARP防範，而不管網關那端如何，這本身就不是壹個完整的辦法。ARP個人防火墻起到的作用，就是防止自己的數據不會被盜取，而整個網絡的問題，如掉線、卡滯等，ARP個人防火墻是無能為力的。因此，ARP個人防火墻並沒有提供可靠的保證。最重要的是，它是跟網絡穩定無關的措施，它是個人的，不是網絡的。三、VLAN和交換機端口綁定通過劃分VLAN和交換機端口綁定，以圖防範ARP，也是常用的防範方法。做法是細致地劃分VLAN，減小廣播域的範圍，使ARP在小範圍內起作用，而不至於發生大面積影響。同時，壹些網管交換機具有MAC地址學習的功能，學習完成後，再關閉這個功能，就可以把對應的MAC和端口進行綁定，避免了病毒利用ARP攻擊篡改自身地址。也就是說，把ARP攻擊中被截獲數據的風險解除了。這種方法確實能起到壹定的作用。不過，VLAN和交換機端口綁定的問題在於：1、沒有對網關的任何保護，不管如何細分VLAN，網關壹旦被攻擊，照樣會造成全網上網的掉線和癱瘓。2、把每壹臺電腦都牢牢地固定在壹個交換機端口上，這種管理太死板了。這根本不適合移動終端的使用，從辦公室到會議室，這臺電腦恐怕就無法上網了。在無線應用下，又怎麽辦呢？還是需要其他的辦法。3、實施交換機端口綁定，必定要全部采用高級的網管交換機、三層交換機，整個交換網絡的造價大大提高。因為交換網絡本身就是無條件支持ARP操作的，就是它本身的漏洞造成了ARP攻擊的可能，它上面的管理手段不是針對ARP的。因此，在現有的交換網絡上實施ARP防範措施，屬於以子之矛攻子之盾。而且操作維護復雜，基本上是個費力不討好的事情。四、PPPoE網絡下面給每壹個用戶分配壹個帳號、密碼，上網時必須通過PPPoE認證，這種方法也是防範ARP措施的壹種。PPPoE撥號方式對封包進行了二次封裝，使其具備了不受ARP欺騙影響的使用效果，很多人認為找到了解決ARP問題的終極方案。問題主要集中在效率和實用性上面：1、PPPoE需要對封包進行二次封裝，在接入設備上再解封裝，必然降低了網絡傳輸效率，造成了帶寬資源的浪費，要知道在路由等設備上添加PPPoE Server的處理效能和電信接入商的PPPoE Server可不是壹個數量級的。2、PPPoE方式下局域網間無法互訪，在很多網絡都有局域網內部的域控服務器、DNS服務器、郵件服務器、OA系統、資料***享、打印***享等等，需要局域網間相互通信的需求，而PPPoE方式使這壹切都無法使用，是無法被接受的。3、不使用PPPoE，在進行內網訪問時，ARP的問題依然存在，什麽都沒有解決，網絡的穩定性還是不行。因此，PPPoE在技術上屬於避開底層協議連接，眼不見心不煩，通過犧牲網絡效率換取網絡穩定。最不能接受的，就是網絡只能上網用，內部其他的***享就不能在PPPoE下進行了。通過對以上四種普遍的ARP防範方法的分析，我們可以看出，現有ARP防範措施都存在問題。這也就是ARP即使研究很久很透，但依然在實踐中無法徹底解決的原因所在了。下篇：免疫網絡是解決ARP最根本的辦法道高壹尺魔高壹丈，網絡問題必定需要網絡的方法去解決。目前，欣全向推廣的免疫網絡就是徹底解決ARP問題的最實際的方法。從技術原理上，徹底解決ARP欺騙和攻擊，要有三個技術要點。1、終端對網關的綁定要堅實可靠，這個綁定能夠抵制被病毒搗毀。2、接入路由器或網關要對下面終端IP-MAC的識別始終保證唯壹準確。3、網絡內要有壹個最可依賴的機構，提供對網關IP-MAC最強大的保護。它既能夠分發正確的網關信息，又能夠對出現的假網關信息立即封殺。免疫網絡在這三個問題上，都有專門的技術解決手段，而且這些技術都是廠家欣全向的技術專利。下面我們會詳細說明。現在，我們要先做壹個免疫網絡結構和實施的簡單介紹。免疫網絡就是在現有的路由器、交換機、網卡、網線構成的普通交換網絡基礎上，加入壹套安全和管理的解決方案。這樣壹來，在普通的網絡通信中，就融合進了安全和管理的機制，保證了在網絡通信過程中具有了安全管控的能力，堵上了普通網絡對安全從不設防的先天漏洞。免疫網絡的結構實施壹個免疫網絡不是壹個很復雜的事，代價並不大。它要做的僅僅是用免疫墻路由器或免疫網關，替換掉現有的寬帶接入設備。在免疫墻路由器下，需要自備壹臺服務器24小時運行免疫運營中心。免疫網關不需要，已自帶服務器。這就是方案的所需要的硬件調整措施。軟性的網絡調整是IP規劃、分組策略、終端自動安裝上網驅動等配置和安裝工作，以保證整個的安全管理功能有效地運行。其實這部分工作和網管員對網絡日常的管理沒有太大區別。免疫網絡的監控中心免疫網絡具有強大的網絡基礎安全和管理功能，對ARP的防範僅是其十分之壹不到的能力。但本文談的是ARP問題，所以我們需要回過頭來，具體地解釋免疫網絡對ARP欺騙和攻擊防範的機理。至於免疫網絡更多的強大，可以後續研究。前述治理ARP問題的三個技術要點，終端綁定、網關、機構三個環節，免疫網絡分別采用了專門的技術手段。1、終端綁定采用了看守式綁定技術。免疫網絡需要每壹臺終端自動安裝驅動，不安裝或卸載就不能上網。在驅動中的看守式綁定，就是把正確的網關信息存貯在非公開的位置加以保護，任何對網關信息的更改，由於看守程序的嚴密監控，都是不能成功的，這就完成了對終端綁定牢固可靠的要求。2、免疫墻路由器或免疫網關的ARP先天免疫技術。在NAT轉發過程中，由於加入了特殊的機制，免疫墻路由器根本不理會任何對終端IP-MAC的ARP申告，也就是說，誰都無法欺騙網關。與其他路由器不同，免疫墻路由器沒有使用IP-MAC的列表進行工作，當然也不需要繁瑣的路由器IP-MAC表綁定和維護操作。先天免疫，就是不用管也具有這個能力。