频道栏目
首页 > 资讯 > 网络安全 > 正文

ARP攻击防制的基本方法_路由器怎么抵御ARP病毒

17-12-11        来源:[db:作者]  
收藏   我要投稿

ARP欺骗攻击反复袭击,是近来网络行业普遍了解的现象,随着ARP攻击的不断升级,不同的解决方案在市场上流传。这里小编解释了ARP攻击防制的基本思想。我们认为读者如果能了解这个基本思想,就能自行判断何种防制方式有效,也能了解为何双向绑定是一个较全面又持久的解决方式。

路由器如何防止ARP病毒攻击

不坚定的ARP协议

一般计算机中的原始的ARP协议,很像一个思想不坚定,容易被其它人影响的人,ARP欺骗/攻击就是利用这个特性,误导计算机作出错误的行为。ARP攻击的原理,互联网上很容易找到,这里不再覆述。原始的ARP协议运作,会附在局域网接收的广播包或是ARP询问包,无条件覆盖本机缓存中的ARP/MAC对照表。这个特性好比一个意志不坚定的人,听了每一个人和他说话都信以为真,并立刻以最新听到的信息作决定。

就像一个没有计划的快递员,想要送信给“张三”,只在马路上问“张三住那儿?”,并投递给最近和他说“我就是!”或“张三住那间!”,来决定如何投递一样。在一个人人诚实的地方,快递员的工作还是能切实地进行;但若是旁人看快递物品值钱,想要欺骗取得的话,快递员这种工作方式就会带来混乱了。

我们再回来看ARP攻击和这个意志不坚定快递员的关系。常见ARP攻击对象有两种,一是网络网关,也就是路由器,二是局域网上的计算机,也就是一般用户。攻击网络网关就好比发送错误的地址信息给快递员,让快递员整个工作大乱,所有信件无法正常送达;而攻击一般计算机就是直接和一般人谎称自己就是快递员,让一般用户把需要传送物品传送给发动攻击的计算机。

针对ARP攻击的防制方法

1、利用ARP echo传送正确的ARP讯息:通过频繁地提醒正确的ARP对照表,来达到防制的效果。

2、利用绑定方式,固定ARP对照表不受外来影响:通过固定正确的ARP对照表,来达到防制的效果。

3、舍弃ARP协议,采用其它寻址协议:不采用ARP作为传送的机制,而另行使用其它协议例如PPPoE方式传送。

以上三种方法中,前两种方法较为常见,第三种方法由于变动较大,适用于技术能力较佳的应用。下面针对前两种方法加以说明。

PK 赛之“ARP echo”

ARP echo是最早开发出来的ARP攻击解决方案,但随着ARP攻击的发展,渐渐失去它的效果。现在,这个方法不但面对攻击没有防制效果,还会降低局域网运作的效能,但是很多用户仍然以这个方法来进行防制。以前面介绍的思想不坚定的快递员的例子来说,ARP echo的作法,等于是时时用电话提醒快递员正确的发送对象及地址,减低他被邻近的各种信息干扰的情况。

但是这种作法,明显有几个问题:第一,即使时时提醒,但由于快递员意志不坚定,仍会有部份的信件因为要发出时刚好收到错误的信息,以错误的方式送出去;这种情况如果是错误的信息频率特高,例如有一个人时时在快递员身边连续提供信息,即使打电话提醒也立刻被覆盖,效果就不好;第二,由于必须时时提醒,而且为了保证提醒的效果好,还要加大提醒的间隔时间,以防止被覆盖,就好比快递员一直忙于接听总部打来的电话,根本就没有时间可以发送信件,耽误了正事;第三,还要专门指派一位人时时打电话给快递员提醒,等于要多派一个人手负责,而且持续地提醒,这个人的工作也很繁重。

以ARP echo方式对应ARP攻击,也会发生相似的情况。第一,面对高频率的新式ARP攻击,ARP echo发挥不了效果,掉线断网的情况仍旧会发生。ARP echo的方式防制的对早期以盗宝为目的的攻击软件有效果,但碰到最近以攻击为手段的攻击软件则公认是没有效果的。第二,ARP echo手段必须在局域网上持续发出广播网络包,占用局域网带宽,使得局域网工作的能力降低,整个局域网的计算机及交换机时时都在处理ARP echo广播包,还没受到攻击局域网就开始卡了。第三,必须在局域网有一台负责负责发ARP echo广播包的设备,不管是路由器、服务器或是计算机,由于发包是以一秒数以百计的方式来发送,对该设备都是很大的负担。

常见的ARP echo处理手法有两种,一种是由路由器持续发送,另一则是在计算机或服务器安装软件发送。路由器持续发送的缺点是路由器原本的工作就很忙,因此无法发送高频率的广播包,被覆盖掉的机会很大,因此面对新型的ARP攻击防制效果小。因此,有些解决方法,就是拿ARP攻击的软件来用,只是持续发出正确的网关、服务器对照表,安装在服务器或是计算机上,由于服务器或是计算机运算能力较强,可以同一时间内发出更多广播包,效果较大,但是这种作法一则大幅影响局域网工作,因为整个局域网都被广播包占据,另则攻击软件通常会设定更高频率的广播包,误导局域网计算机,效果仍然有限。

此外,ARP echo一般是发送网关及私服的对照信息,对于防止局域网计算机被骗有效果,对于路由器没有效果,仍需作绑定的动作才可。

PK赛之“ARP绑定”

ARP echo的作法是不断提醒计算机正确的ARP对照表,ARP绑定则是针对ARP协议“思想不坚定“的基本问题来加以解决。Qno侠诺技术服务人员认为,ARP绑定的作法,等于是从基本上给这个快递员培训,让他把正确的人名及地址记下来,再也不受其它人的信息干扰。由于快递员脑中记住了这个对照表,因此完全不会受到有心人士的干扰,能有效地完成工作。在这种情况下,无论如何都可以防止因受到攻击而掉线的情况发生。

但是ARP绑定并不是万灵药,还需要作的好才有完全的效果。第一,即使这个快递员思想正确,不受影响,但是攻击者的网络包还是会小幅影响局域网部份运作,网管必须通过网络监控或扫瞄的方法,找出攻击者加以去除;第二,必须作双向绑定才有完全的效果,只作路由器端绑定效果有限,一般计算机仍会被欺骗,而发生掉包或掉线的情况。

双向绑定的解决方法,最为网管不喜欢的就是必须一台一台加以绑定,增加工作量。但是从以上的说明可知道,只有双向绑定才能有效果地解决ARP攻击的问题,而不会发生防制效果不佳、局域网效率受影响、影响路由器效能或影响服务器效能的缺点。也就是说双向绑定是个硬工夫,可以较全面性地解决现在及未来ARP攻击的问题,网管为了一时的省事,而采取片面的ARP echo解决方式,未来还是要回来解决这个问题。

另外,对于有自动通过局域网安装软件的网络,例如网吧的收费系统、无盘系统,都可以透过自动的批次档,自动在开机时完成绑定的工作,网管只要撰写一个统一的批次文件程序即可,不必一一配置。这些信息可以很容易地在互联网上通过搜索找到或者是向Qno侠诺的技术服务人员索取即可。

现阶段较佳解决方案——双向绑定

以上以思想不坚定的快递员情况,说明了常见的ARP攻击防制方法。ARP攻击利用的就是ARP协议的意志不坚,只有以培训的方式让ARP协议的意志坚定,明白正确的工作方法,才能从根本解决问题。只是依赖频繁的提醒快递员正确的作事方法,但是没有能从快递员意志不坚的特点着手,就好像只管不教,最终大家都很累,但是效果仍有限。

Qno侠诺的技术服务人员建议,面对这种新兴攻击,取巧用省事的方式准备,最后的结果可能是费事又不管用,必须重新来过。ARP双向绑定虽然对网管带来一定的工作量,但是其效果确是从根本上有效,而且网管也可参考自动批次档的作法,加快配置自动化的进行,更有效地对抗ARP攻击。

路由器防止ARP病毒攻击的方法

近期,国内多家网吧出现短时间内断线(全断或部分断)的现象,但会在很短的时间内会自动恢复。这是因为MAC地址冲突引起的,当带毒机器的MAC映射到主机或者路由器之类的NAT设备,那么全网断线,如果只映射到网内其他机器,则只有这部分机器出问题。多发于传奇游戏特别是私服务外挂等方面。此类情况就是网络受到了ARP病毒攻击的明显表现,其目的在于,该病毒破解游戏加密解密算法,通过截取局域网中的数据包,然后分析游戏通讯协议的方法截获用户的信息。运行这个病毒,就可以获得整个局域网中游戏玩家的详细信息,盗取用户帐号信息。下面我们谈谈如何防制这种攻击。

首先,我们先简单了解一下什么是ARP病毒攻击,这种病毒是对内网的PC进行攻击,使内网PC机的ARP表混乱,在局域网中,通过ARP协议来完成IP地址转换为第二层物理地址(即MAC地址)的。ARP协议对网络安全具有重要的意义。通过伪造IP地址和MAC地址实现ARP欺骗,能够在网络中产生大量的ARP通信量使网络阻塞。进行ARP重定向和嗅探攻击。用伪造源MAC地址发送ARP响应包,对ARP高速缓存机制的攻击。这些情况主要出现在网吧用户,造成网吧部分机器或全部机器暂时掉线或者不可以上网,在重新启动后可以解决,但保持不了多久有会出现这样的问题,网吧管理员对每台机器使用arp –a命令来检查ARP表的时候发现路由器的IP和MAC被修改,这就是ARP病毒攻击的典型症状。

这种病毒的程序如PWSteal.lemir或其变种,属于木马程序/蠕虫类病毒,Windows 95/98/Me/NT/2000/XP/2003将受到影响,病毒攻击的方式对影响网络连接畅通来看有两种,对路由器的ARP表的欺骗和对内网PC网关的欺骗,前者是先截获网关数据,再将一系列的错误的内网MAC信息不停的发送给路由器,造成路由器发出的也是错误的MAC地址,造成正常PC无法收到信息。后者ARP攻击是伪造网关。它先建立一个假网关,让被它欺骗的PC向假网关发数据,而不是通过正常的路由器途径上网。在PC看来,就是上不了网了,“网络掉线了”。

就这两种情况而言,如果对ARP病毒攻击进行防制的话我们必须得做路由器方面和客户端双方的设置才保证问题的最终解决。所以我们选择路由器的话最好看看路由器是否带有防制ARP病毒攻击的功能,Qno侠诺产品正好提供了这样的功能,相比其他产品操作简单易学。下面具体谈谈Qno侠诺路由器产品是如何设置防止ARP病毒攻击的。[page]

1、激活防止ARP病毒攻击

输入路由器IP地址登陆路由器的Web管理页面,进入“防火墙配置”的“基本页面”,再在右边找到“防止ARP病毒攻击”在这一行的“激活”前面做点选,再在页面最下点击“确认”。

2、在路由器端绑定用户IP/MAC地址

进入“DHCP功能”的“DHCP配置”,在这个页面的右下可以看到一个“IP与MAC绑定”你可以在此添加IP与MAC绑定,输入相关参数,在“激活”上点“√”选再“添加到对应列表”,重复操作添加内网里的其他IP与MAC的绑定,再点页面最下的“确定”。

当添加了对应列表之后,其对应的信息就会在下面的白色框里显示出来。不过建议不采用此方法,这样操作需要查询网络内所有主机IP/MAC地址工作量繁重,还有一种方法来绑定IP与MAC,操作会相对容易,可以减少大量的工作量,节约大量时间,下面就会讲到。

进入“DHCP功能”的“DHCP配置”找到IP与MAC绑定右边有一个“显示新加入的IP地址”点击进入

点击之后会弹出IP与MAC绑定列表对话框,此对话框里会显示网内未做绑定的pc的IP与MAC地址对应情况,输入计算机“名称”和“激活”上“√”选,再在右上角点确定。

此时你所绑定的选项就会出现在IP与MAC绑定列表框里,再点击“确认/Apply”绑完成。

3、对每台pc上绑定网关的IP和其MAC地址

进行这样的操作主要防止ARP欺骗网关IP和其MAC地址

首先在路由器端查找网关IP与MAC地址,

然后在每台PC机上开始/运行cmd进入dos操作,输入arp –s 192.168.1.1 0-0e-2e-5b-42-03,Enter后完成pc01的绑定。

针对网络内的其他主机用同样的方法输入相应的主机IP以及MAC地址完成IP与MAC绑定。但是此动作,如果重起了电脑,作用就会消失,所以可以把此命令做成一个批处理文件,放在操作系统的启动里面,批处理文件可以这样写:

@echo off

arp -d

arp -s路由器LAN IP 路由器LAN MAC

对于已经中了arp攻击的内网,要找到攻击源。方法:在PC上不了网或者ping丢包的时候,在DOS下打 arp –a命令,看显示的网关的MAC地址是否和路由器真实的MAC相同。如果不是,则查找这个MAC地址所对应的PC,这台PC就是攻击源。

其他的路由器用户的解决方案也是要在路由器和PC机端进行双向绑定IP地址与MAC地址来完成相应防制工作的,但在路由器端和PC端对IP地址与MAC地址的绑定比较复杂,需要查找每台PC机的IP地址与MAC加大了工作量,操作过程中还容易出错。

以上方法基本可以解决ARP病毒攻击对网络造成相关问题,以上方法也经过多个用户以及网吧实验,都达到了用户预期的效果。QNO侠诺产品的解决方法操作比较容易学习,而且不必要查找整个网络的IP/MAC地址,就可以在路由器端进行绑定,安全可靠。

相关TAG标签
上一篇:Python学习之def命令的使用
下一篇:java为移动端写接口(代码教程)
相关文章
图文推荐

关于我们 | 联系我们 | 广告服务 | 投资合作 | 版权申明 | 在线帮助 | 网站地图 | 作品发布 | Vip技术培训 | 举报中心

版权所有: 红黑联盟--致力于做实用的IT技术学习网站