IDC機房也能徹底防arp攻擊
一般計算機IDC機房中的原始的ARP協(xié)議�����,很像一個容易被人影響的人��,ARP欺騙/攻擊就是利用這個特性�,誤導(dǎo)計算機作出錯誤的行為���。原始的ARP協(xié)議運作�,會附在局域網(wǎng)接收的廣播包或是ARP詢問包�,無條件覆蓋本機緩存中的ARP/MAC對照表。這個特性好比一個意志不堅定的人���,聽了每一個人和他說話都信以為真���,并立刻以最新聽到的信息作決定����。常見ARP攻擊對象有兩種�,一是網(wǎng)絡(luò)網(wǎng)關(guān)���,也就是路由器���,二是局域網(wǎng)上的計算機,也就是一般用戶�。攻擊網(wǎng)絡(luò)網(wǎng)關(guān)就好比發(fā)送錯誤的地址信息給快遞員,讓快遞員整個工作大亂�����,所有信件無法正常送達;而攻擊一般計算機就是直接和一般人謊稱自己就是快遞員����,讓一IDC機房般用戶把需要傳送物品傳送給發(fā)動攻擊的計算機。由于一般的計算機及路由器的ARP協(xié)議的意志都不堅定����,因此只要有惡意計算機在局域網(wǎng)持續(xù)發(fā)出錯誤的ARP訊息,就會讓計算機及路由器信以為真�,作出錯誤的傳送網(wǎng)絡(luò)包動作。一般的ARP就是以這樣的方式����,造成網(wǎng)絡(luò)運作不正常����,達到盜取用戶密碼或破壞網(wǎng)絡(luò)運作的目的��。針對ARP攻擊的防治����,常見的方法,可以分為以下三種作法: 1��、利用ARP echo傳送正確的ARP訊息:通過頻繁地提醒正確的ARP對照表���,來達到防治的效果; 2�����、利用綁定方式�,固定ARP對照表不受外來影響:通過固定正確的ARP對照表�,來達到防治的效果; 3、舍棄ARP協(xié)議��,采用其它尋址協(xié)議:不采用ARP作為傳送的機制��,而另行使用其它協(xié)議例如PPPoE方式傳送。 以上三種方法中�,IDC機房前兩種方法較為常見�����,第三種方法由于變動較大��,適用于技術(shù)能力較佳的應(yīng)用���。下面針對前兩種方法加以說明�。
一��、ARP echo
ARP echo是最早開發(fā)出來的ARP攻擊解決方案�����,但隨著ARP攻擊的發(fā)展����,漸漸失去它的效果。現(xiàn)在��,這個方法不但面對攻擊沒有防治效果�,還會降低局域網(wǎng)運作的效能�,但是很多用戶仍然以這個方法來進行防治��。以前面介紹的思想不堅定的快遞員的例子來說����,ARP echo的作法,等于是時時用電話提醒快遞員正確的發(fā)送對象及地址���,減低他被鄰近的各種信息干擾的情況���。。
常見的ARP echo處理手法有兩種���,一種是由路由器持續(xù)發(fā)送�,另一則是在計算機或服務(wù)器安裝軟件發(fā)送�。路由器持續(xù)發(fā)送的缺點是路由器原本的工作就很忙,因此無法發(fā)送高頻率的廣播包���,被覆蓋掉的機會很大��,因此面對新型的ARP攻擊防治效果小�。因此�����,有些解決方法,就是拿ARP攻擊的軟件來用�,只是持續(xù)發(fā)出正確的網(wǎng)關(guān)、服務(wù)器對照表���,安裝在服務(wù)器或是計算機上,由于
服務(wù)器或是計算機運算能力較強�����,可以同一時間內(nèi)發(fā)出更多廣播包��,效果較大��,但是這種作法一則大幅影響局域網(wǎng)工作�����,因為整個局域網(wǎng)都被廣播包占據(jù)�,另則攻擊軟件通常會設(shè)定更高頻率的廣播包,誤導(dǎo)局域網(wǎng)計算機�,效果仍然有限。
此外�,ARP echo一般是發(fā)送網(wǎng)關(guān)及私服的對照信息�����,對于防止局域網(wǎng)計算機被騙有效果�����,對于路由器沒有效果�����,仍需作綁定的動作才可IDC機房����。
二�����、ARP綁定
ARP echo的作法是不斷提醒計算機正確的ARP對照表�,ARP綁定則是針對ARP協(xié)議"思想不堅定"的基本問題來加以解決IDC機房。中國網(wǎng)域技術(shù)服務(wù)人員認為�,ARP綁定的作法,等于是從基本上給這個快遞員培訓(xùn)���,讓他把正確的人名及地址記下來�,再也不受其它人的信息干擾。由于快遞員腦中記住了這個對照表�����,因此完全不會受到有心人士的干擾�����,能有效地完成工作���。在這種情況下,無論如何都可以防止因受到攻擊而掉線的情況發(fā)生��。
目前較佳解決方案就是MAC雙向綁定�,雖然對IDC商與運營商帶來一定的工作量,但是其效果確是從根本上有效的����。據(jù)傳中國網(wǎng)域網(wǎng)已在上海電信機房開設(shè)了首個防ARP欺騙/攻擊的主機托管專區(qū),下周開始給新老客戶提供免費測試服務(wù)�����,真正做到100%防ARP欺騙/攻擊,斬斷ARP欺騙/攻擊這一新興黑色產(chǎn)業(yè)鏈����,為用戶營造穩(wěn)定、安全的托管環(huán)境����。
詳情請咨詢鄧小姐:0756-2291117 QQ:634909961
續(xù)費咨詢
提交工單