ARP***的原理和演化
對以太網有所認識的人都知道,ARP表是每臺設備(電腦)的MAC地址和IP地址的關係對應表。如果設備需要在局域網中利用TCP/IP協議進行通信的話,必須有這樣一張ARP表。
ARP表是每臺設備(電腦)自行維護的,而ARP表的數據,是來自於開放的“ARP廣播”機制,由每臺設備在網上廣播自己的IP/MAC地址的對應關係來做到的。
這樣就存在一個很大的隱患,就是惡意程序可以利用這種開放機制,發送錯誤的IP/MAC地址對應關係,達到特定的目的。
初期:ARP欺騙
這種有目的的發佈錯誤ARP廣播包的行爲,被稱爲ARP欺騙。ARP欺騙,最初爲***所用,成爲***竊取網絡數據的主要手段。***通過發佈錯誤的ARP廣播包,阻斷正常通信,並將自己所用的電腦僞裝稱別的電腦,這樣原本發往其他電腦的數據,就發到了***的電腦上,達到竊取數據的目的。
中期:ARP惡意***
後來,有人利用這一原理,製作了一些所謂的“管理軟件”,例如網路剪刀手、執法官、終結者等,這樣就導致了ARP惡意***的泛濫。往往使用這種軟件的人,以惡意破壞爲目的,多是爲了讓別人斷線,逞一時之快。
特別是在網吧中,或者因爲商業競爭的目的、或者因爲個人無聊泄憤,造成惡意ARP***氾濫。
隨着網吧經營者摸索出禁用這些特定軟件的方法,這股風潮也就漸漸平息下去了。
現在:綜合的ARP***
最近這一波ARP***潮,其目的、方式多樣化,衝擊力度、影響力也比前兩個階段大很多。
首先是病毒加入了ARP***的行列。以前的病毒***網絡以廣域網爲主,最有效的***方式是DDOS***。但是隨着防範能力的提高,病毒製造者將目光投向局域網,開始嘗試ARP***,例如最近流行的威金病毒,ARP***是其使用的***手段之一。
相對病毒而言,盜號程序對網吧運營的困惑更大。盜號程序是爲了竊取用戶帳號密碼數據而進行ARP欺騙,同時又會影響的其他電腦上網。
ARP***造成的現象
ARP的***的問題影響面很大,管理好的網吧企業往往都認識到這個問題,在積極尋求解決的方案。但是很多網吧和企業並沒有認識到這個問題,因爲沒有注意到網絡運行中遇到的“奇怪的故障”,所以對成因也認識不到,只知道自己的系統有問題,但是哪裏有問題,卻搞不清楚。
這裏列出幾種因ARP***造成的現象:
大面積同時掉線和卡―――這種情況往往是ARP病毒的表現,也有少數盜號程序是這種現象。
電腦挨個掉線或者卡―――這種情況多是盜號程序所爲,因爲盜號程序往往是按照IP地址順序進行***,所以出現電腦挨個掉線的情況。如果盜號程序做的針對性強,就出現玩同一種遊戲的電腦挨個掉線。
掉線和卡好像有某種時間規律―――現在ARP***往往都藏在外掛和網頁裏面,所以就和用戶的使用習慣有關,當某個時間用戶來了,他(她)習慣地使用某種程序或者打開某個網頁時,***就開始了,他(她)一離開關機,***就停止了。所以說好像有某一種時間規律。但是這種用戶有幾天沒有來,就幾天沒有故障,網管就會覺得問題又莫明其妙沒有了。
一般ARP***的對治方法
現在最常用的基本對治方法是“ARP雙向綁定”。
由於ARP***往往不是病毒造成的,而是合法運行的程序(外掛、網頁)造成的,所殺毒軟件多數時候束手無策。
所謂“雙向綁定”,就是再路由器上綁定ARP表的同時,在每臺電腦上也綁定一些常用的ARP表項。
“ARP雙向綁定”能夠防禦輕微的、手段不高明的ARP***。ARP***程序如果沒有試圖去更改綁定的ARP表項,那麼ARP***就不會成功;如果***手段不劇烈,也欺騙不了路由器,這樣我們就能夠防住50%ARP***。
但是現在ARP***的程序往往都是合法運行的,所以能夠合法的更改電腦的ARP表項。在現在ARP雙向綁定流行起來之後,***程序的作者也提高了***手段,***的方法更綜合,另外***非常頻密,僅僅進行雙向綁定已經不能夠應付兇狠的ARP***了,仍然很容易出現掉線。
於是我們在路由器中加入了“ARP***主動防禦”的功能。這個功能是在路由器ARP綁定的基礎上實現的,原理是:當網內受到錯誤的ARP廣播包***時,路由器立即廣播正確的ARP包去修正和消除***包的影響。這樣我們就解決了掉線的問題,但是在最兇悍的ARP***發生時,仍然發生了問題----當ARP***很頻密的時候,就需要路由器發送更頻密的正確包去消除影響。雖然不掉線了,但是卻出現了上網“卡”的問題。
所以,我們認爲,依靠路由器實現“ARP***主動防禦”,也只能夠解決80%的問題。
爲了徹底消除ARP***,我們在此基礎上有增加了“ARP***源***跟蹤”的功能。對於剩下的強悍的ARP***,我採用“日誌”功能,提供信息方便用戶跟蹤***源,這樣用戶通過臨時切斷***電腦或者封殺發出***的程序,能夠解決問題。
徹底解決ARP***
事實上,由於路由器是整個局域網的出口,而ARP***是以整個局域網爲目標,當ARP***包已經達到路由器的時候,影響已經照成。所以由路由器來承擔防禦ARP***的任務只是權宜之計,並不能很好的解決問題。
我們要真正消除ARP***的隱患,安枕無憂,必須轉而對“局域網核心”――交換機下手。由於任何ARP包,都必須經由交換機轉發,才能達到被***目標,只要交換機據收非法的ARP包,哪麼ARP***就不能造成任何影響。
我們提出一個真正嚴密的防止ARP***的方案,就是在每臺接入交換機上面實現ARP綁定,並且過濾掉所有非法的ARP包。這樣可以讓ARP***足不能出戶,在局域網內完全消除了ARP***。
因爲需要每臺交換機都具有ARP綁定和相關的安全功能,這樣的方案無疑價格是昂貴的,所以我們提供了一個折衷方案。
經濟方案
我們只是中心採用能夠大量綁定ARP和進行ARP***防禦的交換機――Netcore 7324NSW,這款交換機能夠做到ARP綁定條目可以達到1000條,因此基本上可以對整網的ARP進行綁定,同時能杜絕任何非法ARP包在主交換機進行傳播。
這樣如果在強力的ARP***下,我們觀察到的現象是:ARP***只能影響到同一個分支交換機上的電腦,這樣可能被***到的範圍就大大縮小了。當***發生時,不可能造成整個網絡的問題。
在此基礎上,我們再補充“日誌”功能和“ARP主動防禦”功能,ARP***也可以被完美的解決。
ARP***最新動態
最近一段時間,各網吧發現的ARP***已經升級,又一波ARP***的高潮來臨。
這次ARP***發現的特徵有:
1、 速度快、效率高,大概在10-20秒的時間內,能夠造成300臺規模的電腦掉線。
2、 不易發現。在***完成後,立即停止***並更正ARP信息。如果網內沒有日誌功能,再去通過ARP命令觀察,已經很難發現***痕跡。
3、 能夠破解最新的XP和2000的ARP補丁,微軟提供的補丁很明顯在這次***很脆弱,沒有作用。
4、 介質變化,這次***的來源來自私服程序本身(不是外掛)和P2P程序。