ARP這塊的東西現(xiàn)在還是令人頭痛的�����,那么今天我就從當(dāng)一次專家給大家分析一下ARP這塊東西到底該怎么去做才可以徹底的防�。
arp在目前看來可以分為7中之多�。
1��、arp欺騙(網(wǎng)關(guān)�、pc)
2、arp攻擊
3����、arp殘缺
4、海量arp
5��、二代arp(假ip���、假mac)
因為二代的arp最難解決�����,現(xiàn)在我就分析一下二代arp的問題���。
現(xiàn)象 ARP出現(xiàn)了新變種,二代ARP攻擊已經(jīng)具有自動傳播能力���,已有的宏文件綁定方式已經(jīng)被破��,網(wǎng)絡(luò)有面臨新一輪的掉線和卡滯盜號的影響�!
原理 二代ARP主要表現(xiàn)在病毒通過網(wǎng)絡(luò)訪問或是主機間的訪問互相傳播��。由于病毒已經(jīng)感染到電腦主機���,可以輕而易舉的清除掉客戶機電腦上的ARP靜態(tài)綁定(首先執(zhí)行的是arp -d然后在執(zhí)行的是arp -s �����,此時綁定的是一個錯誤的MAC)伴隨著綁定的取消�,錯誤的網(wǎng)關(guān)IP和MAC的對應(yīng)并可以順利的寫到客戶機電腦����,ARP的攻擊又暢通無阻了。
解決辦法 (1)部分用戶采用的雙/單項綁定后�����,ARP攻擊得到了一定的控制。
面臨問題 雙綁和單綁都需要在客戶機上綁定���。二代ARP攻擊會清除電腦上的綁定��,使得電腦靜態(tài)綁定的方式無效��。
(2)部分用戶采用一種叫作循環(huán)綁定的辦法���,就是每過一段時間客戶端自動綁定一個IP/MAC。
面臨問題 如果我們循環(huán)綁定的時間較長(比arp清除的時間長)就是說在循環(huán)綁定進(jìn)行第二次綁定之前就被清除了����,這樣對arp的防范仍然無效。如果循環(huán)綁定的時間過短(比arp清除時間短)這塊就會暫用更多的系統(tǒng)資源�,這樣就是得不償失
(3)部分用戶采用一種叫作arp防護(hù),就是網(wǎng)關(guān)每過一段時間按照一定的頻率在內(nèi)網(wǎng)發(fā)送正確網(wǎng)關(guān)IP/MAC
面臨問題 如果發(fā)送的頻率過快(每秒發(fā)送的ARP多)就會嚴(yán)重的消耗內(nèi)網(wǎng)的資源(容易造成內(nèi)網(wǎng)的堵塞)����,如果發(fā)送頻率太慢(沒有arp協(xié)議攻擊發(fā)出來頻率高)在arp防范上面沒有絲毫的作用。
最徹底的辦法
(4)arp是個雙頭怪要想徹底解決必須要首尾兼顧有兩種方式可以實現(xiàn)
第一 采用看守式綁定的方法����,實時監(jiān)控電腦ARP緩存����,確保緩存內(nèi)網(wǎng)關(guān)MAC和IP的正確對應(yīng)���。在arp緩存表里會有一個靜態(tài)的綁定,如果受到arp的攻擊�,或只要有公網(wǎng)的請求時,這個靜態(tài)的綁定又會自動的跳出��,所以并不影響網(wǎng)絡(luò)的正確的訪問��。這種方式是安全與網(wǎng)卡功能融合的一種表現(xiàn)��,也叫作終端抑制
第二就是在網(wǎng)絡(luò)接入架構(gòu)上要有安全和網(wǎng)絡(luò)功能的融合就是在接入網(wǎng)關(guān)做NAT的時候不是按照傳統(tǒng)路由那樣根據(jù)MAC/IP映射表來轉(zhuǎn)發(fā)數(shù)據(jù)�,而是根據(jù)他們在NAT表中的MAC來確定(這樣就會是只要數(shù)據(jù)可以轉(zhuǎn)發(fā)出去就一定可以回來)就算ARP大規(guī)模的爆發(fā),arp表也混亂了但是并不會給我們的網(wǎng)絡(luò)造成任何影響�����。(不看IP/MAC映射表)這種方法在現(xiàn)有控制ARP中也是最徹底的�。也被稱為是免疫網(wǎng)絡(luò)的重要特征。
