一般ARP攻擊的對治方法

現在最常用的基本對治方法是“ARP雙向綁定”。

由于ARP攻擊往往不是病毒造成的， 而是合法運行的程序（外掛、網頁）造成的， 所殺毒軟件多數時候束手無策。

所謂“雙向綁定”， 就是再路由器上綁定ARP表的同時， 在每臺電腦上也綁定一些常用的ARP表項。

“ARP雙向綁定”能夠防御輕微的、手段不高明的ARP攻擊。 ARP攻擊程序如果沒有試圖去更改綁定的ARP表項， 那么ARP攻擊就不會成功；如果攻擊手段不劇烈， 也欺騙不了路由器， 這樣我們就能夠防住50％ARP攻擊。

但是現在ARP攻擊的程序往往都是合法運行的， 所以能夠合法的更改電腦的ARP表項。 在現在ARP雙向綁定流行起來之后， 攻擊程序的作者也提高了攻擊手段， 攻擊的方法更綜合， 另外攻擊非常頻密， 僅僅進行雙向綁定已經不能夠應付兇狠的ARP攻擊了， 仍然很容易出現掉線。

于是我們在路由器中加入了“ARP攻擊主動防御”的功能。 這個功能是在路由器ARP綁定的基礎上實現的， 原理是：當網內受到錯誤的ARP廣播包攻擊時， 路由器立即廣播正確的ARP包去修正和消除攻擊包的影響。 這樣我們就解決了掉線的問題， 但是在最兇悍的ARP攻擊發生時， 仍然發生了問題----當ARP攻擊很頻密的時候， 就需要路由器發送更頻密的正確包去消除影響。 雖然不掉線了， 但是卻出現了上網“卡”的問題。

所以， 我們認為， 依靠路由器實現“ARP攻擊主動防御”， 也只能夠解決80％的問題。

為了徹底消除ARP攻擊， 我們在此基礎上有增加了“ARP攻擊源攻擊跟蹤”的功能。 對于剩下的強悍的ARP攻擊， 我采用“日志”功能， 提供信息方便用戶跟蹤攻擊源， 這樣用戶通過臨時切斷攻擊電腦或者封殺發出攻擊的程序， 能夠解決問題。

經濟方案

我們只是中心采用能夠大量綁定ARP和進行ARP攻擊防御的交換機――Netcore 7324NSW， 這款交換機能夠做到ARP綁定條目可以達到1000條， 因此基本上可以對整網的ARP進行綁定， 同時能杜絕任何非法ARP包在主交換機進行傳播。

這樣如果在強力的ARP攻擊下， 我們觀察到的現象是：ARP攻擊只能影響到同一個分支交換機上的電腦， 這樣可能被攻擊到的范圍就大大縮小了。 當攻擊發生時， 不可能造成整個網絡的問題。

在此基礎上， 我們再補充“日志”功能和“ARP主動防御”功能， ARP攻擊也可以被完美的解決。

ARP攻擊最新動態

最近一段時間， 各網吧發現的ARP攻擊已經升級， 又一波ARP攻擊的高潮來臨。

這次ARP攻擊發現的特征有：

1、 速度快、效率高， 大概在10－20秒的時間內， 能夠造成300臺規模的電腦掉線。

2、 不易發現。 在攻擊完成后， 立即停止攻擊并更正ARP信息。 如果網內沒有日志功能， 再去通過ARP命令觀察， 已經很難發現攻擊痕跡。

3、 能夠破解最新的XP和2000的ARP補丁， 微軟提供的補丁很明顯在這次攻擊很脆弱， 沒有作用。

4、 介質變化， 這次攻擊的來源來自私服程序本身（不是外掛）和P2P程序。

徹底解決ARP攻擊

事實上， 由于路由器是整個局域網的出口， 而ARP攻擊是以整個局域網為目標， 當ARP攻擊包已經達到路由器的時候， 影響已經照成。 所以由路由器來承擔防御ARP攻擊的任務只是權宜之計， 并不能很好的解決問題。

我們要真正消除ARP攻擊的隱患， 安枕無憂， 必須轉而對“局域網核心”――交換機下手。 由于任何ARP包， 都必須經由交換機轉發， 才能達到被攻擊目標， 只要交換機據收非法的ARP包， 哪么ARP攻擊就不能造成任何影響。

我們提出一個真正嚴密的防止ARP攻擊的方案， 就是在每臺接入交換機上面實現ARP綁定， 并且過濾掉所有非法的ARP包。 這樣可以讓ARP攻擊足不能出戶， 在局域網內完全消除了ARP攻擊。

因為需要每臺交換機都具有ARP綁定和相關的安全功能， 這樣的方案無疑價格是昂貴的， 所以我們提供了一個折衷方案。