如何防御局域網(wǎng)內(nèi)的ARP攻擊、ARP病毒

    ARP定義

    ARP（Address Resolution Protocol，地址解析協(xié)議）是一個(gè)位于TCP/IP協(xié)議棧中的底層協(xié)議，負(fù)責(zé)將某個(gè)IP地址解析成對(duì)應(yīng)的MAC地址。

    ARP攻擊、ARP病毒的原理

    ARP攻擊、ARP病毒的原理就是通過(guò)廣播機(jī)制向局域網(wǎng)的其他電腦廣播一個(gè)偽造的網(wǎng)關(guān)的IP地址和MAC地址對(duì)照表，局域網(wǎng)其他電腦的受到這個(gè)偽造的信息之后就會(huì)更新自己的ARP表。這樣，當(dāng)被控制的電腦向外發(fā)送報(bào)文時(shí)雖然會(huì)根據(jù)正確的網(wǎng)關(guān)的IP地址發(fā)包，但是實(shí)際上卻發(fā)送到了一個(gè)錯(cuò)誤的MAC地址上，導(dǎo)致數(shù)據(jù)報(bào)文無(wú)法發(fā)送出去，從而出現(xiàn)無(wú)法上網(wǎng)、掉線(xiàn)的情況。同時(shí)，ARP攻擊還有更進(jìn)一步的攻擊方式，就是發(fā)送偽造整個(gè)局域網(wǎng)的IP地址對(duì)應(yīng)的MAC地址，這樣局域網(wǎng)所有的電腦的ARP表格存儲(chǔ)的網(wǎng)關(guān)、其他電腦的IP和MAC地址對(duì)應(yīng)關(guān)系都發(fā)生變化，這樣被攻擊的電腦不但不能訪(fǎng)問(wèn)公網(wǎng)，而且還不能訪(fǎng)問(wèn)局域網(wǎng)，就好似每個(gè)電腦都被隔離一樣。上述這兩種ARP攻擊方式會(huì)給局域網(wǎng)帶來(lái)巨大的危害。當(dāng)前一些局域網(wǎng)攻擊軟件，如局域網(wǎng)終結(jié)者、網(wǎng)絡(luò)執(zhí)法官、網(wǎng)絡(luò)剪刀手都是采用這種攻擊方式。

    因此，有效地防止ARP病毒、防御ARP攻擊是當(dāng)前網(wǎng)絡(luò)管理中一個(gè)非常重要的課題。

    如何防止ARP攻擊、ARP病毒？

    當(dāng)前國(guó)內(nèi)有一些形形色色的防止ARP攻擊的解決方案，例如當(dāng)前流行的ARP防火墻。其實(shí)現(xiàn)原理就是讀取本機(jī)ARP緩存表里面的網(wǎng)關(guān)的IP和對(duì)應(yīng)的MAC地址，然后加以靜態(tài)綁定，不再接受廣播收到的ARP信息，但是這種防御機(jī)制有很大的弊端，因?yàn)榭赡茉贏RP防火墻在讀取ARP緩存表之前，本機(jī)已經(jīng)被ARP攻擊了，就是ARP緩存表里面存儲(chǔ)的網(wǎng)關(guān)的MAC地址本來(lái)就是錯(cuò)誤的，這樣使得ARP防火墻讀取到的網(wǎng)關(guān)的MAC地址就是錯(cuò)誤的，所以不但不能防御ARP攻擊，還可能直接導(dǎo)致本機(jī)無(wú)法上網(wǎng)。同時(shí)，ARP防火墻的機(jī)制，也只能防御ARP攻擊中的“網(wǎng)關(guān)欺騙”。但是隨著ARP攻擊水平的不斷提高，他們可以轉(zhuǎn)而攻擊局域網(wǎng)的路由器、防火墻等網(wǎng)關(guān)設(shè)備，這種攻擊也就是常見(jiàn)的“會(huì)話(huà)劫持”，從而同樣會(huì)導(dǎo)致局域網(wǎng)的電腦出現(xiàn)斷網(wǎng)、掉線(xiàn)等情況。這種情況下，ARP防火墻形同虛設(shè)，沒(méi)有任何作用了。

    針對(duì)當(dāng)前ARP攻擊的復(fù)雜性，大勢(shì)至(北京)軟件工程有限公司公司（官方網(wǎng)址：http://www.grablan.com/）推出了新一代的聚生網(wǎng)管系統(tǒng)，通過(guò)在局域網(wǎng)內(nèi)的ARP信息進(jìn)行深度的檢測(cè)，可以實(shí)時(shí)探測(cè)局域網(wǎng)內(nèi)的ARP廣播情況，一旦發(fā)現(xiàn)局域網(wǎng)內(nèi)有ARP攻擊行為，聚生網(wǎng)管系統(tǒng)會(huì)自動(dòng)識(shí)別ARP欺騙的攻擊源主機(jī)，并將相關(guān)信息輸出給網(wǎng)絡(luò)管理員；同時(shí)，聚生網(wǎng)管系統(tǒng)還會(huì)自動(dòng)啟用ARP欺騙免疫機(jī)制，向局域網(wǎng)的電腦廣播正確的網(wǎng)關(guān)的IP和MAC地址，并可以在特定情況下為被控制的電腦提供代理上網(wǎng)機(jī)制，以保證局域網(wǎng)被控制電腦的上網(wǎng)一直保持暢通狀態(tài)，將ARP攻擊、ARP欺騙、ARP病毒的危害降低到最小。■