IDC机房也能彻底防arp攻击

ARP欺骗/攻击反复袭击,是近来IDC网络服务商和主机托管客户最为头痛的问题,随着ARP攻击的不断升级,不同的解决方案在市场上流传。有一些方案,从短期看来似乎有效,实际上对于真正的ARP攻击发挥不了作用,也降低局域网工作效率。中国网域网的技术服务人员接到很多用户反应说有些ARP防治方法很容易操作和实施,但经过实际深入了解后,发现长期效果都不大。对于ARP攻击防治,中国网域网技术服务人员的建议,最好的方法是先踏踏实实把基本防治工作做好,才是根本解决的方法。由于市场上的解决方式众多,我们无法一一加以说明优劣,因此本文解释了ARP攻击防治的基本思想。我们认为读者如果能了解这个基本思想,就能自行判断何种防治方式有效,也能了解为何双向绑定是一个较全面又持久的解决方式。
 
    ARP协议原理

一般计算机中的原始的ARP协议,很像一个容易被人影响的人,ARP欺骗/攻击就是利用这个特性,误导计算机作出错误的行为。原始的ARP协议运作,会附在局域网接收的广播包或是ARP询问包,无条件覆盖本机缓存中的ARP/MAC对照表。这个特性好比一个意志不坚定的人,听了每一个人和他说话都信以为真,并立刻以最新听到的信息作决定。常见ARP攻击对象有两种,一是网络网关,也就是路由器,二是局域网上的计算机,也就是一般用户。攻击网络网关就好比发送错误的地址信息给快递员,让快递员整个工作大乱,所有信件无法正常送达;而攻击一般计算机就是直接和一般人谎称自己就是快递员,让一般用户把需要传送物品传送给发动攻击的计算机。由于一般的计算机及路由器的ARP协议的意志都不坚定,因此只要有恶意计算机在局域网持续发出错误的ARP讯息,就会让计算机及路由器信以为真,作出错误的传送网络包动作。一般的ARP就是以这样的方式,造成网络运作不正常,达到盗取用户密码或破坏网络运作的目的。针对ARP攻击的防治,常见的方法,可以分为以下三种作法: 1、利用ARP echo传送正确的ARP讯息:通过频繁地提醒正确的ARP对照表,来达到防治的效果; 2、利用绑定方式,固定ARP对照表不受外来影响:通过固定正确的ARP对照表,来达到防治的效果; 3、舍弃ARP协议,采用其它寻址协议:不采用ARP作为传送的机制,而另行使用其它协议例如PPPoE方式传送。 以上三种方法中,前两种方法较为常见,第三种方法由于变动较大,适用于技术能力较佳的应用。下面针对前两种方法加以说明。

一、ARP echo

ARP echo是最早开发出来的ARP攻击解决方案,但随着ARP攻击的发展,渐渐失去它的效果。现在,这个方法不但面对攻击没有防治效果,还会降低局域网运作的效能,但是很多用户仍然以这个方法来进行防治。以前面介绍的思想不坚定的快递员的例子来说,ARP echo的作法,等于是时时用电话提醒快递员正确的发送对象及地址,减低他被邻近的各种信息干扰的情况。。

以ARP echo方式对应ARP攻击,也会发生相似的情况。第一,面对高频率的新式ARP攻击,ARP echo发挥不了效果,掉线断网的情况仍旧会发生。ARP echo的方式防治的对早期以盗宝为目的的攻击软件有效果,但碰到最近以攻击为手段的攻击软件则公认是没有效果的。第二,ARP echo手段必须在局域网上持续发出广播网络包,占用局域网带宽,使得局域网工作的能力降低,整个局域网的计算机及交换机时时都在处理ARP echo广播包,还没受到攻击局域网就开始卡了。第三,必须在局域网有一台负责负责发ARP echo广播包的设备,不管是路由器、服务器或是计算机,由于发包是以一秒数以百计的方式来发送,对该设备都是很大的负担。

常见的ARP echo处理手法有两种,一种是由路由器持续发送,另一则是在计算机或服务器安装软件发送。路由器持续发送的缺点是路由器原本的工作就很忙,因此无法发送高频率的广播包,被覆盖掉的机会很大,因此面对新型的ARP攻击防治效果小。因此,有些解决方法,就是拿ARP攻击的软件来用,只是持续发出正确的网关、服务器对照表,安装在服务器或是计算机上,由于服务器或是计算机运算能力较强,可以同一时间内发出更多广播包,效果较大,但是这种作法一则大幅影响局域网工作,因为整个局域网都被广播包占据,另则攻击软件通常会设定更高频率的广播包,误导局域网计算机,效果仍然有限。

此外,ARP echo一般是发送网关及私服的对照信息,对于防止局域网计算机被骗有效果,对于路由器没有效果,仍需作绑定的动作才可。

二、ARP绑定

ARP echo的作法是不断提醒计算机正确的ARP对照表,ARP绑定则是针对ARP协议"思想不坚定"的基本问题来加以解决。中国网域技术服务人员认为,ARP绑定的作法,等于是从基本上给这个快递员培训,让他把正确的人名及地址记下来,再也不受其它人的信息干扰。由于快递员脑中记住了这个对照表,因此完全不会受到有心人士的干扰,能有效地完成工作。在这种情况下,无论如何都可以防止因受到攻击而掉线的情况发生。

但是ARP绑定并不是万灵药,还需要作的好才有完全的效果。第一,即使这个快递员思想正确,不受影响,但是攻击者的网络包还是会小幅影响局域网部份运作,网管必须通过网络监控或扫瞄的方法,找出攻击者加以去除;第二,必须作双向绑定才有完全的效果,只作路由器端绑定效果有限,一般计算机仍会被欺骗,而发生掉包或掉线的情况。只有双向绑定才能有效果地解决ARP攻击的问题,而不会发生防治效果不佳、局域网效率受影响、影响路由器和网络服务器效能。

目前较佳解决方案就是MAC双向绑定,虽然对IDC商与运营商带来一定的工作量,但是其效果确是从根本上有效的。据传中国网域网已在上海电信机房开设了首个防ARP欺骗/攻击的主机托管专区,下周开始给新老客户提供免费测试服务,真正做到100%防ARP欺骗/攻击,斩断ARP欺骗/攻击这一新兴黑色产业链,为用户营造稳定、安全的托管环境。

时间: 2025-01-20 16:23:03

IDC机房也能彻底防arp攻击的相关文章

Windows系统防ARP攻击的几种方法总结

防止ARP攻击方法一 设置权限文件方法 一.常规方式: 开始--运行,输入"regedit",回车,通过"注册表--查找",输入"AntiARP",一个一个删除"AntiARP"注册表信息. 二.非常规方式(通过"安全模式"进入系统,关闭网络连接,拔掉网线): 根据ARP攻击原理:删除调用系统里的npptools.dll文件.如果你把这个DLL文件删除了,之后随便弄个DLL改名为npptools.dll即可

服务器ARP攻击与防范方法总结

ARP欺骗原理: 在局域网中,通信前必须通过ARP协议来完成IP地址转换为第二层物理地址(即MAC地址).ARP协议对网络安全具有重要的意义,但是当初ARP方式的设计没有考虑到过多的安全问题,给ARP留下很多的隐患,ARP欺骗就是其中一个例子.而ARP欺骗攻击就是利用该协议漏洞,通过伪造MAC地址实现ARP欺骗的攻击技术. 在同一局域网内的电脑都是通过MAC地址进行通讯的.方法为,PC和另一台设备通讯,PC会先寻找对方的IP地址,然后在通过ARP表(ARP表里面有所以可以通讯IP和IP所对应的M

Linux防止ARP攻击一些方法总结

方法一,最常用的绑定网关 一般服务器的网关是不会变动的,且vps也适用. 一.查看当前网关 [root@local@xiaohuai ~]# arp -a ? (218.65.22.122) at 80:fb:06:f2:4a:f4 [ether] on eth0 SSH执行以上命令,可查看到网关主机名.网关IP.网关MAC地址和对应的网卡. 二.绑定网关MAC 1)绑定 [root@local@xiaohuai ~]# echo "218.65.22.122 80:fb:06:f2:4a:f4

IDC机房正在沦为黑客基地,金山毒霸呼吁业界共同打击黑色产业

2012年3月13日至今,有两家知名电商部分用户ID泄露导致帐户余额被黑客消费.安全专家推测此事可能是2011年底泄密门的余震,黑色产业对普通网民生活的影响正在变得越来越直接.而一些托管于IDC机房的服务器正在沦为黑客基地,金山毒霸安全专家呼吁业界共同打击黑色产业. 软件名称:金山毒霸2012(猎豹)软件版本:正式版软件大小:10.08MB软件授权:免费适用平台:Win9X Win2000 WinXP Win2003 Vista Win7下载地址:http://dl.pconline.com.c

ARP攻击和浏览器挟持的解决

  在局域网中,通过ARP协议来进行IP地址(第三层)与第二层物理地址(即MAC地址)的相互转换.网吧中的一些设备如路由器.装有TCP/IP协议的电脑等都提供ARP缓存表,以提高通信速度.目前很多带有ARP欺骗功能的攻击软件都是利用ARP协议的这个特点来对网络设备进行攻击,通过伪造的MAC与局域网内的IP地址对应,并修改路由器或电脑的ARP缓存表,使得具有合法MAC的电脑无法与IP对应,从而无法通过路由器上网. 在掉线重启路由器后,ARP缓存表会刷新,网络会在短时间内恢复正常,待ARP攻击启动后

DDoS终结者 测思科防DDoS攻击系统

DDoS(分布式拒绝服务)攻击是利用TCP/IP协议漏洞进行的一种简单而致命的网络攻击,由于TCP/IP协议的这种会话机制漏洞无法修改,因此缺少直接有效的防御手段.大量实例证明利用传统设备被动防御基本是徒劳的,而且现有防火墙设备还会因为有限的处理能力陷入瘫痪,成为网络运行瓶颈.另外,攻击过程中目标主机也必然陷入瘫痪. 国内已经有越来越多的网站(Discuz.IM286等)中招落马,因此本报评测员,协同本地xx电信运营商在重庆市建立的互联网交换中心(IXC),对思科Riverhead防DDoS攻击

认清虚虚实实的ARP攻击防御方法

ARP欺骗/攻击反复袭击,是近来网络行业普遍了解的现象,随着ARP攻击的不断升级,不同的解决方案在市场上流传.但是笔者最近发现,有一些方案,从短期看来似乎有效,实际上对于真正的ARP攻击发挥不了作用,也降低局域网工作效率. 多用户反应说有些ARP防制方法很容易操作和实施,但经过实际深入了解后,发现长期效果都不大. 对于ARP攻击防制,最好的方法是先踏踏实实把基本防制工作做好,才是根本解决的方法.由于市场上的解决方式众多,我们无法一一加以说明优劣,因此本文解释了ARP攻击防制的基本思想.我们认为读

IDC机房建设的关键技术有哪些?

[导读]如果IDC机房的设计.建设与运维管理不符合相关规范要求,则容易产生危害物质,腐蚀电子设备甚至威胁到设备的正常运行. IDC(Internet Data Center)数据机房是专为众多客户提供服务器托管及租赁等系列化专业服务的高品质.商业化机房.而如果IDC机房的设计.建设与运维管理不符合相关规范要求,则容易产生危害物质,腐蚀电子设备甚至威胁到设备的正常运行.所以不管是企业还是政府部门都应该高度重视IDC机房建设的关键技术,把控这些关键技术,才能解决好IDC机房的相关问题. 一.IDC数

ARP攻击原理简析及防御措施

0x1  简介 网络欺骗攻击作为一种非常专业化的攻击手段,给网络安全管理者,带来严峻的考验.网络安全的战场已经从互联网蔓延到用户内部的网络,特别是局域网.目前利用ARP欺骗的木马病毒在局域网中广泛传播,导致网络随机掉线甚至整体瘫痪,通讯被窃听,信息被篡改等严重后果. 0x2  ARP协议概述 ARP协议(address resolution protocol)地址解析协议 一台主机和另一台主机通信,要知道目标的IP地址,但是在局域网中传输数据的网卡却不能直接识别IP地址,所以用ARP解析协议将I