特黄特色三级在线观看免费,看黄色片子免费,色综合久,欧美在线视频看看,高潮胡言乱语对白刺激国产,伊人网成人,中文字幕亚洲一碰就硬老熟妇

學習啦 > 學習電腦 > 電腦安全 > 網絡安全知識 >

ARP攻擊防制的基本方法_路由器怎么抵御ARP病毒

時間: 若木1 分享

ARP欺騙/攻擊反復襲擊,是近來網絡行業(yè)普遍了解的現(xiàn)象,隨著ARP攻擊的不斷升級,不同的解決方案在市場上流傳。這里小編解釋了ARP攻擊防制的基本思想。我們認為讀者如果能了解這個基本思想,就能自行判斷何種防制方式有效,也能了解為何雙向綁定是一個較全面又持久的解決方式。

不堅定的ARP協(xié)議

一般計算機中的原始的ARP協(xié)議,很像一個思想不堅定,容易被其它人影響的人,ARP欺騙/攻擊就是利用這個特性,誤導計算機作出錯誤的行為。ARP攻擊的原理,互聯(lián)網上很容易找到,這里不再覆述。原始的ARP協(xié)議運作,會附在局域網接收的廣播包或是ARP詢問包,無條件覆蓋本機緩存中的ARP/MAC對照表。這個特性好比一個意志不堅定的人,聽了每一個人和他說話都信以為真,并立刻以最新聽到的信息作決定。

就像一個沒有計劃的快遞員,想要送信給“張三”,只在馬路上問“張三住那兒?”,并投遞給最近和他說“我就是!”或“張三住那間!”,來決定如何投遞一樣。在一個人人誠實的地方,快遞員的工作還是能切實地進行;但若是旁人看快遞物品值錢,想要欺騙取得的話,快遞員這種工作方式就會帶來混亂了。

我們再回來看ARP攻擊和這個意志不堅定快遞員的關系。常見ARP攻擊對象有兩種,一是網絡網關,也就是路由器,二是局域網上的計算機,也就是一般用戶。攻擊網絡網關就好比發(fā)送錯誤的地址信息給快遞員,讓快遞員整個工作大亂,所有信件無法正常送達;而攻擊一般計算機就是直接和一般人謊稱自己就是快遞員,讓一般用戶把需要傳送物品傳送給發(fā)動攻擊的計算機。

針對ARP攻擊的防制方法

1、利用ARP echo傳送正確的ARP訊息:通過頻繁地提醒正確的ARP對照表,來達到防制的效果。

2、利用綁定方式,固定ARP對照表不受外來影響:通過固定正確的ARP對照表,來達到防制的效果。

3、舍棄ARP協(xié)議,采用其它尋址協(xié)議:不采用ARP作為傳送的機制,而另行使用其它協(xié)議例如PPPoE方式傳送。

以上三種方法中,前兩種方法較為常見,第三種方法由于變動較大,適用于技術能力較佳的應用。下面針對前兩種方法加以說明。

PK 賽之“ARP echo”

ARP echo是最早開發(fā)出來的ARP攻擊解決方案,但隨著ARP攻擊的發(fā)展,漸漸失去它的效果?,F(xiàn)在,這個方法不但面對攻擊沒有防制效果,還會降低局域網運作的效能,但是很多用戶仍然以這個方法來進行防制。以前面介紹的思想不堅定的快遞員的例子來說,ARP echo的作法,等于是時時用電話提醒快遞員正確的發(fā)送對象及地址,減低他被鄰近的各種信息干擾的情況。

但是這種作法,明顯有幾個問題:第一,即使時時提醒,但由于快遞員意志不堅定,仍會有部份的信件因為要發(fā)出時剛好收到錯誤的信息,以錯誤的方式送出去;這種情況如果是錯誤的信息頻率特高,例如有一個人時時在快遞員身邊連續(xù)提供信息,即使打電話提醒也立刻被覆蓋,效果就不好;第二,由于必須時時提醒,而且為了保證提醒的效果好,還要加大提醒的間隔時間,以防止被覆蓋,就好比快遞員一直忙于接聽總部打來的電話,根本就沒有時間可以發(fā)送信件,耽誤了正事;第三,還要專門指派一位人時時打電話給快遞員提醒,等于要多派一個人手負責,而且持續(xù)地提醒,這個人的工作也很繁重。

ARP echo方式對應ARP攻擊,也會發(fā)生相似的情況。第一,面對高頻率的新式ARP攻擊,ARP echo發(fā)揮不了效果,掉線斷網的情況仍舊會發(fā)生。ARP echo的方式防制的對早期以盜寶為目的的攻擊軟件有效果,但碰到最近以攻擊為手段的攻擊軟件則公認是沒有效果的。第二,ARP echo手段必須在局域網上持續(xù)發(fā)出廣播網絡包,占用局域網帶寬,使得局域網工作的能力降低,整個局域網的計算機及交換機時時都在處理ARP echo廣播包,還沒受到攻擊局域網就開始卡了。第三,必須在局域網有一臺負責負責發(fā)ARP echo廣播包的設備,不管是路由器、服務器或是計算機,由于發(fā)包是以一秒數(shù)以百計的方式來發(fā)送,對該設備都是很大的負擔。

常見的ARP echo處理手法有兩種,一種是由路由器持續(xù)發(fā)送,另一則是在計算機或服務器安裝軟件發(fā)送。路由器持續(xù)發(fā)送的缺點是路由器原本的工作就很忙,因此無法發(fā)送高頻率的廣播包,被覆蓋掉的機會很大,因此面對新型的ARP攻擊防制效果小。因此,有些解決方法,就是拿ARP攻擊的軟件來用,只是持續(xù)發(fā)出正確的網關、服務器對照表,安裝在服務器或是計算機上,由于服務器或是計算機運算能力較強,可以同一時間內發(fā)出更多廣播包,效果較大,但是這種作法一則大幅影響局域網工作,因為整個局域網都被廣播包占據(jù),另則攻擊軟件通常會設定更高頻率的廣播包,誤導局域網計算機,效果仍然有限。

此外,ARP echo一般是發(fā)送網關及私服的對照信息,對于防止局域網計算機被騙有效果,對于路由器沒有效果,仍需作綁定的動作才可。

PK賽之“ARP綁定”

ARP echo的作法是不斷提醒計算機正確的ARP對照表,ARP綁定則是針對ARP協(xié)議“思想不堅定“的基本問題來加以解決。Qno俠諾技術服務人員認為,ARP綁定的作法,等于是從基本上給這個快遞員培訓,讓他把正確的人名及地址記下來,再也不受其它人的信息干擾。由于快遞員腦中記住了這個對照表,因此完全不會受到有心人士的干擾,能有效地完成工作。在這種情況下,無論如何都可以防止因受到攻擊而掉線的情況發(fā)生。

但是ARP綁定并不是萬靈藥,還需要作的好才有完全的效果。第一,即使這個快遞員思想正確,不受影響,但是攻擊者的網絡包還是會小幅影響局域網部份運作,網管必須通過網絡監(jiān)控或掃瞄的方法,找出攻擊者加以去除;第二,必須作雙向綁定才有完全的效果,只作路由器端綁定效果有限,一般計算機仍會被欺騙,而發(fā)生掉包或掉線的情況。

雙向綁定的解決方法,最為網管不喜歡的就是必須一臺一臺加以綁定,增加工作量。但是從以上的說明可知道,只有雙向綁定才能有效果地解決ARP攻擊的問題,而不會發(fā)生防制效果不佳、局域網效率受影響、影響路由器效能或影響服務器效能的缺點。也就是說雙向綁定是個硬工夫,可以較全面性地解決現(xiàn)在及未來ARP攻擊的問題,網管為了一時的省事,而采取片面的ARP echo解決方式,未來還是要回來解決這個問題。

另外,對于有自動通過局域網安裝軟件的網絡,例如網吧的收費系統(tǒng)、無盤系統(tǒng),都可以透過自動的批次檔,自動在開機時完成綁定的工作,網管只要撰寫一個統(tǒng)一的批次文件程序即可,不必一一配置。這些信息可以很容易地在互聯(lián)網上通過搜索找到或者是向Qno俠諾的技術服務人員索取即可。

現(xiàn)階段較佳解決方案——雙向綁定

以上以思想不堅定的快遞員情況,說明了常見的ARP攻擊防制方法。ARP攻擊利用的就是ARP協(xié)議的意志不堅,只有以培訓的方式讓ARP協(xié)議的意志堅定,明白正確的工作方法,才能從根本解決問題。只是依賴頻繁的提醒快遞員正確的作事方法,但是沒有能從快遞員意志不堅的特點著手,就好像只管不教,最終大家都很累,但是效果仍有限。

Qno俠諾的技術服務人員建議,面對這種新興攻擊,取巧用省事的方式準備,最后的結果可能是費事又不管用,必須重新來過。ARP雙向綁定雖然對網管帶來一定的工作量,但是其效果確是從根本上有效,而且網管也可參考自動批次檔的作法,加快配置自動化的進行,更有效地對抗ARP攻擊。

>>>下一頁更多精彩“路

71