如何防禦區域網內的ARP攻擊、ARP病毒

2023-10-13 15:37:34 3

    ARP定義

    ARP（Address Resolution Protocol，地址解析協議）是一個位於TCP/IP協議棧中的底層協議，負責將某個IP位址解析成對應的MAC地址。

    ARP攻擊、ARP病毒的原理

    ARP攻擊、ARP病毒的原理就是通過廣播機制向區域網的其他電腦廣播一個偽造的網關的IP位址和MAC地址對照表，區域網其他電腦的受到這個偽造的信息之後就會更新自己的ARP表。這樣，當被控制的電腦向外發送報文時雖然會根據正確的網關的IP位址發包，但是實際上卻發送到了一個錯誤的MAC地址上，導致數據報文無法發送出去，從而出現無法上網、掉線的情況。同時，ARP攻擊還有更進一步的攻擊方式，就是發送偽造整個區域網的IP位址對應的MAC地址，這樣區域網所有的電腦的ARP表格存儲的網關、其他電腦的IP和MAC地址對應關係都發生變化，這樣被攻擊的電腦不但不能訪問公網，而且還不能訪問區域網，就好似每個電腦都被隔離一樣。上述這兩種ARP攻擊方式會給區域網帶來巨大的危害。當前一些區域網攻擊軟體，如區域網終結者、網絡執法官、網絡剪刀手都是採用這種攻擊方式。

    因此，有效地防止ARP病毒、防禦ARP攻擊是當前網絡管理中一個非常重要的課題。

    如何防止ARP攻擊、ARP病毒？

    當前國內有一些形形色色的防止ARP攻擊的解決方案，例如當前流行的ARP防火牆。其實現原理就是讀取本機ARP緩存表裡面的網關的IP和對應的MAC地址，然後加以靜態綁定，不再接受廣播收到的ARP信息，但是這種防禦機制有很大的弊端，因為可能在ARP防火牆在讀取ARP緩存表之前，本機已經被ARP攻擊了，就是ARP緩存表裡面存儲的網關的MAC地址本來就是錯誤的，這樣使得ARP防火牆讀取到的網關的MAC地址就是錯誤的，所以不但不能防禦ARP攻擊，還可能直接導致本機無法上網。同時，ARP防火牆的機制，也只能防禦ARP攻擊中的「網關欺騙」。但是隨著ARP攻擊水平的不斷提高，他們可以轉而攻擊區域網的路由器、防火牆等網關設備，這種攻擊也就是常見的「會話劫持」，從而同樣會導致區域網的電腦出現斷網、掉線等情況。這種情況下，ARP防火牆形同虛設，沒有任何作用了。

    針對當前ARP攻擊的複雜性，大勢至(北京)軟體工程有限公司公司（官方網址：）推出了新一代的聚生網管系統，通過在區域網內的ARP信息進行深度的檢測，可以實時探測區域網內的ARP廣播情況，一旦發現區域網內有ARP攻擊行為，聚生網管系統會自動識別ARP欺騙的攻擊源主機，並將相關信息輸出給網絡管理員；同時，聚生網管系統還會自動啟用ARP欺騙免疫機制，向區域網的電腦廣播正確的網關的IP和MAC地址，並可以在特定情況下為被控制的電腦提供代理上網機制，以保證區域網被控制電腦的上網一直保持暢通狀態，將ARP攻擊、ARP欺騙、ARP病毒的危害降低到最小。■