日本免费全黄少妇一区二区三区-高清无码一区二区三区四区-欧美中文字幕日韩在线观看-国产福利诱惑在线网站-国产中文字幕一区在线-亚洲欧美精品日韩一区-久久国产精品国产精品国产-国产精久久久久久一区二区三区-欧美亚洲国产精品久久久久

  1. 首頁 > 云知道 > >

認清虛虛實實的“ARP攻擊”防御方法

云知道

ARP欺騙/攻擊反復襲擊,是近來網絡行業(yè)普遍了解的現象,隨著ARP攻擊的不斷升級,不同的解決方案在市場上流傳 。但是筆者最近發(fā)現,有一些方案,從短期看來似乎有效,實際上對于真正的ARP攻擊發(fā)揮不了作用,也降低局域網工作效率 。
多用戶反應說有些ARP防制方法很容易操作和實施,但經過實際深入了解后,發(fā)現長期效果都不大 。
對于ARP攻擊防制,最好的方法是先踏踏實實把基本防制工作做好,才是根本解決的方法 。由于市場上的解決方式眾多,我們無法一一加以說明優(yōu)劣,因此本文解釋了ARP攻擊防制的基本思想 。我們認為讀者如果能了解這個基本思想,就能自行判斷何種防制方式有效,也能了解為何雙向綁定是一個較全面又持久的解決方式 。
【認清虛虛實實的“ARP攻擊”防御方法】一、不堅定的ARP協(xié)議
一般計算機中的原始的ARP協(xié)議,很像一個思想不堅定,容易被其它人影響的人,ARP欺騙/攻擊就是利用這個特性,誤導計算機作出錯誤的行為 。ARP攻擊的原理,互聯(lián)網上很容易找到,這里不再覆述 。原始的ARP協(xié)議運作,會附在局域網接收的廣播包或是ARP詢問包,無條件覆蓋本機緩存中的ARP/MAC對照表 。這個特性好比一個意志不堅定的人,聽了每一個人和他說話都信以為真,并立刻以最新聽到的信息作決定 。
就像一個沒有計劃的快遞員,想要送信給"張三",只在馬路上問"張三住那兒?",并投遞給最近和他說"我就是!"或"張三住那間!",來決定如何投遞一樣 。在一個人人誠實的地方,快遞員的工作還是能切實地進行;但若是旁人看快遞物品值錢,想要欺騙取得的話,快遞員這種工作方式就會帶來混亂了 。
我們再回來看ARP攻擊和這個意志不堅定快遞員的關系 。常見ARP攻擊對象有兩種,一是網絡網關,也就是路由器,二是局域網上的計算機,也就是一般用戶 。攻擊網絡網關就好比發(fā)送錯誤的地址信息給快遞員,讓快遞員整個工作大亂,所有信件無法正常送達;而攻擊一般計算機就是直接和一般人謊稱自己就是快遞員,讓一般用戶把需要傳送物品傳送給發(fā)動攻擊的計算機 。
由于一般的計算機及路由器的ARP協(xié)議的意志都不堅定,因此只要有惡意計算機在局域網持續(xù)發(fā)出錯誤的ARP訊息,就會讓計算機及路由器信以為真,作出錯誤的傳送網絡包動作 。一般的ARP就是以這樣的方式,造成網絡運作不正常,達到盜取用戶密碼或破壞網絡運作的目的 。針對ARP攻擊的防制,常見的方法,
可以分為以下三種作法:
1、利用ARP echo傳送正確的ARP訊息:通過頻繁地提醒正確的ARP對照表,來達到防制的效果 。
2、利用綁定方式,固定ARP對照表不受外來影響:通過固定正確的ARP對照表,來達到防制的效果 。
3、舍棄ARP協(xié)議,采用其它尋址協(xié)議:不采用ARP作為傳送的機制,而另行使用其它協(xié)議例如PPPoE方式傳送 。
以上三種方法中,前兩種方法較為常見,第三種方法由于變動較大,適用于技術能力較佳的應用 。下面針對前兩種方法加以說明 。
二、PK 賽之"ARP echo"
ARP echo是最早開發(fā)出來的ARP攻擊解決方案,但隨著ARP攻擊的發(fā)展,漸漸失去它的效果 ?,F在,這個方法不但面對攻擊沒有防制效果,還會降低局域網運作的效能,但是很多用戶仍然以這個方法來進行防制 。以前面介紹的思想不堅定的快遞員的例子來說,ARP echo的作法,等于是時時用電話提醒快遞員正確的發(fā)送對象及地址,減低他被鄰近的各種信息干擾的情況 。
但是這種作法,明顯有幾個問題:第一,即使時時提醒,但由于快遞員意志不堅定,仍會有部份的信件因為要發(fā)出時剛好收到錯誤的信息,以錯誤的方式送出去;這種情況如果是錯誤的信息頻率特高,例如有一個人時時在快遞員身邊連續(xù)提供信息,即使打電話提醒也立刻被覆蓋,效果就不好;第二,由于必須時時提醒,而且為了保證提醒的效果好,還要加大提醒的間隔時間,以防止被覆蓋,就好比快遞員一直忙于接聽總部打來的電話,根本就沒有時間可以發(fā)送信件,耽誤了正事;第三,還要專門指派一位人時時打電話給快遞員提醒,等于要多派一個人手負責,而且持續(xù)地提醒,這個人的工作也很繁重 。

推薦閱讀