日本免费全黄少妇一区二区三区-高清无码一区二区三区四区-欧美中文字幕日韩在线观看-国产福利诱惑在线网站-国产中文字幕一区在线-亚洲欧美精品日韩一区-久久国产精品国产精品国产-国产精久久久久久一区二区三区-欧美亚洲国产精品久久久久

  1. 首頁 > 云知道 > >

巧論ARP攻擊防制方法之虛實

云知道

ARP欺騙/攻擊反復襲擊 , 是近來網絡行業(yè)普遍了解的現(xiàn)象 , 隨著ARP攻擊的不斷升級 , 不同的解決方案在市場上流傳 。但是筆者最近發(fā)現(xiàn) , 有一些方案 , 從短期看來似乎有效 , 實際上對于真正的ARP攻擊發(fā)揮不了作用 , 也降低局域網工作效率 。Qno俠諾的技術服務人員接到很多用戶反應說有些ARP防制方法很容易操作和實施 , 但經過實際深入了解后 , 發(fā)現(xiàn)長期效果都不大 。

對于ARP攻擊防制 , Qno俠諾技術服務人員的建議 , 最好的方法是先踏踏實實把基本防制工作做好 , 才是根本解決的方法 。由于市場上的解決方式眾多 , 我們無法一一加以說明優(yōu)劣 , 因此本文解釋了ARP攻擊防制的基本思想 。我們認為讀者如果能了解這個基本思想 , 就能自行判斷何種防制方式有效 , 也能了解為何雙向綁定是一個較全面又持久的解決方式 。

一、不堅定的ARP協(xié)議

一般計算機中的原始的ARP協(xié)議 , 很像一個思想不堅定 , 容易被其它人影響的人 , ARP欺騙/攻擊就是利用這個特性 , 誤導計算機作出錯誤的行為 。ARP攻擊的原理 , 互聯(lián)網上很容易找到 , 這里不再覆述 。原始的ARP協(xié)議運作 , 會附在局域網接收的廣播包或是ARP詢問包 , 無條件覆蓋本機緩存中的ARP/MAC對照表 。這個特性好比一個意志不堅定的人 , 聽了每一個人和他說話都信以為真 , 并立刻以最新聽到的信息作決定 。

就像一個沒有計劃的快遞員 , 想要送信給"張三" , 只在馬路上問"張三住那兒?" , 并投遞給最近和他說"我就是!"或"張三住那間!" , 來決定如何投遞一樣 。在一個人人誠實的地方 , 快遞員的工作還是能切實地進行;但若是旁人看快遞物品值錢 , 想要欺騙取得的話 , 快遞員這種工作方式就會帶來混亂了 。

我們再回來看ARP攻擊和這個意志不堅定快遞員的關系 。常見ARP攻擊對象有兩種 , 一是網絡網關 , 也就是路由器 , 二是局域網上的計算機 , 也就是一般用戶 。攻擊網絡網關就好比發(fā)送錯誤的地址信息給快遞員 , 讓快遞員整個工作大亂 , 所有信件無法正常送達;而攻擊一般計算機就是直接和一般人謊稱自己就是快遞員 , 讓一般用戶把需要傳送物品傳送給發(fā)動攻擊的計算機 。

由于一般的計算機及路由器的ARP協(xié)議的意志都不堅定 , 因此只要有惡意計算機在局域網持續(xù)發(fā)出錯誤的ARP訊息 , 就會讓計算機及路由器信以為真 , 作出錯誤的傳送網絡包動作 。一般的ARP就是以這樣的方式 , 造成網絡運作不正常 , 達到盜取用戶密碼或破壞網絡運作的目的 。針對ARP攻擊的防制 , 常見的方法 , 可以分為以下三種作法:1、利用ARP echo傳送正確的ARP訊息:通過頻繁地提醒正確的ARP對照表 , 來達到防制的效果 。

2、利用綁定方式 , 固定ARP對照表不受外來影響:通過固定正確的ARP對照表 , 來達到防制的效果 。

3、舍棄ARP協(xié)議 , 采用其它尋址協(xié)議:不采用ARP作為傳送的機制 , 而另行使用其它協(xié)議例如PPPoE方式傳送 。

以上三種方法中 , 前兩種方法較為常見 , 第三種方法由于變動較大 , 適用于技術能力較佳的應用 。下面針對前兩種方法加以說明 。

PK 賽之"ARP echo"

ARP echo是最早開發(fā)出來的ARP攻擊解決方案 , 但隨著ARP攻擊的發(fā)展 , 漸漸失去它的效果 ?,F(xiàn)在 , 這個方法不但面對攻擊沒有防制效果 , 還會降低局域網運作的效能 , 但是很多用戶仍然以這個方法來進行防制 。以前面介紹的思想不堅定的快遞員的例子來說 , ARP echo的作法 , 等于是時時用電話提醒快遞員正確的發(fā)送對象及地址 , 減低他被鄰近的各種信息干擾的情況 。

推薦閱讀