企業(yè)網(wǎng)絡(luò)的心腹大患“ARP欺騙和攻擊問題”
ARP欺騙和攻擊問題,是企業(yè)網(wǎng)絡(luò)的心腹大患。關(guān)于這個(gè)問題的討論已經(jīng)很深入了,對(duì)ARP攻擊的機(jī)理了解的很透徹,各種防范措施也層出不窮。
但問題是,現(xiàn)在真正擺脫ARP問題困擾了嗎?從用戶那里了解到,雖然嘗試過各種方法,但這個(gè)問題并沒有根本解決。原因就在于,目前很多種ARP防范措施,一是解決措施的防范能力有限,并不是最根本的辦法。二是對(duì)網(wǎng)絡(luò)管理約束很大,不方便不實(shí)用,不具備可操作性。三是某些措施對(duì)網(wǎng)絡(luò)傳輸?shù)男苡袚p失,網(wǎng)速變慢,帶寬浪費(fèi),也不可取。
本文通過具體分析一下普遍流行的四種防范ARP措施,去了解為什么ARP問題始終不能根治。并進(jìn)一步分析在免疫網(wǎng)絡(luò)的模式下,對(duì)ARP是如何徹底根除的,為什么只有免疫網(wǎng)絡(luò)能夠做到。
一、雙綁措施
雙綁是在路由器和終端上都進(jìn)行IP-MAC綁定的措施,它可以對(duì)ARP欺騙的兩邊,偽造網(wǎng)關(guān)和截獲數(shù)據(jù),都具有約束的作用。這是從ARP欺騙原理上進(jìn)行的防范措施,也是最普遍應(yīng)用的辦法。它對(duì)付最普通的ARP欺騙是有效的。
但雙綁的缺陷在于3點(diǎn):
1、 在終端上進(jìn)行的靜態(tài)綁定,很容易被升級(jí)的ARP攻擊所搗毀,病毒的一個(gè)ARP –d命令,就可以使靜態(tài)綁定完全失效。
2、 在路由器上做IP-MAC表的綁定工作,費(fèi)時(shí)費(fèi)力,是一項(xiàng)繁瑣的維護(hù)工作。換個(gè)網(wǎng)卡或更換IP,都需要重新配置路由。對(duì)于流動(dòng)性電腦,這個(gè)需要隨時(shí)進(jìn)行的綁定工作,是網(wǎng)絡(luò)維護(hù)的巨大負(fù)擔(dān),網(wǎng)管員幾乎無法完成。
3、 雙綁只是讓網(wǎng)絡(luò)的兩端電腦和路由不接收相關(guān)ARP信息,但是大量的ARP攻擊數(shù)據(jù)還是能發(fā)出,還要在內(nèi)網(wǎng)傳輸,大幅降低內(nèi)網(wǎng)傳輸效率,依然會(huì)出現(xiàn)問題。
因此,雖然雙綁曾經(jīng)是ARP防范的基礎(chǔ)措施,但因?yàn)榉婪赌芰τ邢蓿芾硖闊F(xiàn)在它的效果越來越有限了。
二、ARP個(gè)人防火墻
在一些殺毒軟件中加入了ARP個(gè)人防火墻的功能,它是通過在終端電腦上對(duì)網(wǎng)關(guān)進(jìn)行綁定,保證不受網(wǎng)絡(luò)中假網(wǎng)關(guān)的影響,從而保護(hù)自身數(shù)據(jù)不被竊取的措施。ARP防火墻使用范圍很廣,有很多人以為有了防火墻,ARP攻擊就不構(gòu)成威脅了,其實(shí)完全不是那么回事。
ARP個(gè)人防火墻也有很大缺陷:
1、它不能保證綁定的網(wǎng)關(guān)一定是正確的。如果一個(gè)網(wǎng)絡(luò)中已經(jīng)發(fā)生了ARP欺騙,有人在偽造網(wǎng)關(guān),那么,ARP個(gè)人防火墻上來就會(huì)綁定這個(gè)錯(cuò)誤的網(wǎng)關(guān),這是具有極大風(fēng)險(xiǎn)的。即使配置中不默認(rèn)而發(fā)出提示,缺乏網(wǎng)絡(luò)知識(shí)的用戶恐怕也無所適從。
2 、ARP是網(wǎng)絡(luò)中的問題,ARP既能偽造網(wǎng)關(guān),也能截獲數(shù)據(jù),是個(gè)“雙頭怪”。在個(gè)人終端上做ARP防范,而不管網(wǎng)關(guān)那端如何,這本身就不是一個(gè)完整的辦法。ARP個(gè)人防火墻起到的作用,就是防止自己的數(shù)據(jù)不會(huì)被盜取,而整個(gè)網(wǎng)絡(luò)的問題,如掉線、卡滯等,ARP個(gè)人防火墻是無能為力的。
因此,ARP個(gè)人防火墻并沒有提供可靠的保證。最重要的是,它是跟網(wǎng)絡(luò)穩(wěn)定無關(guān)的措施,它是個(gè)人的,不是網(wǎng)絡(luò)的。
三、VLAN和交換機(jī)端口綁定
通過劃分VLAN和交換機(jī)端口綁定,以圖防范ARP,也是常用的防范方法。做法是細(xì)致地劃分VLAN,減小廣播域的范圍,使ARP在小范圍內(nèi)起作用,而不至于發(fā)生大面積影響。同時(shí),一些網(wǎng)管交換機(jī)具有MAC地址學(xué)習(xí)的功能,學(xué)習(xí)完成后,再關(guān)閉這個(gè)功能,就可以把對(duì)應(yīng)的MAC和端口進(jìn)行綁定,避免了病毒利用ARP攻擊篡改自身地址。也就是說,把ARP攻擊中被截獲數(shù)據(jù)的風(fēng)險(xiǎn)解除了。這種方法確實(shí)能起到一定的作用。
不過,VLAN和交換機(jī)端口綁定的問題在于:
1、沒有對(duì)網(wǎng)關(guān)的任何保護(hù),不管如何細(xì)分VLAN,網(wǎng)關(guān)一旦被攻擊,照樣會(huì)造成全網(wǎng)上網(wǎng)的掉線和癱瘓。
2、把每一臺(tái)電腦都牢牢地固定在一個(gè)交換機(jī)端口上,這種管理太死板了。這根本不適合移動(dòng)終端的使用,從辦公室到會(huì)議室,這臺(tái)電腦恐怕就無法上網(wǎng)了。在無線應(yīng)用下,又怎么辦呢?還是需要其他的辦法。
3、實(shí)施交換機(jī)端口綁定,必定要全部采用高級(jí)的網(wǎng)管交換機(jī)、三層交換機(jī),整個(gè)交換網(wǎng)絡(luò)的造價(jià)大大提高。
因?yàn)榻粨Q網(wǎng)絡(luò)本身就是無條件支持ARP操作的,就是它本身的漏洞造成了ARP攻擊的可能,它上面的管理手段不是針對(duì)ARP的。因此,在現(xiàn)有的交換網(wǎng)絡(luò)上實(shí)施ARP防范措施,屬于以子之矛攻子之盾。而且操作維護(hù)復(fù)雜,基本上是個(gè)費(fèi)力不討好的事情。
四、PPPoE
網(wǎng)絡(luò)下面給每一個(gè)用戶分配一個(gè)帳號(hào)、密碼,上網(wǎng)時(shí)必須通過PPPoE認(rèn)證,這種方法也是防范ARP措施的一種。PPPoE撥號(hào)方式對(duì)封包進(jìn)行了二次封裝,使其具備了不受ARP欺騙影響的使用效果,很多人認(rèn)為找到了解決ARP問題的終極方案。
問題主要集中在效率和實(shí)用性上面:
1、PPPoE需要對(duì)封包進(jìn)行二次封裝,在接入設(shè)備上再解封裝,必然降低了網(wǎng)絡(luò)傳輸效率,造成了帶寬資源的浪費(fèi),要知道在路由等設(shè)備上添加PPPoE Server的處理效能和電信接入商的PPPoE Server可不是一個(gè)數(shù)量級(jí)的。
2、PPPoE方式下局域網(wǎng)間無法互訪,在很多網(wǎng)絡(luò)都有局域網(wǎng)內(nèi)部的域控服務(wù)器、DNS服務(wù)器、郵件服務(wù)器、OA系統(tǒng)、資料共享、打印共享等等,需要局域網(wǎng)間相互通信的需求,而PPPoE方式使這一切都無法使用,是無法被接受的。
3、不使用PPPoE,在進(jìn)行內(nèi)網(wǎng)訪問時(shí),ARP的問題依然存在,什么都沒有解決,網(wǎng)絡(luò)的穩(wěn)定性還是不行。
因此,PPPoE在技術(shù)上屬于避開底層協(xié)議連接,眼不見心不煩,通過犧牲網(wǎng)絡(luò)效率換取網(wǎng)絡(luò)穩(wěn)定。最不能接受的,就是網(wǎng)絡(luò)只能上網(wǎng)用,內(nèi)部其他的共享就不能在PPPoE下進(jìn)行了。
通過對(duì)以上四種普遍的ARP防范方法的分析,我們可以看出,現(xiàn)有ARP防范措施都存在問題。這也就是ARP即使研究很久很透,但依然在實(shí)踐中無法徹底解決的原因所在了。
道高一尺魔高一丈,網(wǎng)絡(luò)問題必定需要網(wǎng)絡(luò)的方法去解決。
從技術(shù)原理上,徹底解決ARP欺騙和攻擊,要有三個(gè)技術(shù)要點(diǎn)。
1、終端對(duì)網(wǎng)關(guān)的綁定要堅(jiān)實(shí)可靠,這個(gè)綁定能夠抵制被病毒搗毀。
2、接入路由器或網(wǎng)關(guān)要對(duì)下面終端IP-MAC的識(shí)別始終保證唯一準(zhǔn)確。
3、網(wǎng)絡(luò)內(nèi)要有一個(gè)最可依賴的機(jī)構(gòu),提供對(duì)網(wǎng)關(guān)IP-MAC最強(qiáng)大的保護(hù)。它既能夠分發(fā)正確的網(wǎng)關(guān)信息,又能夠?qū)Τ霈F(xiàn)的假網(wǎng)關(guān)信息立即封殺。
所以安全廠商們應(yīng)該從這三個(gè)技術(shù)要點(diǎn)出發(fā),利用專門的技術(shù)解決手段,在現(xiàn)有的網(wǎng)關(guān)、交換機(jī)、網(wǎng)卡、網(wǎng)線構(gòu)成的普通交換網(wǎng)絡(luò)基礎(chǔ)上,加入一套安全和管理的解決方案。這樣一來,在普通的網(wǎng)絡(luò)通信中,就融合進(jìn)了安全和管理的機(jī)制,保證了在網(wǎng)絡(luò)通信過程中具有了安全管控的能力,堵上了普通網(wǎng)絡(luò)對(duì)安全從不設(shè)防的先天漏洞。徹底解決這個(gè)安全隱患。
