欢迎您访问程序员文章站本站旨在为大家提供分享程序员计算机编程知识!
您现在的位置是: 首页  >  科技

网吧最新攻略之ARP攻击和防治!

程序员文章站 2022-05-22 15:36:33
网吧最新攻略之ARP攻击和防治!...
  2005年底以来,arp攻击在网吧企业泛滥,成为网络安全的极大隐患,防治arp攻击成为当前网络安全的当务之急。netcore成立专门小组,通过深入研究、反复试验,历时半年推出完善的arp攻击防治方案,彻底解决网吧、企业因arp攻击出现的掉线、卡机问题。

  arp攻击的原理和演化

  对以太网有所认识的人都知道,arp表是每台设备(电脑)的mac地址和ip地址的关系对应表。如果设备需要在局域网中利用tcp/ip协议进行通信的话,必须有这样一张arp表。

  arp表是每台设备(电脑)自行维护的,而arp表的数据,是来自于开放的“arp广播”机制,由每台设备在网上广播自己的ip/mac地址的对应关系来做到的。

  这样就存在一个很大的隐患,就是恶意程序可以利用这种开放机制,发送错误的ip/mac地址对应关系,达到特定的目的。

  初期:arp欺骗

  这种有目的的发布错误arp广播包的行为,被称为arp欺骗。arp欺骗,最初为黑客所用,成为黑客窃取网络数据的主要手段。黑客通过发布错误的arp广播包,阻断正常通信,并将自己所用的电脑伪装称别的电脑,这样原本发往其他电脑的数据,就发到了黑客的电脑上,达到窃取数据的目的。

  中期:arp恶意攻击

  后来,有人利用这一原理,制作了一些所谓的“管理软件”,例如网路剪刀手、执法官、终结者等,这样就导致了arp恶意攻击的泛滥。往往使用这种软件的人,以恶意破坏为目的,多是为了让别人断线,逞一时之快。

  特别是在网吧中,或者因为商业竞争的目的、或者因为个人无聊泄愤,造成恶意arp攻击泛滥。

  随着网吧经营者摸索出禁用这些特定软件的方法,这股风潮也就渐渐平息下去了。

  现在:综合的arp攻击

  最近这一波arp攻击潮,其目的、方式多样化,冲击力度、影响力也比前两个阶段大很多。

  首先是病毒加入了arp攻击的行列。以前的病毒攻击网络以广域网为主,最有效的攻击方式是ddos攻击。但是随着防范能力的提高,病毒制造者将目光投向局域网,开始尝试arp攻击,例如最近流行的威金病毒,arp攻击是其使用的攻击手段之一。

  相对病毒而言,盗号程序对网吧运营的困惑更大。盗号程序是为了窃取用户帐号密码数据而进行arp欺骗,同时又会影响的其他电脑上网。
  arp攻击造成的现象

  arp的攻击的问题影响面很大,管理好的网吧企业往往都认识到这个问题,在积极寻求解决的方案。但是很多网吧和企业并没有认识到这个问题,因为没有注意到网络运行中遇到的“奇怪的故障”,所以对成因也认识不到,只知道自己的系统有问题,但是哪里有问题,却搞不清楚。

  这里列出几种因arp攻击造成的现象:

  大面积同时掉线和卡―――这种情况往往是arp病毒的表现,也有少数盗号程序是这种现象。

  电脑挨个掉线或者卡―――这种情况多是盗号程序所为,因为盗号程序往往是按照ip地址顺序进行攻击,所以出现电脑挨个掉线的情况。如果盗号程序做的针对性强,就出现玩同一种游戏的电脑挨个掉线。

  掉线和卡好像有某种时间规律―――现在arp攻击往往都藏在外挂和网页里面,所以就和用户的使用习惯有关,当某个时间用户来了,他(她)习惯地使用某种程序或者打开某个网页时,攻击就开始了,他(她)一离开关机,攻击就停止了。所以说好像有某一种时间规律。但是这种用户有几天没有来,就几天没有故障,网管就会觉得问题又莫明其妙没有了。

  一般arp攻击的对治方法

  现在最常用的基本对治方法是“arp双向绑定”。

  由于arp攻击往往不是病毒造成的,而是合法运行的程序(外挂、网页)造成的,所杀毒软件多数时候束手无策。

  所谓“双向绑定”,就是再路由器上绑定arp表的同时,在每台电脑上也绑定一些常用的arp表项。

  “arp双向绑定”能够防御轻微的、手段不高明的arp攻击。arp攻击程序如果没有试图去更改绑定的arp表项,那么arp攻击就不会成功;如果攻击手段不剧烈,也欺骗不了路由器,这样我们就能够防住50%arp攻击。

  但是现在arp攻击的程序往往都是合法运行的,所以能够合法的更改电脑的arp表项。在现在arp双向绑定流行起来之后,攻击程序的作者也提高了攻击手段,攻击的方法更综合,另外攻击非常频密,仅仅进行双向绑定已经不能够应付凶狠的arp攻击了,仍然很容易出现掉线。

  于是我们在路由器中加入了“arp攻击主动防御”的功能。这个功能是在路由器arp绑定的基础上实现的,原理是:当网内受到错误的arp广播包攻击时,路由器立即广播正确的arp包去修正和消除攻击包的影响。这样我们就解决了掉线的问题,但是在最凶悍的arp攻击发生时,仍然发生了问题----当arp攻击很频密的时候,就需要路由器发送更频密的正确包去消除影响。虽然不掉线了,但是却出现了上网“卡”的问题。

  所以,我们认为,依靠路由器实现“arp攻击主动防御”,也只能够解决80%的问题。

  为了彻底消除arp攻击,我们在此基础上有增加了“arp攻击源攻击跟踪”的功能。对于剩下的强悍的arp攻击,我采用“日志”功能,提供信息方便用户跟踪攻击源,这样用户通过临时切断攻击电脑或者封杀发出攻击的程序,能够解决问题。
  彻底解决arp攻击

  事实上,由于路由器是整个局域网的出口,而arp攻击是以整个局域网为目标,当arp攻击包已经达到路由器的时候,影响已经照成。所以由路由器来承担防御arp攻击的任务只是权宜之计,并不能很好的解决问题。

  我们要真正消除arp攻击的隐患,安枕无忧,必须转而对“局域网核心”――交换机下手。由于任何arp包,都必须经由交换机转发,才能达到被攻击目标,只要交换机据收非法的arp包,哪么arp攻击就不能造成任何影响。

  我们提出一个真正严密的防止arp攻击的方案,就是在每台接入交换机上面实现arp绑定,并且过滤掉所有非法的arp包。这样可以让arp攻击足不能出户,在局域网内完全消除了arp攻击。

  因为需要每台交换机都具有arp绑定和相关的安全功能,这样的方案无疑价格是昂贵的,所以我们提供了一个折衷方案。

  经济方案

  我们只是中心采用能够大量绑定arp和进行arp攻击防御的交换机――netcore 7324nsw,这款交换机能够做到arp绑定条目可以达到1000条,因此基本上可以对整网的arp进行绑定,同时能杜绝任何非法arp包在主交换机进行传播。

  这样如果在强力的arp攻击下,我们观察到的现象是:arp攻击只能影响到同一个分支交换机上的电脑,这样可能被攻击到的范围就大大缩小了。当攻击发生时,不可能造成整个网络的问题。

  在此基础上,我们再补充“日志”功能和“arp主动防御”功能,arp攻击也可以被完美的解决。

  arp攻击最新动态

  最近一段时间,各网吧发现的arp攻击已经升级,又一波arp攻击的高潮来临。

  这次arp攻击发现的特征有:

  1、 速度快、效率高,大概在10-20秒的时间内,能够造成300台规模的电脑掉线。

  2、 不易发现。在攻击完成后,立即停止攻击并更正arp信息。如果网内没有日志功能,再去通过arp命令观察,已经很难发现攻击痕迹。

  3、 能够破解最新的xp和2000的arp补丁,微软提供的补丁很明显在这次攻击很脆弱,没有作用。

  4、 介质变化,这次攻击的来源来自私服程序本身(不是外挂)和p2p程序。