以ARP echo方式对应ARP攻击,也会发生相似的情况 。第一,面对高频率的新式ARP攻击,ARP echo发挥不了效果,掉线断网的情况仍旧会发生 。ARP echo的方式防制的对早期以盗宝为目的的攻击软件有效果,但碰到最近以攻击为手段的攻击软件则公认是没有效果的 。第二,ARP echo手段必须在局域网上持续发出广播网络包,占用局域网带宽,使得局域网工作的能力降低,整个局域网的计算机及交换机时时都在处理ARP echo广播包,还没受到攻击局域网就开始卡了 。第三,必须在局域网有一台负责负责发ARP echo广播包的设备,不管是路由器、服务器或是计算机,由于发包是以一秒数以百计的方式来发送,对该设备都是很大的负担 。
图一:ARP攻击防制 方法之“ARP echo”图示说明常见的ARP echo处理手法有两种,一种是由路由器持续发送,另一则是在计算机或服务器安装软件发送 。路由器持续发送的缺点是路由器原本的工作就很忙,因此无法发送高频率的广播包,被覆盖掉的机会很大,因此面对新型的ARP攻击防制效果小 。因此,有些解决方法,就是拿ARP攻击的软件来用,只是持续发出正确的网关、服务器对照表,安装在服务器或是计算机上,由于服务器或是计算机运算能力较强,可以同一时间内发出更多广播包,效果较大,但是这种作法一则大幅影响局域网工作,因为整个局域网都被广播包占据,另则攻击软件通常会设定更高频率的广播包,误导局域网计算机,效果仍然有限 。
此外,ARP echo一般是发送网关及私服的对照信息,对于防止局域网计算机被骗有效果,对于路由器没有效果,仍需作绑定的动作才可 。
PK赛之“ARP绑定”
ARP echo的作法是不断提醒计算机正确的ARP对照表,ARP绑定则是针对ARP协议“思想不坚定“的基本问题来加以解决 。Qno侠诺技术服务人员认为,ARP绑定的作法,等于是从基本上给这个快递员培训,让他把正确的人名及地址记下来,再也不受其它人的信息干扰 。由于快递员脑中记住了这个对照表,因此完全不会受到有心人士的干扰,能有效地完成工作 。在这种情况下,无论如何都可以防止因受到攻击而掉线的情况发生 。
但是ARP绑定并不是万灵药,还需要作的好才有完全的效果 。第一,即使这个快递员思想正确,不受影响,但是攻击者的网络包还是会小幅影响局域网部份运作,网管必须通过网络监控或扫瞄的方法,找出攻击者加以去除;第二,必须作双向绑定才有完全的效果,只作路由器端绑定效果有限,一般计算机仍会被欺骗,而发生掉包或掉线的情况 。
双向绑定的解决方法,最为网管不喜欢的就是必须一台一台加以绑定,增加工作量 。但是从以上的说明可知道,只有双向绑定才能有效果地解决ARP攻击的问题,而不会发生防制效果不佳、局域网效率受影响、影响路由器效能或影响服务器效能的缺点 。也就是说双向绑定是个硬工夫,可以较全面性地解决现在及未来ARP攻击的问题,网管为了一时的省事,而采取片面的ARP echo解决方式,未来还是要回来解决这个问题 。
图二:ARP攻击防制 方法之侠诺“ARP双向绑定”图示说明 【论ARP攻击防制的基本方法】另外,对于有自动通过局域网安装软件的网络,例如网吧的收费系统、无盘系统,都可以透过自动的批次档,自动在开机时完成绑定的工作,网管只要撰写一个统一的批次文件程序即可,不必一一配置 。这些信息可以很容易地在互联网上通过搜索找到或者是向Qno侠诺的技术服务人员索取即可 。
二、现阶段较佳解决方案——双向绑定
推荐阅读
- 防范网页木马的攻击
- DDOS攻击 如何判断是否遭到流量攻击
- 电子邮件炸弹攻击原理及相关预防方法
- ARP静态绑定批处理文件脚本详细解读
- 2007上半年木马攻击增长500%
- 也谈我的刷机升级感受
- 双因素理论在企业管理中的应用
- 【小狼添翼】明西S88试飞第二阶段论坛常见问题总结
- 小米6什么时候发布?小米6发布时间介绍
- 揭秘“AV终结者”病毒的生态链