探访网管世界的几大问题――第一章ARP防护

 

通过上面的投票可以看到在 ARP 这块的东西现在还是令人头痛的，那么今天我就从当一次专家给大家分析一下 ARP 这块东西到底该怎么去做才可以彻底的防。
arp 在目前看来可以分为 7 中之多。
1 、 arp 欺骗（网关、 pc ）
2 、 arp 攻击
3 、 arp 残缺
4 、海量 arp
5 、二代 arp （假 ip 、假 mac)
因为二代的 arp 最难解决，现在我就分析一下二代 arp 的问题。
现象    ARP 出现了新变种，二代 ARP 攻击已经具有自动传播能力，已有的宏文件绑定方式已经被破，网络有面临新一轮的掉线和卡滞盗号的影响！

原理   二代 ARP 主要表现在病毒通过网络访问或是主机间的访问互相传播。由于病毒已经感染到电脑主机，可以轻而易举的清除掉客户机电脑上的 ARP 静态绑定（首先执行的是 arp -d 然后在执行的是 arp -s ，此时绑定的是一个错误的 MAC) 伴随着绑定的取消，错误的网关 IP 和 MAC 的对应并可以顺利的写到客户机电脑， ARP 的攻击又畅通无阻了。
解决办法     （ 1 ）部分用户采用的 “ 双 / 单项绑定 ” 后， ARP 攻击得到了一定的控制。
面临问题 双绑和单绑都需要在客户机上绑定。二代 ARP 攻击会清除电脑上的绑定，使得电脑静态绑定的方式无效。
（ 2 ）部分用户采用一种叫作 “ 循环绑定 ” 的办法，就是每过一段 “ 时间 ” 客户端自动绑定一个 “IP/MAC” 。
面临问题 如果我们 “ 循环绑定 ” 的时间较长（比 arp 清除的时间长）就是说在 “ 循环绑定 ” 进行第二次绑定之前就被清除了，这样对 arp 的防范仍然无效。如果 “ 循环绑定 ” 的时间过短（比 arp 清除时间短）这块就会暂用更多的系统资源，这样就是 “ 得不偿失 ”
（ 3 ）部分用户采用一种叫作 “arp 防护 ” ，就是网关每过一段时间按照一定的 “ 频率 ” 在内网发送正确网关 “IP/MAC”
面临问题 如果发送的 “ 频率 ” 过快（每秒发送的 ARP 多）就会严重的消耗内网的资源（容易造成内网的堵塞），如果发送 “ 频率 ” 太慢（没有 arp 协议攻击发出来频率高）在 arp 防范上面没有丝毫的作用。

最彻底的办法
（ 4 ） arp 是个“双头怪”要想彻底解决必须要“首尾兼顾”有两种方式可以实现

第一 采用“看守式绑定”的方法，实时监控电脑 ARP 缓存，确保缓存内网关 MAC 和 IP 的正确对应。 在 arp 缓存表里会有一个静态的绑定，如果受到 arp 的攻击，或只要有公网的请求时，这个静态的绑定又会自动的跳出，所以并不影响网络的正确的访问。这种方式是安全与网卡功能融合的一种表现，也叫作“终端抑制”

第二就是在网络接入架构上要有“安全和网络功能的融合”就是在接入网关做 NAT 的时候不是按照传统路由那样根据 “MAC/IP” 映射表来转发数据，而是根据他们在 NAT 表中的 MAC 来确定（这样就会是只要数据可以转发出去就一定可以回来）就算 ARP 大规模的爆发， arp 表也混乱了但是并不会给我们的网络造成任何影响。（不看 IP/MAC 映射表）这种方法在现有控制 ARP 中也是最彻底的。也被称为是“免疫网络”的重要特征。

  目前看只有巡路免疫网络具备此项特殊功能表现。

 

本文出自 “技术天地” 博客，转载请与作者联系！