新的认证方式能终结ARP攻击吗?
原作者:a2b 来源: http://bbs.xdnice.com/topic10006t475538t11p1.html
新的 认证方式能终结 ARP攻击吗?也许能,但我认为不过是治标不治本的方法,过阵子,攻击仍会猖獗。
校园网ARP攻击泛滥的很大一个因素是IP不足,有人抢不到IP,就把别人挤掉,然后自己上。说到底这是个管理问题而不是技术问题,从管理上下工夫,用不用 PPPoE拨号的方式,问题都能 解决,反之,即使用了新的认证方式,管理不好IP,还是会有人不停的被别人挤掉――只不过换个方法罢了。
新方式能管理好IP资源吗?难度和在旧方式一样,原来管不好现在还管不好――除非态度改变,但这和新的认证方式无关,或者说技术无关。
有针对新的认证方式的攻击吗?早晚会有,甚至新的系统更脆弱些,的确现有的ARP攻击程序失去了作用,但需求和系统底层脆弱性摆在那,新的攻击程序的开发只是时间问题,ARP攻击的原理是随着以太网诞生的那天就有了的,直到最近才泛滥到让我无法忍受的地步,只是因为它直到现在才有那个必要泛滥到如此地步。
同是用PPPoE拨号,但和xDSL不同,主楼及实现新认证方式的地方现在的 网络架构相当于小区宽带, http://www.avrw.com/article/art_112_3310.htm的前面部分讲的是PPPoE的协议细节,看看的话发现协议还属于那种早期的相互信任的“君子协议”,易受攻击的程度比以太网好不到哪去。大致想想,不保证正确性的说,可能的攻击方法有:
1.利用协议中会话终止过程没有认证的漏洞,冒充主机发送终止帧,强行使其下线。
2.利用广播寻找 服务器的特点,冒充服务器,做中间人攻击,截获敏感 信息
3.对服务器进行DoS攻击(从底层的端口偷窃到高层的泛洪请求),瘫痪整个小区网络。
上面的是猜测,最近准备写几个测试和演示程序,验证上述方式的可行性。但总的来说,我对用新的认证方式来终结ARP攻击抱消极态度。
更新内容 请看 http://bbs.xdnice.com/topic10006t475538t11p1.html
新的 认证方式能终结 ARP攻击吗?也许能,但我认为不过是治标不治本的方法,过阵子,攻击仍会猖獗。
校园网ARP攻击泛滥的很大一个因素是IP不足,有人抢不到IP,就把别人挤掉,然后自己上。说到底这是个管理问题而不是技术问题,从管理上下工夫,用不用 PPPoE拨号的方式,问题都能 解决,反之,即使用了新的认证方式,管理不好IP,还是会有人不停的被别人挤掉――只不过换个方法罢了。
新方式能管理好IP资源吗?难度和在旧方式一样,原来管不好现在还管不好――除非态度改变,但这和新的认证方式无关,或者说技术无关。
有针对新的认证方式的攻击吗?早晚会有,甚至新的系统更脆弱些,的确现有的ARP攻击程序失去了作用,但需求和系统底层脆弱性摆在那,新的攻击程序的开发只是时间问题,ARP攻击的原理是随着以太网诞生的那天就有了的,直到最近才泛滥到让我无法忍受的地步,只是因为它直到现在才有那个必要泛滥到如此地步。
同是用PPPoE拨号,但和xDSL不同,主楼及实现新认证方式的地方现在的 网络架构相当于小区宽带, http://www.avrw.com/article/art_112_3310.htm的前面部分讲的是PPPoE的协议细节,看看的话发现协议还属于那种早期的相互信任的“君子协议”,易受攻击的程度比以太网好不到哪去。大致想想,不保证正确性的说,可能的攻击方法有:
1.利用协议中会话终止过程没有认证的漏洞,冒充主机发送终止帧,强行使其下线。
2.利用广播寻找 服务器的特点,冒充服务器,做中间人攻击,截获敏感 信息
3.对服务器进行DoS攻击(从底层的端口偷窃到高层的泛洪请求),瘫痪整个小区网络。
上面的是猜测,最近准备写几个测试和演示程序,验证上述方式的可行性。但总的来说,我对用新的认证方式来终结ARP攻击抱消极态度。
更新内容 请看 http://bbs.xdnice.com/topic10006t475538t11p1.html
楼主功力深厚啊!
主楼此次实施PPPOE认证,也只是过渡性的。这是在完全更新主楼交换机之前的解决ARP病毒一种临时方案。等主楼的交换机完全更换后,也会采用和新校区一样的客户端认证方式。
另外,IP地址冲突攻击,也并非IP地址不够用造成的。ARP病毒本身就可以产生IP冲突。采用了PPPOE拨号,动态分配IP地址,应该不会出现IP地址冲突的情况了。主楼里IP是 210.27.这段IP中的10个C段,大约有2500个IP ,加之PPPOE可以在路由器内部拨号,应该不会有IP不足的情况。
主楼此次实施PPPOE认证,也只是过渡性的。这是在完全更新主楼交换机之前的解决ARP病毒一种临时方案。等主楼的交换机完全更换后,也会采用和新校区一样的客户端认证方式。
另外,IP地址冲突攻击,也并非IP地址不够用造成的。ARP病毒本身就可以产生IP冲突。采用了PPPOE拨号,动态分配IP地址,应该不会出现IP地址冲突的情况了。主楼里IP是 210.27.这段IP中的10个C段,大约有2500个IP ,加之PPPOE可以在路由器内部拨号,应该不会有IP不足的情况。
没看过新校区认证客户端的工作方式,等主楼用了再分析吧:)但愿不是原来的那种用高层认证来管理低层资源的方式。既然涉及到更换交换机,应该是有链路层的管理吧。
考虑到布线结构不会发生大的变化,因而基于以太网的网络架构也不会被颠覆,所以网络被破坏和攻击还是无法根除的,我的意思是与其大动干戈花钱买设备,为什么不多在管理上下功夫呢?这是理念的问题,扯远点,今天听了个日本人的报告,看他们做的系统,在细节上比我们的细致了不止一个档次,而这些都是和技术无关的,我们的社会很少有人把苦活、细活、低技术含量的活做得很好――能做好的不爱做,愿意做的做不好――而稳定的网络需要的,恰恰就是这些细致枯燥的管理工作,而不是多炫的技术。
IP地址冲突攻击,ARP攻击的一种表现形式,就ARP攻击来说,动机大概有两个:
一个是我说的IP资源不足的问题,我认为这是不可回避的,可以看出IP地址越匮乏的地方ARP攻击越严重,netfairy 说的2500多个IP,我们看成253x 10更好些,准确的说是在有些地方最多只有253个可用IP,在宿舍、实验实集中的地方很可能是不够用的――不一定要有250多台机器占满这些网段,主机稍微多一点,就会发现试出一个可用IP来远不如抢一个来的方便。当然,动态分配的话就好多了。但像宿舍那种不够分的情况,问题一样会来。
另一个动机,表现上是病毒,但现已经很少有饱了撑的以瘫痪个破局域网为目的的病毒了,本质上是为了实现交换环境下的嗅探,继而获取敏感信息。病毒是自动实现的形式,引起人们注意的、让人上不了网的ARP攻击都是自动实现失败造成的,写的好的恶意软件不会那么招事的,而手动实现的ARP欺骗和敏感信息嗅探的危害更大。原来(大概07年吧)网管会的折腾大家登记新的Dr.com的账号,说是为了消除ARP攻击,其实只是能让他们比较省事的找出那些失败的攻击,结果怎样?同样,采用新的认证方式,也会有新的攻击,说回正题,保证网络稳定的关键是管理,是那些秘书才愿意干但秘书干不了的活。
考虑到布线结构不会发生大的变化,因而基于以太网的网络架构也不会被颠覆,所以网络被破坏和攻击还是无法根除的,我的意思是与其大动干戈花钱买设备,为什么不多在管理上下功夫呢?这是理念的问题,扯远点,今天听了个日本人的报告,看他们做的系统,在细节上比我们的细致了不止一个档次,而这些都是和技术无关的,我们的社会很少有人把苦活、细活、低技术含量的活做得很好――能做好的不爱做,愿意做的做不好――而稳定的网络需要的,恰恰就是这些细致枯燥的管理工作,而不是多炫的技术。
IP地址冲突攻击,ARP攻击的一种表现形式,就ARP攻击来说,动机大概有两个:
一个是我说的IP资源不足的问题,我认为这是不可回避的,可以看出IP地址越匮乏的地方ARP攻击越严重,netfairy 说的2500多个IP,我们看成253x 10更好些,准确的说是在有些地方最多只有253个可用IP,在宿舍、实验实集中的地方很可能是不够用的――不一定要有250多台机器占满这些网段,主机稍微多一点,就会发现试出一个可用IP来远不如抢一个来的方便。当然,动态分配的话就好多了。但像宿舍那种不够分的情况,问题一样会来。
另一个动机,表现上是病毒,但现已经很少有饱了撑的以瘫痪个破局域网为目的的病毒了,本质上是为了实现交换环境下的嗅探,继而获取敏感信息。病毒是自动实现的形式,引起人们注意的、让人上不了网的ARP攻击都是自动实现失败造成的,写的好的恶意软件不会那么招事的,而手动实现的ARP欺骗和敏感信息嗅探的危害更大。原来(大概07年吧)网管会的折腾大家登记新的Dr.com的账号,说是为了消除ARP攻击,其实只是能让他们比较省事的找出那些失败的攻击,结果怎样?同样,采用新的认证方式,也会有新的攻击,说回正题,保证网络稳定的关键是管理,是那些秘书才愿意干但秘书干不了的活。
Dr.com 认证客户端可能不能有效对帐户、IP MAC 和端口进行绑定吧,或者无法实现这个绑定
新校区学生区用的是锐捷的客户端,教学区是H3C 的inode客户端
宿舍区用的是锐捷的交换机 骨干交换设备是H3C的
教学区是H3C的交换机。
锐捷的绑定更加严格一些,不能有双网卡
主楼里的设备确实是太陈旧了,是2002年采购的廉价设备,什么管理功能都没有啊
西电5万信息点,西北地区第一规模的网络,仅靠人力来进行网络管理不现实,必须采用先进的设备和软件系统。以前学校没有在这个方面投入,现在网络问题太多了,才开始补课。也算是觉醒了吧!
更换设备是第一步,配合客户端认证,网络管理应该可以上一个档次。
IPV4还是主流, IPV6 应用不多,更换设备后可以更好支持IPV6.
我提Dr.com是说竟然有网管会的说“让大家排队申请新账号是因为用那东西能制止ARP攻击”,我似乎也没说那个能绑定MAC吧?
刚才出去了一下,接着写,设备陈旧是该换,我也没有反对的意思,但不能把管理上的问题算在设备陈旧上,既然是
“西北地区第一规模的网络
”,那我们在管理的人力投入上是个什么规模呢?和网络规模成正比吗?问题“仅”靠人力解决不了,但人力上的问题靠设备也是解决不了的,我一直在说问题的本质是管理上的而不是技术上的,我不反对更新设备,但我认为保持现在的管理方式和人力投入,是没办法解决问题的,网络照样会烂,无论是换了什么设备。学校有那钱,还不如腾出一些,多雇几个专职的低级别管理员(包括技术和非技术人员)有效。
听说今天主楼就有因资源不足而无法上网的事情出现了,看来2500+的IP资源还是有问题啊。
支持IPV6是大势所趋,支持IPV6是没人反对的,但这和我说的管理问题没有联系啊。另外,你一定也知道,IPV6网上的资源不多,就算支持了,一时半会用的人也不会多。
我意思是学校投入更换设备和配置管理人员同步进行,现在现状是设备陈旧,管理维护人员太少了。提高管理水平是王道!学校在网路管理和建设方面的投入只能说是欠账太多!
“听说今天主楼就有因资源不足而无法上网的事情出现了,看来2500+的IP资源还是有问题啊。”有些办公室、实验室没有用路由器,一个电脑一个校园IP,占用大量IP,肯定会出现IP不足的情况。建议都采用Internet共享或者路由器方式共享IP上网,可以大大减少IP数目,提高网络安全性。
是啊,如你所说,现在现状是设备陈旧,管理维护人员太少了。提高管理水平是王道!
建议都采用Internet共享或者路由器方式共享IP上网,可以大大减少IP数目,提高网络安全性。我认为这个光靠建议是没用的,不少用户人认为N个人用同一个IP上网会慢很多,所以加强IP资源的管理,限制各主机只能用NAT方式接入网络,才能解决IP资源的问题,当然,这些需要人力投入的。
可不可以利用交换机的功能 设置禁止某个端口机器在一定时间内新加入的主机MAC数量?
如果交换机有那个功能的话,那样的确好了许多,但那样交换级联会不会成问题?
另外这个材料的方法能够实现的话也很有意义: http://sh0wrun.blogspot.com/2008/09/pppoe.html
对于2点,可不可以在客户端绑定服务器,用CHAP?
DOS哪都有啦。
我认为不用新的认证方式,ARP双向绑定,每个实验室分配一个IP,室内加个网络服务器做NAT,一样可以管理好IP,并消除ARP攻击的影响。
但这样管理成本的确不少,不过我认为相关的人力、财力成本是学校应该出的。说白了,该雇的人数没雇够,或者该干的细活苦活没人干,这都是管理问题而不是技术问题。