常見防范ARP攻擊措施的分析

ARP欺騙和攻擊問題，是企業(yè)網(wǎng)絡(luò)的心腹大患。關(guān)于這個問題的討論已經(jīng)很深入了，對ARP攻擊的機理了解的很透徹，各種防范措施也層出不窮。

但問題是，現(xiàn)在真正擺脫ARP問題困擾了嗎？從用戶那里了解到，雖然嘗試過各種方法，但這個問題并沒有根本解決。原因就在于，目前很多種ARP防范措施，一是解決措施的防范能力有限，并不是最根本的辦法。二是對網(wǎng)絡(luò)管理約束很大，不方便不實用，不具備可操作性。三是某些措施對網(wǎng)絡(luò)傳輸?shù)男苡袚p失，網(wǎng)速變慢，帶寬浪費，也不可取。

本文通過具體分析一下普遍流行的4種防范ARP措施，去了解為什么ARP問題始終不能根治。

一、雙綁措施

雙綁是在路由器和終端上都進(jìn)行IP-MAC綁定的措施，它可以對ARP欺騙的兩邊，偽造網(wǎng)關(guān)和截獲數(shù)據(jù)，都具有約束的作用。這是從ARP欺騙原理上進(jìn)行的防范措施，也是最普遍應(yīng)用的辦法。它對付最普通的ARP欺騙是有效的。

但雙綁的缺陷在于3點：

1、在終端上進(jìn)行的靜態(tài)綁定，很容易被升級的ARP攻擊所搗毀，病毒的一個ARP d命令，就可以使靜態(tài)綁定完全失效。

2、在路由器上做IP-MAC表的綁定工作，費時費力，是一項繁瑣的維護(hù)工作。換個網(wǎng)卡或更換IP，都需要重新配置路由。對于流動性電腦，這個需要隨時進(jìn)行的綁定工作，是網(wǎng)絡(luò)維護(hù)的巨大負(fù)擔(dān)，網(wǎng)管員幾乎無法完成。

3、雙綁只是讓網(wǎng)絡(luò)的兩端電腦和路由不接收相關(guān)ARP信息，但是大量的ARP攻擊數(shù)據(jù)還是能發(fā)出，還要在內(nèi)網(wǎng)傳輸，大幅降低內(nèi)網(wǎng)傳輸效率，依然會出現(xiàn)問題。

因此，雖然雙綁曾經(jīng)是ARP防范的基礎(chǔ)措施，但因為防范能力有限，管理太麻煩，現(xiàn)在它的效果越來越有限了。

二、ARP個人防火墻

在一些殺毒軟件中加入了ARP個人防火墻的功能，它是通過在終端電腦上對網(wǎng)關(guān)進(jìn)行綁定，保證不受網(wǎng)絡(luò)中假網(wǎng)關(guān)的影響，從而保護(hù)自身數(shù)據(jù)不被竊取的措施。ARP防火墻使用范圍很廣，有很多人以為有了防火墻，ARP攻擊就不構(gòu)成威脅了，其實完全不是那么回事。

ARP個人防火墻也有很大缺陷：

1、它不能保證綁定的網(wǎng)關(guān)一定是正確的。如果一個網(wǎng)絡(luò)中已經(jīng)發(fā)生了ARP欺騙，有人在偽造網(wǎng)關(guān)，那么，ARP個人防火墻上來就會綁定這個錯誤的網(wǎng)關(guān)，這是具有極大風(fēng)險的。即使配置中不默認(rèn)而發(fā)出提示，缺乏網(wǎng)絡(luò)知識的用戶恐怕也無所適從。

2、ARP是網(wǎng)絡(luò)中的問題，ARP既能偽造網(wǎng)關(guān)，也能截獲數(shù)據(jù)，是個“雙頭怪”。在個人終端上做ARP防范，而不管網(wǎng)關(guān)那端如何，這本身就不是一個完整的辦法。ARP個人防火墻起到的作用，就是防止自己的數(shù)據(jù)不會被盜取，而整個網(wǎng)絡(luò)的問題，如掉線、卡滯等，ARP個人防火墻是無能為力的。

因此，ARP個人防火墻并沒有提供可靠的保證。最重要的是，它是跟網(wǎng)絡(luò)穩(wěn)定無關(guān)的措施，它是個人的，不是網(wǎng)絡(luò)的。

三、VLAN和交換機端口綁定

通過劃分VLAN和交換機端口綁定，以圖防范 ARP，也是常用的防范方法。做法是細(xì)致地劃分VLAN，減小廣播域的范圍，使 ARP在小范圍內(nèi)起作用，而不至于發(fā)生大面積影響。同時，一些網(wǎng)管交換機具有MAC地址學(xué)習(xí)的功能，學(xué)習(xí)完成后，再關(guān)閉這個功能，就可以把對應(yīng)的MAC和端口進(jìn)行綁定，避免了病毒利用ARP攻擊篡改自身地址。也就是說，把ARP攻擊中被截獲數(shù)據(jù)的風(fēng)險解除了。這種方法確實能起到一定的作用。

不過，VLAN和交換機端口綁定的問題在于：

1、沒有對網(wǎng)關(guān)的任何保護(hù)，不管如何細(xì)分VLAN，網(wǎng)關(guān)一旦被攻擊，照樣會造成全網(wǎng)上網(wǎng)的掉線和癱瘓。

2、把每一臺電腦都牢牢地固定在一個交換機端口上，這種管理太死板了。這根本不適合移動終端的使用，從辦公室到會議室，這臺電腦恐怕就無法上網(wǎng)了。在無線應(yīng)用下，又怎么辦呢？還是需要其他的辦法。

3、實施交換機端口綁定，必定要全部采用高級的網(wǎng)管交換機、三層交換機，整個交換網(wǎng)絡(luò)的造價大大提高。

因為交換網(wǎng)絡(luò)本身就是無條件支持ARP操作的，就是它本身的漏洞造成了ARP攻擊的可能，它上面的管理手段不是針對ARP的。因此，在現(xiàn)有的交換網(wǎng)絡(luò)上實施ARP防范措施，屬于以子之矛攻子之盾。而且操作維護(hù)復(fù)雜，基本上是個費力不討好的事情。

四、PPPoE

網(wǎng)絡(luò)下面給每一個用戶分配一個帳號、密碼，上網(wǎng)時必須通過PPPoE認(rèn)證，這種方法也是防范ARP措施的一種。PPPoE撥號方式對封包進(jìn)行了二次封裝，使其具備了不受ARP欺騙影響的使用效果，很多人認(rèn)為找到了解決ARP問題的終極方案。

問題主要集中在效率和實用性上面：

1、PPPoE需要對封包進(jìn)行二次封裝，在接入設(shè)備上再解封裝，必然降低了網(wǎng)絡(luò)傳輸效率，造成了帶寬資源的浪費，要知道在路由等設(shè)備上添加PPPoE Server的處理效能和電信接入商的PPPoE Server可不是一個數(shù)量級的。

2、PPPoE方式下局域網(wǎng)間無法互訪，在很多網(wǎng)絡(luò)都有局域網(wǎng)內(nèi)部的域控服務(wù)器、DNS服務(wù)器、郵件服務(wù)器、OA系統(tǒng)、資料共享、打印共享等等，需要局域網(wǎng)間相互通信的需求，而PPPoE方式使這一切都無法使用，是無法被接受的。

3、不使用PPPoE，在進(jìn)行內(nèi)網(wǎng)訪問時，ARP的問題依然存在，什么都沒有解決，網(wǎng)絡(luò)的穩(wěn)定性還是不行。

因此，PPPoE在技術(shù)上屬于避開底層協(xié)議連接，眼不見心不煩，通過犧牲網(wǎng)絡(luò)效率換取網(wǎng)絡(luò)穩(wěn)定。最不能接受的，就是網(wǎng)絡(luò)只能上網(wǎng)用，內(nèi)部其他的共享就不能在PPPoE下進(jìn)行了。

通過對以上4種普遍的ARP防范方法的分析，我們可以看出，現(xiàn)有ARP防范措施都存在問題。這也就是ARP即使研究很久很透，但依然在實踐中無法徹底解決的原因所在了。

免疫網(wǎng)絡(luò)是解決ARP最根本的辦法

道高一尺魔高一丈，網(wǎng)絡(luò)問題必定需要網(wǎng)絡(luò)的方法去解決。目前，欣全向推廣的免疫網(wǎng)絡(luò)就是徹底解決ARP問題的最實際的方法。

從技術(shù)原理上，徹底解決ARP欺騙和攻擊，要有3個技術(shù)要點。

1、終端對網(wǎng)關(guān)的綁定要堅實可靠，這個綁定能夠抵制被病毒搗毀。

2、接入路由器或網(wǎng)關(guān)要對下面終端IP-MAC的識別始終保證唯一準(zhǔn)確。

3、網(wǎng)絡(luò)內(nèi)要有一個最可依賴的機構(gòu)，提供對網(wǎng)關(guān)IP-MAC最強大的保護(hù)。它既能夠分發(fā)正確的網(wǎng)關(guān)信息，又能夠?qū)Τ霈F(xiàn)的假網(wǎng)關(guān)信息立即封殺。

免疫網(wǎng)絡(luò)在這3個問題上，都有專門的技術(shù)解決手段，而且這些技術(shù)都是廠家欣全向的技術(shù)專利。下面我們會詳細(xì)說明。現(xiàn)在，我們要先做一個免疫網(wǎng)絡(luò)結(jié)構(gòu)和實施的簡單介紹。

免疫網(wǎng)絡(luò)就是在現(xiàn)有的路由器、交換機、網(wǎng)卡、網(wǎng)線構(gòu)成的普通交換網(wǎng)絡(luò)基礎(chǔ)上，加入一套安全和管理的解決方案。這樣一來，在普通的網(wǎng)絡(luò)通信中，就融合進(jìn)了安全和管理的機制，保證了在網(wǎng)絡(luò)通信過程中具有了安全管控的能力，堵上了普通網(wǎng)絡(luò)對安全從不設(shè)防的先天漏洞。

實施一個免疫網(wǎng)絡(luò)不是一個很復(fù)雜的事，代價并不大。它要做的僅僅是用免疫墻路由器或免疫網(wǎng)關(guān)，替換掉現(xiàn)有的寬帶接入設(shè)備。在免疫墻路由器下，需要自備一臺服務(wù)器24小時運行免疫運營中心。免疫網(wǎng)關(guān)不需要，已自帶服務(wù)器。這就是方案的所需要的硬件調(diào)整措施。

軟性的網(wǎng)絡(luò)調(diào)整是IP規(guī)劃、分組策略、終端自動安裝上網(wǎng)驅(qū)動等配置和安裝工作，以保證整個的安全管理功能有效地運行。其實這部分工作和網(wǎng)管員對網(wǎng)絡(luò)日常的管理沒有太大區(qū)別。

免疫網(wǎng)絡(luò)具有強大的網(wǎng)絡(luò)基礎(chǔ)安全和管理功能，對ARP的防范僅是其十分之一不到的能力。但本文談的是ARP問題，所以我們需要回過頭來，具體地解釋免疫網(wǎng)絡(luò)對ARP欺騙和攻擊防范的機理。至于免疫網(wǎng)絡(luò)更多的強大，可以后續(xù)研究。

前述治理ARP問題的3個技術(shù)要點，終端綁定、網(wǎng)關(guān)、機構(gòu) 3個環(huán)節(jié)，免疫網(wǎng)絡(luò)分別采用了專門的技術(shù)手段。

1、終端綁定采用了看守式綁定技術(shù)。免疫網(wǎng)絡(luò)需要每一臺終端自動安裝驅(qū)動，不安裝或卸載就不能上網(wǎng)。在驅(qū)動中的看守式綁定，就是把正確的網(wǎng)關(guān)信息存貯在非公開的位置加以保護(hù)，任何對網(wǎng)關(guān)信息的更改，由于看守程序的嚴(yán)密監(jiān)控，都是不能成功的，這就完成了對終端綁定牢固可靠的要求。

2、免疫墻路由器或免疫網(wǎng)關(guān)的ARP先天免疫技術(shù)。在NAT轉(zhuǎn)發(fā)過程中，由于加入了特殊的機制，免疫墻路由器根本不理會任何對終端IP-MAC的ARP申告，也就是說，誰都無法欺騙網(wǎng)關(guān)。與其他路由器不同，免疫墻路由器沒有使用IP-MAC的列表進(jìn)行工作，當(dāng)然也不需要繁瑣的路由器IP-MAC表綁定和維護(hù)操作。先天免疫，就是不用管也具有這個能力。

3、保證網(wǎng)關(guān)IP-MAC始終正確的機構(gòu)，在免疫網(wǎng)絡(luò)中是一套安全機制。首先，它能夠做到把從路由器中取到的真實網(wǎng)關(guān)信息，分發(fā)到每一個網(wǎng)內(nèi)終端，而安裝有驅(qū)動的終端，只接受這樣的信息，其他信息不能接受，保證了網(wǎng)關(guān)的唯一正確性。其次，在每一臺終端，免疫驅(qū)動都會攔截病毒發(fā)出的錯誤網(wǎng)關(guān)傳播，不使其流竄到網(wǎng)絡(luò)內(nèi)，把ARP欺騙和攻擊從根源上切斷。

從以上3個措施來看，免疫網(wǎng)絡(luò)確實真正解決了困擾已久的ARP問題，技術(shù)上是嚴(yán)謹(jǐn)?shù)模瑧?yīng)用上是可行的，成本也是相對低廉。所以，與常見的4種ARP防范辦法比較，免疫網(wǎng)絡(luò)是解決ARP最根本的辦法。