企業網路的心腹大患“ARP欺騙和攻擊問題”
ARP欺騙和攻擊問題,是企業網路的心腹大患。關於這個問題的討論已經很深入了,對ARP攻擊的機理了解的很透徹,各種防範措施也層出不窮。
但問題是,現在真正擺脫ARP問題困擾了嗎?從使用者那裡瞭解到,雖然嘗試過各種方法,但這個問題並沒有根本解決。原因就在於,目前很多種ARP防範措施,一是解決措施的防範能力有限,並不是最根本的辦法。二是對網路管理約束很大,不方便不實用,不具備可操作性。三是某些措施對網路傳輸的效能有損失,網速變慢,頻寬浪費,也不可取。
本文通過具體分析一下普遍流行的四種防範ARP措施,去了解為什麼ARP問題始終不能根治。並進一步分析在免疫網路的模式下,對ARP是如何徹底根除的,為什麼只有免疫網路能夠做到。
一、雙綁措施
雙綁是在路由器和終端上都進行IP-MAC繫結的措施,它可以對ARP欺騙的兩邊,偽造閘道器和截獲資料,都具有約束的作用。這是從ARP欺騙原理上進行的防範措施,也是最普遍應用的辦法。它對付最普通的ARP欺騙是有效的。
但雙綁的缺陷在於3點:
1、 在終端上進行的靜態繫結,很容易被升級的ARP攻擊所搗毀,病毒的一個ARP –d命令,就可以使靜態繫結完全失效。
2、 在路由器上做IP-MAC表的繫結工作,費時費力,是一項繁瑣的維護工作。換個網絡卡或更換IP,都需要重新配置路由。對於流動性電腦,這個需要隨時進行的繫結工作,是網路維護的巨大負擔,網管員幾乎無法完成。
3、 雙綁只是讓網路的兩端電腦和路由不接收相關ARP資訊,但是大量的ARP攻擊資料還是能發出,還要在內網傳輸,大幅降低內網傳輸效率,依然會出現問題。
因此,雖然雙綁曾經是ARP防範的基礎措施,但因為防範能力有限,管理太麻煩,現在它的效果越來越有限了。
二、ARP個人防火牆
在一些防毒軟體中加入了ARP個人防火牆的功能,它是通過在終端電腦上對閘道器進行繫結,保證不受網路中假閘道器的影響,從而保護自身資料不被竊取的措施。ARP防火牆使用範圍很廣,有很多人以為有了防火牆,ARP攻擊就不構成威脅了,其實完全不是那麼回事。
ARP個人防火牆也有很大缺陷:
1、它不能保證繫結的閘道器一定是正確的。如果一個網路中已經發生了ARP欺騙,有人在偽造閘道器,那麼,ARP個人防火牆上來就會繫結這個錯誤的閘道器,這是具有極大風險的。即使配置中不預設而發出提示,缺乏網路知識的使用者恐怕也無所適從。
2 、ARP是網路中的問題,ARP既能偽造閘道器,也能截獲資料,是個“雙頭怪”。在個人終端上做ARP防範,而不管閘道器那端如何,這本身就不是一個完整的辦法。ARP個人防火牆起到的作用,就是防止自己的資料不會被盜取,而整個網路的問題,如掉線、卡滯等,ARP個人防火牆是無能為力的。
因此,ARP個人防火牆並沒有提供可靠的保證。最重要的是,它是跟網路穩定無關的措施,它是個人的,不是網路的。
三、VLAN和交換機埠繫結
通過劃分VLAN和交換機埠繫結,以圖防範ARP,也是常用的防範方法。做法是細緻地劃分VLAN,減小廣播域的範圍,使ARP在小範圍內起作用,而不至於發生大面積影響。同時,一些網管交換機具有MAC地址學習的功能,學習完成後,再關閉這個功能,就可以把對應的MAC和埠進行繫結,避免了病毒利用ARP攻擊篡改自身地址。也就是說,把ARP攻擊中被截獲資料的風險解除了。這種方法確實能起到一定的作用。
不過,VLAN和交換機埠繫結的問題在於:
1、沒有對閘道器的任何保護,不管如何細分VLAN,閘道器一旦被攻擊,照樣會造成全網上網的掉線和癱瘓。
2、把每一臺電腦都牢牢地固定在一個交換機埠上,這種管理太死板了。這根本不適合移動終端的使用,從辦公室到會議室,這臺電腦恐怕就無法上網了。在無線應用下,又怎麼辦呢?還是需要其他的辦法。
3、實施交換機埠繫結,必定要全部採用高階的網管交換機、三層交換機,整個交換網路的造價大大提高。
因為交換網路本身就是無條件支援ARP操作的,就是它本身的漏洞造成了ARP攻擊的可能,它上面的管理手段不是針對ARP的。因此,在現有的交換網路上實施ARP防範措施,屬於以子之矛攻子之盾。而且操作維護複雜,基本上是個費力不討好的事情。
四、PPPoE
網路下面給每一個使用者分配一個帳號、密碼,上網時必須通過PPPoE認證,這種方法也是防範ARP措施的一種。PPPoE撥號方式對封包進行了二次封裝,使其具備了不受ARP欺騙影響的使用效果,很多人認為找到了解決ARP問題的終極方案。
問題主要集中在效率和實用性上面:
1、PPPoE需要對封包進行二次封裝,在接入裝置上再解封裝,必然降低了網路傳輸效率,造成了頻寬資源的浪費,要知道在路由等裝置上新增PPPoE Server的處理效能和電信接入商的PPPoE Server可不是一個數量級的。
2、PPPoE方式下區域網間無法互訪,在很多網路都有區域網內部的域控伺服器、DNS伺服器、郵件伺服器、OA系統、資料共享、列印共享等等,需要區域網間相互通訊的需求,而PPPoE方式使這一切都無法使用,是無法被接受的。
3、不使用PPPoE,在進行內網訪問時,ARP的問題依然存在,什麼都沒有解決,網路的穩定性還是不行。
因此,PPPoE在技術上屬於避開底層協議連線,眼不見心不煩,通過犧牲網路效率換取網路穩定。最不能接受的,就是網路只能上網用,內部其他的共享就不能在PPPoE下進行了。
通過對以上四種普遍的ARP防範方法的分析,我們可以看出,現有ARP防範措施都存在問題。這也就是ARP即使研究很久很透,但依然在實踐中無法徹底解決的原因所在了。
道高一尺魔高一丈,網路問題必定需要網路的方法去解決。
從技術原理上,徹底解決ARP欺騙和攻擊,要有三個技術要點。
1、終端對閘道器的繫結要堅實可靠,這個繫結能夠抵制被病毒搗毀。
2、接入路由器或閘道器要對下面終端IP-MAC的識別始終保證唯一準確。
3、網路內要有一個最可依賴的機構,提供對閘道器IP-MAC最強大的保護。它既能夠分發正確的閘道器資訊,又能夠對出現的假閘道器資訊立即封殺。
所以安全廠商們應該從這三個技術要點出發,利用專門的技術解決手段,在現有的閘道器、交換機、網絡卡、網線構成的普通交換網路基礎上,加入一套安全和管理的解決方案。這樣一來,在普通的網路通訊中,就融合進了安全和管理的機制,保證了在網路通訊過程中具有了安全管控的能力,堵上了普通網路對安全從不設防的先天漏洞。徹底解決這個安全隱患。