深入解析ARP欺騙攻擊防護之根本防護

ARP攻擊防制中，最好的方法是先踏踏實實把基本防制工作做好，才是根本解決的方法。由于市場上的解決方式眾多，我們無法一一加以說明優劣，因此我們僅從ARP攻擊防制的基本思想來進行解釋。我們認為您如果能了解這個基本思想，就能自行判斷何種防制方式有效，也能了解為何雙向綁定是一個較全面又持久的解決方式。

針對ARP攻擊的防制，常見的方法，可以分為以下三種作法：

1、利用ARP echo傳送正確的ARP訊息：通過頻繁地提醒正確的ARP對照表，來達到防制的效果。

2、利用綁定方式，固定ARP對照表不受外來影響：通過固定正確的ARP對照表，來達到防制的效果。

3、舍棄ARP協議，采用其它尋址協議：不采用ARP作為傳送的機制，而另行使用其它協議例如PPPoE方式傳送。

以上三種方法中，前兩種方法較為常見，第三種方法由于變動較大，適用于技術能力較佳的應用。下面針對ARP攻擊的根本防護加以說明。

不堅定的ARP協議

一般計算機中的原始的ARP協議，很像一個思想不堅定，容易被其它人影響的人，ARP欺騙/攻擊就是利用這個特性，誤導計算機作出錯誤的行為。ARP攻擊的原理，互聯網上很容易找到，這里不再覆述。原始的ARP協議運作，會附在局域網接收的廣播包或是ARP詢問包，無條件覆蓋本機緩存中的ARP/MAC對照表。這個特性好比一個意志不堅定的人，聽了每一個人和他說話都信以為真，并立刻以最新聽到的信息作決定。

就像一個沒有計劃的快遞員，想要送信給"張三"，只在馬路上問"張三住那兒？"，并投遞給最近和他說"我就是！"或"張三住那間！"，來決定如何投遞一樣。在一個人人誠實的地方，快遞員的工作還是能切實地進行；但若是旁人看快遞物品值錢，想要欺騙取得的話，快遞員這種工作方式就會帶來混亂了。

我們再回來看ARP攻擊和這個意志不堅定快遞員的關系。常見ARP攻擊對象有兩種，一是網絡網關，也就是路由器，二是局域網上的計算機，也就是一般用戶。攻擊網絡網關就好比發送錯誤的地址信息給快遞員，讓快遞員整個工作大亂，所有信件無法正常送達；而攻擊一般計算機就是直接和一般人謊稱自己就是快遞員，讓一般用戶把需要傳送物品傳送給發動攻擊的計算機。

由于一般的計算機及路由器的ARP協議的意志都不堅定，因此只要有惡意計算機在局域網持續發出錯誤的ARP訊息，就會讓計算機及路由器信以為真，作出錯誤的傳送網絡包動作。一般的ARP就是以這樣的方式，造成網絡運作不正常，達到盜取用戶密碼或破壞網絡運作的目的。

現階段唯一解決方案----雙向綁定

以上以思想不堅定的快遞員情況，說明了常見的ARP攻擊防制方法。ARP攻擊利用的就是ARP協議的意志不堅，只有以培訓的方式讓ARP協議的意志堅定，明白正確的工作方法，才能從根本解決問題。只是依賴頻繁的提醒快遞員正確的作事方法，但是沒有能從快遞員意志不堅的特點著手，就好像只管不教，最終大家都很累，但是效果仍有限。面對這種新興攻擊，取巧用省事的方式準備，最后的結果可能是費事又不管用，必須重新來過。

服務器租用/服務器托管中國五強！虛擬主機域名注冊頂級提供商！15年品質保障！--億恩科技[ENKJ.COM]