查看單個文章
舊 2006-07-14, 03:28 AM   #3 (permalink)
psac
榮譽會員
 
psac 的頭像
榮譽勳章
UID - 3662
在線等級: 級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時
註冊日期: 2002-12-07
住址: 木柵市立動物園
文章: 17381
現金: 5253 金幣
資產: 33853 金幣
預設

ARP欺騙原理以及路由器的先天免疫
ARP(Address Resolution Protocol,地址解析協議)是一個位於TCP/IP協議棧中的低層協議,負責將某個IP位址解析成對應的MAC卡位址。

「網管,怎麼又掉線了?!」每每聽到客戶的責問,網管員頭都大了。其實,此起彼伏的瞬間掉線或大面積的斷網大都是ARP欺騙在作怪。ARP欺騙攻擊已經成了破壞網咖經營的罪魁禍首,是網咖老闆和網管員的心腹大患。

從影響網路連接通暢的方式來看,ARP欺騙分為二種,一種是對路由器ARP表的欺騙;另一種是對內網PC的網路閘道器欺騙。

第一種ARP欺騙的原理是——截獲網路閘道器資料。它通知路由器一系列錯誤的內網MAC卡位址,並按照一定的頻率不斷進行,使真實的地址訊息無法通過更新儲存在路由器中,結果路由器的所有資料只能發送給錯誤的MAC卡位址,造成正常PC無法收到訊息。第二種ARP欺騙的原理是——偽造網路閘道器。它的原理是建立假網路閘道器,讓被它欺騙的PC向假網路閘道器發資料,而不是通過正常的路由器途徑上網。在PC看來,就是上不了網了,「網路掉線了」。

一般來說,ARP欺騙攻擊的後果非常嚴重,大多數情況下會造成大面積掉線。有些網管員對此不甚瞭解,出現故障時,認為PC沒有問題,交換機沒掉線的「本事」,電信也不承認寬帶故障。而且如果第一種ARP欺騙發生時,只要重啟路由器,網路就能全面恢復,那問題一定是在路由器了。為此,寬帶路由器背了不少「黑鍋」。

作為網咖路由器的廠家,對防範ARP欺騙不得已做了不少份內、份外的工作。一、在寬帶路由器中把所有PC的IP-MAC輸入到一個靜態表中,這叫路由器IP-MAC綁定。二、力勸網管員在內網所有PC上設置網路閘道器的靜態ARP訊息,這叫PC機IP-MAC綁定。一般廠家要求兩個工作都要做,稱其為IP-MAC雙向綁定。

方法是有效的,但工作很繁瑣,管理很麻煩。每台PC綁定本來就費力,在路由器中新增、維護、管理那麼長長的一串列表,更是苦不堪言。一旦將來擴容調整,或更換網卡,又很容易由於疏忽造成混亂。如果您有所擔心,那麼不妨選用欣向網咖路由IXP機種,它可以使您寬心一些。因為欣向路由器根本不需要IP-MAC綁定,沒有那長長的一串地址表。對付ARP,您只要做PC的單向綁定就可以了。該路由能夠有效拒絕ARP對網路閘道器的欺騙,它是先天免疫的!

欣向路由的ARP先天免疫取決於它的二個有力的技術措施。一是獨特的NAT處理機制,二是網路閘道器的主動防範機制。

產品對NAT的處理不同於通用協議棧的方式,它在原有的網路協議基礎上,進行了強化、保護和擴容。雖然NAT是標準的網路協議,但實現方法可以各顯其能,保證殊途同歸就行。ARP欺騙只對公開的、通用的系統起作用,它利用了通用系統工作方式上的漏洞,而對NAT實現機制卻無能為力,因為NAT設計了強有力的保護字段。這就是欣向路由能夠對ARP先天免疫的原理。

另外,為對抗假冒網路閘道器的ARP欺騙,產品設計了網路閘道器的ARP廣播機制,它以一個可選定的頻次,向內網宣佈正確的網路閘道器地址,維護網路閘道器的正當權益。在暫時無法及時清除ARP病毒,網管員還沒有做PC上的IP-MAC綁定時,它能在一定程度上維持網路的執行,避免災難性後果,贏取系統修復的時間。這就是ARP主動防範機制。

不過,如果不在PC上綁定IP-MAC,雖然有主動防範機制,但網路依然在帶病執行。因為這種ARP是內網的事情,是不通過路由器的。讓路由器插手只能做到對抗,不能根絕。ARP太猖獗時,就會發生時斷時續的故障,那是主動防範機制在與ARP欺騙進行拉鋸式的鬥爭。為此,產品還專門提供了一個ARP欺騙偵測、定位、防範的工具軟件,免費發放給所有的網咖,幫助網管員們發現ARP欺騙的存在,為清除ARP欺騙源提供工作輔佐,並加入了欣向主動防範機制,有效對付ARP欺騙。

儘管如此,仍然提醒廣大的網咖網管員,為了一勞永逸,還是費點力為每台PC做IP-MAC綁定吧,這樣可以徹底根除ARP欺騙帶來的煩惱。況且,路由只需要單向綁定,已經為您省去了另一半更繁瑣的工作,並且設置時不需要重啟路由器斷網。路由器本身不怕ARP,您再做好PC上的綁定,讓PC也不怕ARP,雙管齊下,您的網咖就可以高枕無憂了

此帖於 2006-07-14 03:55 AM 被 psac 編輯.
__________________
http://bbsimg.qianlong.com/upload/01/08/29/68/1082968_1136014649812.gif
psac 目前離線  
送花文章: 3, 收花文章: 1631 篇, 收花: 3205 次