网吧最新攻略之ARP攻击和防治！

　　2005年底以来,ARP攻击在网吧企业泛滥,成为网络安全的极大隐患，防治ARP攻击成为当前网络安全的当务之急。Netcore成立专门小组，通过深入研究、反复试验，历时半年推出完善的ARP攻击防治方案，彻底解决网吧、企业因ARP攻击出现的掉线、卡机问题。

　　ARP攻击的原理和演化

　　对以太网有所认识的人都知道，ARP表是每台设备（电脑）的MAC地址和IP地址的关系对应表。如果设备需要在局域网中利用TCP/IP协议进行通信的话，必须有这样一张ARP表。

　　ARP表是每台设备（电脑）自行维护的，而ARP表的数据，是来自于开放的“ARP广播”机制，由每台设备在网上广播自己的IP/MAC地址的对应关系来做到的。

　　这样就存在一个很大的隐患，就是恶意程序可以利用这种开放机制，发送错误的IP/MAC地址对应关系，达到特定的目的。

　　初期：ARP欺骗

　　这种有目的的发布错误ARP广播包的行为，被称为ARP欺骗。ARP欺骗，最初为黑客所用，成为黑客窃取网络数据的主要手段。黑客通过发布错误的ARP广播包，阻断正常通信，并将自己所用的电脑伪装称别的电脑，这样原本发往其他电脑的数据，就发到了黑客的电脑上，达到窃取数据的目的。

　　中期：ARP恶意攻击

　　后来，有人利用这一原理，制作了一些所谓的“管理软件”，例如网路剪刀手、执法官、终结者等，这样就导致了ARP恶意攻击的泛滥。往往使用这种软件的人，以恶意破坏为目的，多是为了让别人断线，逞一时之快。

　　特别是在网吧中，或者因为商业竞争的目的、或者因为个人无聊泄愤，造成恶意ARP攻击泛滥。

　　随着网吧经营者摸索出禁用这些特定软件的方法，这股风潮也就渐渐平息下去了。

　　现在：综合的ARP攻击

　　最近这一波ARP攻击潮，其目的、方式多样化，冲击力度、影响力也比前两个阶段大很多。

　　首先是病毒加入了ARP攻击的行列。以前的病毒攻击网络以广域网为主，最有效的攻击方式是DDOS攻击。但是随着防范能力的提高，病毒制造者将目光投向局域网，开始尝试ARP攻击，例如最近流行的威金病毒，ARP攻击是其使用的攻击手段之一。

　　相对病毒而言，盗号程序对网吧运营的困惑更大。盗号程序是为了窃取用户帐号密码数据而进行ARP欺骗，同时又会影响的其他电脑上网。
　　ARP攻击造成的现象

　　ARP的攻击的问题影响面很大，管理好的网吧企业往往都认识到这个问题，在积极寻求解决的方案。但是很多网吧和企业并没有认识到这个问题，因为没有注意到网络运行中遇到的“奇怪的故障”，所以对成因也认识不到，只知道自己的系统有问题，但是哪里有问题，却搞不清楚。

　　这里列出几种因ARP攻击造成的现象：

　　大面积同时掉线和卡―――这种情况往往是ARP病毒的表现，也有少数盗号程序是这种现象。

　　电脑挨个掉线或者卡―――这种情况多是盗号程序所为，因为盗号程序往往是按照IP地址顺序进行攻击，所以出现电脑挨个掉线的情况。如果盗号程序做的针对性强，就出现玩同一种游戏的电脑挨个掉线。

　　掉线和卡好像有某种时间规律―――现在ARP攻击往往都藏在外挂和网页里面，所以就和用户的使用习惯有关，当某个时间用户来了，他（她）习惯地使用某种程序或者打开某个网页时，攻击就开始了，他（她）一离开关机，攻击就停止了。所以说好像有某一种时间规律。但是这种用户有几天没有来，就几天没有故障，网管就会觉得问题又莫明其妙没有了。

　　一般ARP攻击的对治方法

　　现在最常用的基本对治方法是“ARP双向绑定”。

　　由于ARP攻击往往不是病毒造成的，而是合法运行的程序（外挂、网页）造成的，所杀毒软件多数时候束手无策。

　　所谓“双向绑定”，就是再路由器上绑定ARP表的同时，在每台电脑上也绑定一些常用的ARP表项。

　　“ARP双向绑定”能够防御轻微的、手段不高明的ARP攻击。ARP攻击程序如果没有试图去更改绑定的ARP表项，那么ARP攻击就不会成功；如果攻击手段不剧烈，也欺骗不了路由器，这样我们就能够防住50％ARP攻击。

　　但是现在ARP攻击的程序往往都是合法运行的，所以能够合法的更改电脑的ARP表项。在现在ARP双向绑定流行起来之后，攻击程序的作者也提高了攻击手段，攻击的方法更综合，另外攻击非常频密，仅仅进行双向绑定已经不能够应付凶狠的ARP攻击了，仍然很容易出现掉线。

　　于是我们在路由器中加入了“ARP攻击主动防御”的功能。这个功能是在路由器ARP绑定的基础上实现的，原理是：当网内受到错误的ARP广播包攻击时，路由器立即广播正确的ARP包去修正和消除攻击包的影响。这样我们就解决了掉线的问题，但是在最凶悍的ARP攻击发生时，仍然发生了问题----当ARP攻击很频密的时候，就需要路由器发送更频密的正确包去消除影响。虽然不掉线了，但是却出现了上网“卡”的问题。

　　所以，我们认为，依靠路由器实现“ARP攻击主动防御”，也只能够解决80％的问题。

　　为了彻底消除ARP攻击，我们在此基础上有增加了“ARP攻击源攻击跟踪”的功能。对于剩下的强悍的ARP攻击，我采用“日志”功能，提供信息方便用户跟踪攻击源，这样用户通过临时切断攻击电脑或者封杀发出攻击的程序，能够解决问题。
　　彻底解决ARP攻击

　　事实上，由于路由器是整个局域网的出口，而ARP攻击是以整个局域网为目标，当ARP攻击包已经达到路由器的时候，影响已经照成。所以由路由器来承担防御ARP攻击的任务只是权宜之计，并不能很好的解决问题。

　　我们要真正消除ARP攻击的隐患，安枕无忧，必须转而对“局域网核心”――交换机下手。由于任何ARP包，都必须经由交换机转发，才能达到被攻击目标，只要交换机据收非法的ARP包，哪么ARP攻击就不能造成任何影响。

　　我们提出一个真正严密的防止ARP攻击的方案，就是在每台接入交换机上面实现ARP绑定，并且过滤掉所有非法的ARP包。这样可以让ARP攻击足不能出户，在局域网内完全消除了ARP攻击。

　　因为需要每台交换机都具有ARP绑定和相关的安全功能，这样的方案无疑价格是昂贵的，所以我们提供了一个折衷方案。

　　经济方案

　　我们只是中心采用能够大量绑定ARP和进行ARP攻击防御的交换机――Netcore 7324NSW，这款交换机能够做到ARP绑定条目可以达到1000条，因此基本上可以对整网的ARP进行绑定，同时能杜绝任何非法ARP包在主交换机进行传播。

　　这样如果在强力的ARP攻击下，我们观察到的现象是：ARP攻击只能影响到同一个分支交换机上的电脑，这样可能被攻击到的范围就大大缩小了。当攻击发生时，不可能造成整个网络的问题。

　　在此基础上，我们再补充“日志”功能和“ARP主动防御”功能，ARP攻击也可以被完美的解决。

　　ARP攻击最新动态

　　最近一段时间，各网吧发现的ARP攻击已经升级，又一波ARP攻击的高潮来临。

　　这次ARP攻击发现的特征有：

　　1、 速度快、效率高，大概在10－20秒的时间内，能够造成300台规模的电脑掉线。

　　2、 不易发现。在攻击完成后，立即停止攻击并更正ARP信息。如果网内没有日志功能，再去通过ARP命令观察，已经很难发现攻击痕迹。

　　3、 能够破解最新的XP和2000的ARP补丁，微软提供的补丁很明显在这次攻击很脆弱，没有作用。

　　4、 介质变化，这次攻击的来源来自私服程序本身（不是外挂）和P2P程序。