ARP欺騙/攻擊反復襲擊， 是近來網絡行業普遍了解的現象， 隨著ARP攻擊的不斷升級， 不同的解決方案在市場上流傳。 但是筆者最近發現， 有一些方案， 從短期看來似乎有效， 實際上對于真正的ARP攻擊發揮不了作用， 也降低局域網工作效率。 Qno俠諾的技術服務人員接到很多用戶反應說有些ARP防制方法很容易操作和實施， 但經過實際深入了解后， 發現長期效果都不大。

對于ARP攻擊防制， Qno俠諾技術服務人員的建議， 最好的方法是先踏踏實實把基本防制工作做好， 才是根本解決的方法。 由于市場上的解決方式眾多， 我們無法一一加以說明優劣， 因此本文解釋了ARP攻擊防制的基本思想。 我們認為讀者如果能了解這個基本思想， 就能自行判斷何種防制方式有效， 也能了解為何雙向綁定是一個較全面又持久的解決方式。

一、不堅定的ARP協議一般計算機中的原始的ARP協議， 很像一個思想不堅定， 容易被其它人影響的人， ARP欺騙/攻擊就是利用這個特性， 誤導計算機作出錯誤的行為。 ARP攻擊的原理， 互聯網上很容易找到， 這里不再覆述。 原始的ARP協議運作， 會附在局域網接收的廣播包或是ARP詢問包， 無條件覆蓋本機緩存中的ARP/MAC對照表。 這個特性好比一個意志不堅定的人， 聽了每一個人和他說話都信以為真， 并立刻以最新聽到的信息作決定。

就像一個沒有計劃的快遞員， 想要送信給“張三”， 只在馬路上問“張三住那兒？”， 并投遞給最近和他說“我就是！”或“張三住那間！”， 來決定如何投遞一樣。 在一個人人誠實的地方， 快遞員的工作還是能切實地進行；但若是旁人看快遞物品值錢， 想要欺騙取得的話， 快遞員這種工作方式就會帶來混亂了。

我們再回來看ARP攻擊和這個意志不堅定快遞員的關系。 常見ARP攻擊對象有兩種， 一是網絡網關， 也就是路由器， 二是局域網上的計算機， 也就是一般用戶。 攻擊網絡網關就好比發送錯誤的地址信息給快遞員， 讓快遞員整個工作大亂， 所有信件無法正常送達；而攻擊一般計算機就是直接和一般人謊稱自己就是快遞員， 讓一般用戶把需要傳送物品傳送給發動攻擊的計算機。

由于一般的計算機及路由器的ARP協議的意志都不堅定， 因此只要有惡意計算機在局域網持續發出錯誤的ARP訊息， 就會讓計算機及路由器信以為真， 作出錯誤的傳送網絡包動作。 一般的ARP就是以這樣的方式， 造成網絡運作不正常， 達到盜取用戶密碼或破壞網絡運作的目的。 針對ARP攻擊的防制， 常見的方法， 可以分為以下三種作法：

1、利用ARP echo傳送正確的ARP訊息：通過頻繁地提醒正確的ARP對照表， 來達到防制的效果。

2、利用綁定方式， 固定ARP對照表不受外來影響：通過固定正確的ARP對照表， 來達到防制的效果。

3、舍棄ARP協議， 采用其它尋址協議：不采用ARP作為傳送的機制， 而另行使用其它協議例如PPPoE方式傳送。

以上三種方法中， 前兩種方法較為常見， 第三種方法由于變動較大， 適用于技術能力較佳的應用。 下面針對前兩種方法加以說明。

PK 賽之“ARP echo”

ARP echo是最早開發出來的ARP攻擊解決方案， 但隨著ARP攻擊的發展， 漸漸失去它的效果。 現在， 這個方法不但面對攻擊沒有防制效果， 還會降低局域網運作的效能， 但是很多用戶仍然以這個方法來進行防制。 以前面介紹的思想不堅定的快遞員的例子來說， ARP echo的作法， 等于是時時用電話提醒快遞員正確的發送對象及地址， 減低他被鄰近的各種信息干擾的情況。

但是這種作法， 明顯有幾個問題：第一， 即使時時提醒， 但由于快遞員意志不堅定， 仍會有部份的信件因為要發出時剛好收到錯誤的信息， 以錯誤的方式送出去；這種情況如果是錯誤的信息頻率特高， 例如有一個人時時在快遞員身邊連續提供信息， 即使打電話提醒也立刻被覆蓋， 效果就不好；第二， 由于必須時時提醒， 而且為了保證提醒的效果好， 還要加大提醒的間隔時間， 以防止被覆蓋， 就好比快遞員一直忙于接聽總部打來的電話， 根本就沒有時間可以發送信件， 耽誤了正事；第三， 還要專門指派一位人時時打電話給快遞員提醒， 等于要多派一個人手負責， 而且持續地提醒， 這個人的工作也很繁重。

第二頁

<--iTingWangTag:content-->

以ARP echo方式對應ARP攻擊， 也會發生相似的情況。 第一， 面對高頻率的新式ARP攻擊， ARP echo發揮不了效果， 掉線斷網的情況仍舊會發生。 ARP echo的方式防制的對早期以盜寶為目的的攻擊軟件有效果， 但碰到最近以攻擊為手段的攻擊軟件則公認是沒有效果的。 第二， ARP echo手段必須在局域網上持續發出廣播網絡包， 占用局域網帶寬， 使得局域網工作的能力降低， 整個局域網的計算機及交換機時時都在處理ARP echo廣播包， 還沒受到攻擊局域網就開始卡了。 第三， 必須在局域網有一臺負責負責發ARP echo廣播包的設備， 不管是路由器、服務器或是計算機， 由于發包是以一秒數以百計的方式來發送， 對該設備都是很大的負擔。

圖一：ARP攻擊防制 方法之“ARP echo”圖示說明

常見的ARP echo處理手法有兩種， 一種是由路由器持續發送， 另一則是在計算機或服務器安裝軟件發送。 路由器持續發送的缺點是路由器原本的工作就很忙， 因此無法發送高頻率的廣播包， 被覆蓋掉的機會很大， 因此面對新型的ARP攻擊防制效果小。 因此， 有些解決方法， 就是拿ARP攻擊的軟件來用， 只是持續發出正確的網關、服務器對照表， 安裝在服務器或是計算機上， 由于服務器或是計算機運算能力較強， 可以同一時間內發出更多廣播包， 效果較大， 但是這種作法一則大幅影響局域網工作， 因為整個局域網都被廣播包占據， 另則攻擊軟件通常會設定更高頻率的廣播包， 誤導局域網計算機， 效果仍然有限。

此外， ARP echo一般是發送網關及私服的對照信息， 對于防止局域網計算機被騙有效果， 對于路由器沒有效果， 仍需作綁定的動作才可。

第三頁

<--iTingWangTag:content-->

PK賽之“ARP綁定”

ARP echo的作法是不斷提醒計算機正確的ARP對照表， ARP綁定則是針對ARP協議“思想不堅定“的基本問題來加以解決。 Qno俠諾技術服務人員認為， ARP綁定的作法， 等于是從基本上給這個快遞員培訓， 讓他把正確的人名及地址記下來， 再也不受其它人的信息干擾。 由于快遞員腦中記住了這個對照表， 因此完全不會受到有心人士的干擾， 能有效地完成工作。 在這種情況下， 無論如何都可以防止因受到攻擊而掉線的情況發生。

但是ARP綁定并不是萬靈藥， 還需要作的好才有完全的效果。 第一， 即使這個快遞員思想正確， 不受影響， 但是攻擊者的網絡包還是會小幅影響局域網部份運作， 網管必須通過網絡監控或掃瞄的方法， 找出攻擊者加以去除；第二， 必須作雙向綁定才有完全的效果， 只作路由器端綁定效果有限， 一般計算機仍會被欺騙， 而發生掉包或掉線的情況。

雙向綁定的解決方法， 最為網管不喜歡的就是必須一臺一臺加以綁定， 增加工作量。 但是從以上的說明可知道， 只有雙向綁定才能有效果地解決ARP攻擊的問題， 而不會發生防制效果不佳、局域網效率受影響、影響路由器效能或影響服務器效能的缺點。 也就是說雙向綁定是個硬工夫， 可以較全面性地解決現在及未來ARP攻擊的問題， 網管為了一時的省事， 而采取片面的ARP echo解決方式， 未來還是要回來解決這個問題。

圖二：ARP攻擊防制 方法之俠諾“ARP雙向綁定”圖示說明

另外， 對于有自動通過局域網安裝軟件的網絡， 例如網吧的收費系統、無盤系統， 都可以透過自動的批次檔， 自動在開機時完成綁定的工作， 網管只要撰寫一個統一的批次文件程序即可， 不必一一配置。 這些信息可以很容易地在互聯網上通過搜索找到或者是向Qno俠諾的技術服務人員索取即可。

二、現階段較佳解決方案——雙向綁定以上以思想不堅定的快遞員情況， 說明了常見的ARP攻擊防制方法。 ARP攻擊利用的就是ARP協議的意志不堅， 只有以培訓的方式讓ARP協議的意志堅定， 明白正確的工作方法， 才能從根本解決問題。 只是依賴頻繁的提醒快遞員正確的作事方法， 但是沒有能從快遞員意志不堅的特點著手， 就好像只管不教， 最終大家都很累， 但是效果仍有限。

Qno俠諾的技術服務人員建議， 面對這種新興攻擊， 取巧用省事的方式準備， 最后的結果可能是費事又不管用， 必須重新來過。 ARP雙向綁定雖然對網管帶來一定的工作量， 但是其效果確是從根本上有效， 而且網管也可參考自動批次檔的作法， 加快配置自動化的進行， 更有效地對抗ARP攻擊。