ARP(Address Resolution Protocol,地址解析协议)是一个位于TCP/IP协议栈中的底层协议,负责将某个IP地址解析成对应的MAC地址。
ARP攻击、ARP病毒的原理
ARP攻击、ARP病毒的原理就是通过广播机制向局域网的其他电脑广播一个伪造的网关的IP地址和MAC地址对照表,局域网其他电脑的受到这个伪造的信息之后就会更新自己的ARP表。这样,当被控制的电脑向外发送报文时虽然会根据正确的网关的IP地址发包,但是实际上却发送到了一个错误的MAC地址上,导致数据报文无法发送出去,从而出现无法上网、掉线的情况。同时,ARP攻击还有更进一步的攻击方式,就是发送伪造整个局域网的IP地址对应的MAC地址,这样局域网所有的电脑的ARP表格存储的网关、其他电脑的IP和MAC地址对应关系都发生变化,这样被攻击的电脑不但不能访问公网,而且还不能访问局域网,就好似每个电脑都被隔离一样。上述这两种ARP攻击方式会给局域网带来巨大的危害。当前一些局域网攻击软件,如局域网终结者、网络执法官、网络剪刀手都是采用这种攻击方式。
因此,有效地防止ARP病毒、防御ARP攻击是当前网络管理中一个非常重要的课题。
如何防止ARP攻击、ARP病毒?
当前国内有一些形形色色的防止ARP攻击的解决方案,例如当前流行的ARP防火墙。其实现原理就是读取本机ARP缓存表里面的网关的IP和对应的MAC地址,然后加以静态绑定,不再接受广播收到的ARP信息,但是这种防御机制有很大的弊端,因为可能在ARP防火墙在读取ARP缓存表之前,本机已经被ARP攻击了,就是ARP缓存表里面存储的网关的MAC地址本来就是错误的,这样使得ARP防火墙读取到的网关的MAC地址就是错误的,所以不但不能防御ARP攻击,还可能直接导致本机无法上网。同时,ARP防火墙的机制,也只能防御ARP攻击中的“网关欺骗”。但是随着ARP攻击水平的不断提高,他们可以转而攻击局域网的路由器、防火墙等网关设备,这种攻击也就是常见的“会话劫持”,从而同样会导致局域网的电脑出现断网、掉线等情况。这种情况下,ARP防火墙形同虚设,没有任何作用了。
针对当前ARP攻击的复杂性,大势至(北京)软件工程有限公司公司(官方网址:http://www.grablan.com/)推出了新一代的聚生网管系统,通过在局域网内的ARP信息进行深度的检测,可以实时探测局域网内的ARP广播情况,一旦发现局域网内有ARP攻击行为,聚生网管系统会自动识别ARP欺骗的攻击源主机,并将相关信息输出给网络管理员;同时,聚生网管系统还会自动启用ARP欺骗免疫机制,向局域网的电脑广播正确的网关的IP和MAC地址,并可以在特定情况下为被控制的电脑提供代理上网机制,以保证局域网被控制电脑的上网一直保持畅通状态,将ARP攻击、ARP欺骗、ARP病毒的危害降低到最小。