arp在目前看來可以分為7中之多。
1、arp欺騙(網關、pc)
2、arp攻擊
3、arp殘缺
4、海量arp
5、二代arp(假ip、假mac)
因為二代的arp最難解決,現在我就分析壹下二代arp的問題。
現象ARP出現了新變種,二代ARP攻擊已經具有自動傳播能力,已有的宏文件綁定方式已經被破,網絡有面臨新壹輪的掉線和卡滯盜號的影響!
原理?二代ARP主要表現在病毒通過網絡訪問或是主機間的訪問互相傳播。由於病毒已經感染到電腦主機,可以輕而易舉的清除掉客戶機電腦上的ARP靜態綁定(首先執行的是arp?-d然後在執行的是arp?-s?,此時綁定的是壹個錯誤的MAC)伴隨著綁定的取消,錯誤的網關IP和MAC的對應並可以順利的寫到客戶機電腦,ARP的攻擊又暢通無阻了。
解決辦法(1)部分用戶采用的“雙/單項綁定”後,ARP攻擊得到了壹定的控制。
面臨問題雙綁和單綁都需要在客戶機上綁定。二代ARP攻擊會清除電腦上的綁定,使得電腦靜態綁定的方式無效。
(2)部分用戶采用壹種叫作“循環綁定”的辦法,就是每過壹段“時間”客戶端自動綁定壹個“IP/MAC”。
面臨問題如果我們“循環綁定”的時間較長(比arp清除的時間長)就是說在“循環綁定”進行第二次綁定之前就被清除了,這樣對arp的防範仍然無效。如果“循環綁定”的時間過短(比arp清除時間短)這塊就會暫用更多的系統資源,這樣就是“得不償失”
(3)部分用戶采用壹種叫作“arp防護”,就是網關每過壹段時間按照壹定的“頻率”在內網發送正確網關“IP/MAC”
面臨問題如果發送的“頻率”過快(每秒發送的ARP多)就會嚴重的消耗內網的資源(容易造成內網的堵塞),如果發送“頻率”太慢(沒有arp協議攻擊發出來頻率高)在arp防範上面沒有絲毫的作用。
最徹底的辦法
(4)arp是個“雙頭怪”要想徹底解決必須要“首尾兼顧”有兩種方式可以實現
第壹?采用“看守式綁定”的方法,實時監控電腦ARP緩存,確保緩存內網關MAC和IP的正確對應。在arp緩存表裏會有壹個靜態的綁定,如果受到arp的攻擊,或只要有公網的請求時,這個靜態的綁定又會自動的跳出,所以並不影響網絡的正確的訪問。這種方式是安全與網卡功能融合的壹種表現,也叫作“終端抑制”
第二就是在網絡接入架構上要有“安全和網絡功能的融合”就是在接入網關做NAT的時候不是按照傳統路由那樣根據“MAC/IP”映射表來轉發數據,而是根據他們在NAT表中的MAC來確定(這樣就會是只要數據可以轉發出去就壹定可以回來)就算ARP大規模的爆發,arp表也混亂了但是並不會給我們的網絡造成任何影響。(不看IP/MAC映射表)這種方法在現有控制ARP中也是最徹底的。也被稱為是“免疫網絡”的重要特征。
目前看只有巡路免疫網絡具備此項特殊功能表現。