IDC资讯中心
相信很多企业都会发生网络频断地现象,经过网络管理员检查发现其为ARP攻击。其实ARP欺骗攻击最常发生于企业内网中,但随着互联网的高速发展,其影响面已经越来越广,在过去几年很多校园网络均深受其害。成为了木马,Ddos攻击后又一常见的病毒攻击形式。时至07年ARP攻击更是在各大数据中心泛滥,使得各家网络运营商深恶痛绝。由于其攻击的特性,它可以导致被攻击网站或服务器的无法访问,或者是受众访问其他错误网址或接收到错误信息。直接危害着企业的利益。面对ARP攻击,IDC运营商只能处在被动挨打的地步,特别在近段时间来,上海地区众多机房和众多IDC商均频繁发生ARP欺骗/攻击时间,由于其技术特性,很诸多运营上的客观原因,其很难预防,并予以根除。因此中国网域网近期已于上海电信外高桥机房达成基本协议,开设国内首个防ARP欺骗/攻击的服务器托管专区。
ARP欺骗/攻击原理
ARP欺骗/攻击就是误导计算机作出错误的行为。原始的ARP协议运作,会附在局域网接收的广播包或是ARP询问包,无条件覆盖本机缓存中的ARP/MAC对照表。常见ARP攻击对象有两种,一是网络网关,也就是路由器,二是局域网上的计算机,也就是一般用户。攻击网络网关就好比发送错误的地址信息给“快递员”,让“快递员”整个工作大乱,所有信件无法正常送达;而攻击一般计算机就是直接和一般人谎称自己就是快递员,让一般用户把需要传送物品传送给发动攻击的计算机。由于一般的计算机及路由器的ARP协议的意志都不坚定,因此只要有恶意计算机在局域网持续发出错误的ARP讯息,就会让计算机及路由器信以为真,作出错误的传送网络包动作。一般的ARP欺骗/攻击就是以这样的方式,造成网络运作不正常,达到盗取用户密码或破坏网络运作的目的。
随着ARP攻击的不断升级,不同的解决方案在市场上流传。有一些方案,从短期看来似乎有效,实际上对于真正的ARP攻击发挥不了作用,也降低局域网工作效率。中国网域网的技术服务人员尝试采取了多种解决方案,但经过实际深入了解后,发现长期效果都不大。对于ARP攻击防治,中国网域网技术服务人员建议,根据ARP欺骗/攻击原理,在IDC机房采取独立网段+双向邦定的办法是一个较全面并相对持久的解决方式。
ARP双向绑定的作法,等于是从基本上给ARP协议中的这个“快递员培训”,让他把正确的IP地址及MAC地址记下来,再也不受其它人的信息干扰。由于“快递员”完全按照邦定的地址进行信息数据的传输,因此完全不会排除了其他错误指令的干扰,能有效地完成工作。在这种情况下,可大大降低用户服务器或主机在受到攻击时无法访问而掉线的情况发生。
技术原理示意图
虽然此解决方案对IDC运营商与电信运营商带来一定的工作量,但是其效果确是100%的根除ARP欺骗攻击。目前中国网域网已于上周同上海电信外高桥机房基本达成协议,开设国内首个防ARP欺骗/攻击的主机托管专区,现在正为新老客户提供免费测试服务。相信该项增值服务将真正做到100%防ARP欺骗/攻击,斩断ARP欺骗/攻击这一新兴黑色产业链,为用户营造稳定、安全的托管环境。
ARP欺骗攻击防护专区结构示意图
中国网域网承诺,将坚持自己的一贯作风,延续自己的7×24的服务理念,打造自己的品牌IDC服务,为企业网络运营、企业网络管理、企业网络营销提供最有力的保障。为您提供高速,更稳定,更安全,更完善的IDC服务。
