但是这种作法 , 明显有几个问题:第一 , 即使时时提醒 , 但由于快递员意志不坚定 , 仍会有部份的信件因为要发出时刚好收到错误的信息 , 以错误的方式送出去;这种情况如果是错误的信息频率特高 , 例如有一个人时时在快递员身边连续提供信息 , 即使打电话提醒也立刻被覆盖 , 效果就不好;第二 , 由于必须时时提醒 , 而且为了保证提醒的效果好 , 还要加大提醒的间隔时间 , 以防止被覆盖 , 就好比快递员一直忙于接听总部打来的电话 , 根本就没有时间可以发送信件 , 耽误了正事;第三 , 还要专门指派一位人时时打电话给快递员提醒 , 等于要多派一个人手负责 , 而且持续地提醒 , 这个人的工作也很繁重 。
以ARP echo方式对应ARP攻击 , 也会发生相似的情况 。第一 , 面对高频率的新式ARP攻击 , ARP echo发挥不了效果 , 掉线断网的情况仍旧会发生 。ARP echo的方式防制的对早期以盗宝为目的的攻击软件有效果 , 但碰到最近以攻击为手段的攻击软件则公认是没有效果的 。第二 , ARP echo手段必须在局域网上持续发出广播网络包 , 占用局域网带宽 , 使得局域网工作的能力降低 , 整个局域网的计算机及交换机时时都在处理ARP echo广播包 , 还没受到攻击局域网就开始卡了 。第三 , 必须在局域网有一台负责负责发ARP echo广播包的设备 , 不管是路由器、服务器或是计算机 , 由于发包是以一秒数以百计的方式来发送 , 对该设备都是很大的负担 。
图一:ARP攻击防制 方法之"ARP echo"图示说明
常见的ARP echo处理手法有两种 , 一种是由路由器持续发送 , 另一则是在计算机或服务器安装软件发送 。路由器持续发送的缺点是路由器原本的工作就很忙 , 因此无法发送高频率的广播包 , 被覆盖掉的机会很大 , 因此面对新型的ARP攻击防制效果小 。因此 , 有些解决方法 , 就是拿ARP攻击的软件来用 , 只是持续发出正确的网关、服务器对照表 , 安装在服务器或是计算机上 , 由于服务器或是计算机运算能力较强 , 可以同一时间内发出更多广播包 , 效果较大 , 但是这种作法一则大幅影响局域网工作 , 因为整个局域网都被广播包占据 , 另则攻击软件通常会设定更高频率的广播包 , 误导局域网计算机 , 效果仍然有限 。
此外 , ARP echo一般是发送网关及私服的对照信息 , 对于防止局域网计算机被骗有效果 , 对于路由器没有效果 , 仍需作绑定的动作才可 。
PK赛之"ARP绑定"
ARP echo的作法是不断提醒计算机正确的ARP对照表 , ARP绑定则是针对ARP协议"思想不坚定"的基本问题来加以解决 。Qno侠诺技术服务人员认为 , ARP绑定的作法 , 等于是从基本上给这个快递员培训 , 让他把正确的人名及地址记下来 , 再也不受其它人的信息干扰 。由于快递员脑中记住了这个对照表 , 因此完全不会受到有心人士的干扰 , 能有效地完成工作 。在这种情况下 , 无论如何都可以防止因受到攻击而掉线的情况发生 。
但是ARP绑定并不是万灵药 , 还需要作的好才有完全的效果 。第一 , 即使这个快递员思想正确 , 不受影响 , 但是攻击者的网络包还是会小幅影响局域网部份运作 , 网管必须通过网络监控或扫瞄的方法 , 找出攻击者加以去除;第二 , 必须作双向绑定才有完全的效果 , 只作路由器端绑定效果有限 , 一般计算机仍会被欺骗 , 而发生掉包或掉线的情况 。
双向绑定的解决方法 , 最为网管不喜欢的就是必须一台一台加以绑定 , 增加工作量 。但是从以上的说明可知道 , 只有双向绑定才能有效果地解决ARP攻击的问题 , 而不会发生防制效果不佳、局域网效率受影响、影响路由器效能或影响服务器效能的缺点 。也就是说双向绑定是个硬工夫 , 可以较全面性地解决现在及未来ARP攻击的问题 , 网管为了一时的省事 , 而采取片面的ARP echo解决方式 , 未来还是要回来解决这个问题 。
推荐阅读
- 局域网中ARP病毒的清除方法
- 防范来自网络的ARP攻击
- 木马病毒肆虐 中国成拒绝服务攻击最频繁对象
- 手机病毒攻击方式及主动防范技巧
- 认识手机病毒的攻击方式与预防
- 综合方法解决防制ARP欺骗问题
- ARP攻击解决方案 ARP卫士防范效果测试
- ARP 网吧频繁掉线与解决方法
- 微软继续加强IE反钓鱼攻击功能
- 不怕被攻击 Windows防黑技巧七招