企业如何选择最佳ARP攻击解决方案

　　防治ARP攻击，哪种方式让您轻松无忧？由于最近ARP欺骗/攻击反反复复，而市场上的各种防制方式让广大读者应接不暇，如何才能有效防制ARP，是今天我们所有技术人员都要应对的问题。

　　最近一些方案，从短期看来似乎有效，实际上对于真正的ARP攻击发挥不了作用，也降低局域网工作效率。

　　对于ARP攻击防治，最好的方法是先踏踏实实把基本防制工作做好，才是根本解决的方法。由于市场上的解决方式众多，我们无法一一加以说明优劣，因此本文解释了ARP攻击防治的基本思想。我们认为读者如果能了解这个基本思想，就能自行判断何种防治方式有效，也能了解为何双向绑定是一个较全面又持久的解决方式。

　　一、不坚定的ARP协议

　　一般计算机中的原始的ARP协议，很像一个思想不坚定，容易被其它人影响的人，ARP欺骗/攻击就是利用这个特性，误导计算机作出错误的行为。ARP攻击的原理，互联网上很容易找到，这里不再覆述。原始的ARP协议运作，会附在局域网接收的广播包或是ARP询问包，无条件覆盖本机缓存中的ARP/MAC对照表。这个特性好比一个意志不坚定的人，听了每一个人和他说话都信以为真，并立刻以最新听到的信息作决定。

　　就像一个没有计划的快递员，想要送信给“张三”，只在马路上问“张三住那儿？”，并投递给最近和他说“我就是！”或“张三住那间！”，来决定如何投递一样。在一个人人诚实的地方，快递员的工作还是能切实地进行；但若是旁人看快递物品值钱，想要欺骗取得的话，快递员这种工作方式就会带来混乱了。

　　我们再回来看ARP攻击和这个意志不坚定快递员的关系。常见ARP攻击对象有两种，一是网络网关，也就是路由器，二是局域网上的计算机，也就是一般用户。攻击网络网关就好比发送错误的地址信息给快递员，让快递员整个工作大乱，所有信件无法正常送达；而攻击一般计算机就是直接和一般人谎称自己就是快递员，让一般用户把需要传送物品传送给发动攻击的计算机。

　　由于一般的计算机及路由器的ARP协议的意志都不坚定，因此只要有恶意计算机在局域网持续发出错误的ARP讯息，就会让计算机及路由器信以为真，作出错误的传送网络包动作。一般的ARP就是以这样的方式，造成网络运作不正常，达到盗取用户密码或破坏网络运作的目的。针对ARP攻击的防制，常见的方法，可以分为以下三种作法：

　　1、利用ARP echo传送正确的ARP讯息：通过频繁地提醒正确的ARP对照表，来达到防制的效果。

　　2、利用绑定方式，固定ARP对照表不受外来影响：通过固定正确的ARP对照表，来达到防制的效果。

　　3、舍弃ARP协议，采用其它寻址协议：不采用ARP作为传送的机制，而另行使用其它协议例如PPPoE方式传送。

　　以上三种方法中，前两种方法较为常见，第三种方法由于变动较大，适用于技术能力较佳的应用。下面针对前两种方法加以说明。

　　ARP echo

　　ARP echo是最早开发出来的ARP攻击解决方案，但随着ARP攻击的发展，渐渐失去它的效果。现在，这个方法不但面对攻击没有防制效果，还会降低局域网运作的效能，但是很多用户仍然以这个方法来进行防制。以前面介绍的思想不坚定的快递员的例子来说，ARP echo的作法，等于是时时用电话提醒快递员正确的发送对象及地址，减低他被邻近的各种信息干扰的情况。