建议不要使用antiarp防火墙

wfu_liuxh

这是与“只是一个神话”朋友交流的帖子，单独贴出引起大家的重视。

     我使用科来和其他抓报软件时间都很短，因此还提供不出很多经验。
     但我以为用untiarp绝对是饮鸩止渴的做法，因antiarp就像黑客软件，一直在告诉网关，我是××××。由于网关也是雾里看花，并无法分别谁说得是真话，谁说的是假话，因此antiarp的频率必须比arp病毒还要高，才能保证被网关以为你是真的，这比让arp攻击好不了多少。当然如果局域网中（或vlan中）只你一个人这样做，你就可以上网（损人利己)，但如果大家都安装antiarp,那么大家就都上不了网了，不信你try and try。
    我以为要解决arp病毒，主要从两个方面，一是管理方面，通过科来等工具找出中毒的机器，然后想办法通知中毒者。另一方面从技术方面，如果使用的接入交换机支持802.1x则有软件（例如化为的cams)可以自动封相应端口（可设时限），这里软件也会将安装了antiarp的机器封杀（这样你还会支持安装antiarp吗？）。如果交换机不支持802。1x我现在是没有任何办法。不过可以安装正规厂家的正规防火墙，这样能检测出攻击的机器，但解决不了问题，你可以学习antiarp的做法，以毒攻毒，让她也无法上网，引起她的警觉，就有可能解决问题。
     我以为是类似黑客的工具，因此不一定通篇考虑网络效率问题。因此不建议使用antiarp防火墙，可以使用正规厂家的网络安全方面的产品（我不是替安全厂商做广告，你可以使用盗版).

[ 本帖最后由 wfu_liuxh 于 2007-7-1 18:27 编辑 ]

quakor

我在局域网内，我也安装了AntiARP。
我用ethereal观察，并没有发现你说的这种情况：一直在通报网关，我是****

菜鸟人飞

大多数的ARP防护软件，以及带ARP防护功能的路由器，都是使用的这个原理。
它为了让别人知道自己才是正确的地址，必然需要频繁告诉别人，而这个频繁的告诉过程使用的协议是ARP，其本身就是一种ARP攻击。

qzyuanmu

对，不过ＡＲＰ攻击是针对好多机器的，所以防护的频率也不是那么夸张的

只是一个神话

呵呵，先不谈ANTIARP，LZ是否可以把CAMS技术分享一下，偶对这个不是很了解。

hshletter

软件没有考虑效率，如果真的如是lz所说的话，这个软件还真的还是不要用的话，如果能按照焦点论坛FLASHSKY所做"W2K主机ARP表操作的实现"来实现软件的话，效果应该会很不错:当ARP缓存表有变化的时候进行处理。

[ 本帖最后由 hshletter 于 2007-6-28 16:49 编辑 ]

wfu_liuxh

原帖由 只是一个神话 于 2007-6-28 13:12 发表
呵呵，先不谈ANTIARP，LZ是否可以把CAMS技术分享一下，偶对这个不是很了解。

cams是华为的一个综合网络管理与计费平台，支持802.1x协议，软件必须在线激活，因此无法提供共享。

vgy0dl

ANTIARP的其他版本我不知道，我这边网吧100多台机器都装了ANTIARP4.1.1。。没你说的那回事，，如果真是你说的那种原理的话，用科来早就查出ARP请求风暴了。。而且ANTIARP还可以从内部拦截ARP病毒包的对外攻击。占用内存和CPU很小。我不是枪手，不过是看不过有人没实践过就随便发表言论。

只是一个神话

antiarp不是会产生请求风暴，而是会像网关频繁发送ARP包以确认ARP表的正常。当是这是在外部有ARP攻击的情况下，如果网络是正常的，ANTIARP是不会发送ARP包的。


另外我还是很想知道使用CAMS来控制ARP攻击的原理。

wfu_liuxh

原帖由 vgy0dl 于 2007-6-28 17:22 发表
ANTIARP的其他版本我不知道，我这边网吧100多台机器都装了ANTIARP4.1.1。。没你说的那回事，，如果真是你说的那种原理的话，用科来早就查出ARP请求风暴了。。而且ANTIARP还可以从内部拦截ARP病毒包的对外攻击。 ...

这位朋友说得严重了，大家是在技术层面讨论问题，没有必要谈抢手与"有人没实践过就随便发表言论"那么严重的问题。
对于用untiarp是否影响网络性能，各人有各人网络环境与理解方式，如果这样说话，大家就没有讨论的必要了。

我以为untiarp的原理应该是发包告诉网关“我是谁（包括ip，mac）”，我们从软件设计方面考虑，最优化的设计应该是，只要arp
攻击的机器冒充你向网关发包，你就必须也向网关发包，告诉网关我是我。也就是说，最优的设计应该arp攻击一次，你至少回应一次。如果没有arp攻击可能不会造成arp请求风暴，如果有arp攻击，对网关的访问量应该是加倍。至于大家说的“untiarp从内部拦截ARP病毒包的对外攻击“我不敢苟同。arp攻击是病毒发作的效果，是一类病毒的表现形式，并不是一个具体病毒或木马。很多病毒、木马都可以有arp攻击的表现，由于病毒、木马类别千差万别，因此untiarp可以防止对其他机器的攻击至少我以为很难实现。
至于我是否“没实践过就随便发表言论”，这倒不重要，只是提出来供大家参考。顺便说一下，我也管理着一个规模不算小的网络。而且象山东大学这些大网络都是不允许用户安装antiarp防火墙的（可以到他们学校的bbs了解一下情况）。
重复一下自己的观点，大家的讨论是基于技术层面的，我没有哗众取宠的意思，还是说过的那句话，网络环境不同，管理方式不同，网络规模不同，管理方式也不会相同，大家各取所需。
ps:
补充一点：
有朋友说，untiarp可以从内部拦截ARP病毒包的对外攻击，如果真能这样的话，将相关技术告诉安全厂商(相比大家都安装防病毒软件)，那以后世界就太平了。

[ 本帖最后由 wfu_liuxh 于 2007-6-28 20:15 编辑 ]

zealotcc

看你的网络承受能力吧，存在的就是合理的

robur

有问题，先从算法上找毛病吧。。。

yuanye002

楼主说的有道理，我今天无意中在一台已经安装了antiARP软件的机器上用科来在局域网抓包的时候，发现科来的分析报警很厉害，说是ARP无应答请求过量，而且源头都是自己~~~当时还没搞清楚是咋回事情，原来是 “AntiARP”在干活。。

feiyang0101

大家分析的都很有道理，但是，我们应该先真正的了解一下arp防火墙的技术原理，而不是在猜测。另外，到底他对网关是否有攻击，我们要看抓的包中的信息才能确定，毕竟，没有实践就没有发言权吗！

wfu_liuxh

原帖由 feiyang0101 于 2007-6-29 08:19 发表
大家分析的都很有道理，但是，我们应该先真正的了解一下arp防火墙的技术原理，而不是在猜测。另外，到底他对网关是否有攻击，我们要看抓的包中的信息才能确定，毕竟，没有实践就没有发言权吗！

无语中。。。

antiarp

1.软件不是流氓软件,软件也不会一直向网关发送我是××××的数据包,发送这种数据只有一种可能那就是正在欺骗的情况下会主动向网关发送数据,如果不发送数据就客户端无法上网,这个功能在软件里叫自动防御,可以在设置中关闭这个功能看看软件还会不会发送数据包.

2.如果大家全部安装软件的话,100%能解决ARP问题,所有的欺骗数据都是不能发送到网络中,这种方式的部署是彻底解决ARP问题.

3.软件不会让其它计算机无法上网,没有你所说的以毒攻毒功能.

4.你可以参见使用文档了解一下发送这些数据包花费多少字节的数据.

[ 本帖最后由 antiarp 于 2007-6-30 11:01 编辑 ]

antiarp

对于国内的网络管理员来说会使用 sniffer 的管理员的确不多,而且分析sniffer的方法不能主动的防御ARP问题,只能发现问题了去找问题,部署antiarp是能够有效的抑制所有的ARP问题!

redfox

还不太清楚他的深层原理

quakor

我又试了一下，仍然没有发现楼主所说的现象

难道网络中不存在arp攻击时，就不会出现楼主所说现象？

wfu_liuxh

原帖由 antiarp 于 2007-6-30 10:17 发表
1.软件不是流氓软件,软件也不会一直向网关发送我是××××的数据包,发送这种数据只有一种可能那就是正在欺骗的情况下会主动向网关发送数据,如果不发送数据就客户端无法上网,这个功能在软件里叫自动防御,可以在 ...

本来不想多说，感到这位朋友是从技术层面说事，这里就再陈述几句：

1、关于是否“软件也不会一直向网关发送我是××××的数据包,”请见10楼的分析（需说明的是10楼是在分析不是在猜测)。
2、这位朋友说如果都配置autiarp防火墙，“所有的欺骗数据都是不能发送到网络中”，这与“ANTIARP还可以从内部拦截ARP病毒包的对外攻击”是相同的观点，我以为这只是一厢情愿的事情，如果防病毒软件能够完全防止对外的攻击，那么世界也就太平了。（而且防火墙的主攻方向主要是防别人而不是防自己)
3、如果有arp攻击，untiarp至少会将对给网关的攻击加倍（见10楼的分析），除非你的网关设备有很强的性能，能抵挡arp请求风暴，否则我不赞成安装antiarp防火墙。
4、我们（我只是其中的一个小卒)也管理着一个规模不小的网络(是网络，不是网吧!)，在今年3月份也出现过严重的arp攻击，我们也让用户都安装antiarp防火墙，结果情况没有多大改变，由将掉网变成了难上网,吃尽了苦头。
5、你要测试antiarp防火墙对网络的影响，你可以在网络中配置几台不同arp攻击类型的病毒机器，并且安装antiarp防火墙，然后抓包，然后再讨论antiarp防火墙对网络的影响和效果。
6、还是这个观点，网络结构，网络环境、网络规模，网络用户不同，决定了采用的管理方式也应该不同。

[ 本帖最后由 wfu_liuxh 于 2007-7-1 18:02 编辑 ]

只是一个神话

呵呵，怎么始终在这里打转。于其说这么多，不如：
1、CAMS是什么原理？简单的说它是实现ARP包过滤，也就是把ARP攻击主机发出的ARP包过滤掉，还是直接DOWN端口（与拔网线效果相同），我想ＬＺ这点信息应该可以提供吧？
2、ANTIARP又是什么原理？我们所知道是它在受到外部攻击的时候会向网关进行双倍流量的ARP请求，那这个流量到底有多大？一台普通交换机的承受力多大？一台普通网关防火墙的承受力又有多大？小到什么程度会有什么样的影响。大到什么样的程度不会有什么样的影响？关于ANTIARP是否能阻挡内部对外部的攻击，这点我可以肯定的说是可以的，但是它是如何实现的？如果说它不具备阻挡内部对外部的攻击，理由是什么？
3、针对现在大部分类型的ARP攻击，有什么好的办法？我们都知道在网络中有一台电脑中毒的情况下可以找网线。100台呢？直接断网？解决一台电脑的病毒需要多久？网络多久能恢复？在一台机器上安装ＡＮＴＩＡＲＰ之类的软件能实现一台机器可以上网，最差的结果也是网络全ＤＯＷＮ掉。全部拔网络呢？当然大家都上不了网，客户可以允许不上网吗？一台机器能上网会给一个企业带来多大的效益？减少多少损失？
如Ｚ版所说，存在就是合理的，所以不要轻易的说一样东西好或不好，人云亦云不是好方法，我们要找到真正具有说服的数据信息。

wfu_liuxh

原帖由 只是一个神话 于 2007-7-1 17:40 发表
呵呵，怎么始终在这里打转。于其说这么多，不如：
1、CAMS是什么原理？简单的说它是实现ARP包过滤，也就是把ARP攻击主机发出的ARP包过滤掉，还是直接DOWN端口（与拔网线效果相同），我想ＬＺ这点信息应该可以提 ...

说得很对，没有必要再讨论有没有布置antiarp的必要，各人有个人的网络环境与管理方式。支持“存在就是合理”、“各取所需“的观点。
我前面说过，cams是华为的一个网管与计费平台，支持802.1x联接协议。可以监控对网关的arp欺骗和攻击（保存日志），当发现有对网关的arp攻击或arp风暴时，自动断开联接（相当于拔出线缆），过一定时间再连接（断开时间可设定）用这样的方法来减少对网络的影响。软件要求所有接入交换机支持802。1x协议，包括级联的交换机。通过使用cams系统感到有两点比较不爽：一是对设备的要求，二是只要是中毒机器就不能上网.
看来很难有十全十美的解决方案。

[ 本帖最后由 wfu_liuxh 于 2007-7-1 18:23 编辑 ]

只是一个神话

呵呵，不错啊，有机会去接触下这东西，交换机一定要是华为的吗？

wfu_liuxh

原帖由 只是一个神话 于 2007-7-1 18:19 发表
呵呵，不错啊，有机会去接触下这东西，交换机一定要是华为的吗？

不一定， 但必须支持802.1x协议。也就是至少是网管交换机。因为3月份的arp病毒对网络的影响，我们更换了将近百台接入交换机。
ps：
对你说的antiarp可以防范对外的arp攻击还是存疑。简单理由：如果这样为什么不将这种技术应用于防病毒软件中？复杂理由见10楼的分析。

[ 本帖最后由 wfu_liuxh 于 2007-7-1 18:37 编辑 ]

只是一个神话

LZ对antiarp可以防范对外的arp攻击的疑惑我无法给你解答，因为我也很想知道，虽然我亲眼看见，也亲身经历了，只是一直在想，为什么它能防范，用了什么技术，一个很简单的技术？还是一个很复杂的程序？关于ＬＺ１０楼的分析，我想，如果它能防范，应该不会基于一种查杀病毒或木马的方式去防范，而是通过类似协议，流量，速率等等（具体什么我也不知道，一切只是猜测），另外ＬＺ所说的为什么不将这种技术应用于防病毒软件中。呵呵，我想这个倒是不难回答，１、ＡＮＴＩＡＲＰ是收费软件，说明它有一定的技术专利，谁会把自己的饭碗让给别人呢？２、别人不用也不一定代表他们不会用，只是考虑到成本，软件的稳定性，可用性，兼容性等等。
要知道在一个管理很好的网络中是不容易出现ＡＲＰ攻击的，就算出现也不会是大规模的，杀毒软件有必要去附加进这个功能，假设带ＡＲＰ防护的杀毒软件在价格上要高出同类软件，而在性能上要差于同类软件，做为网管，你会怎么考虑？如果防毒软件附加进了所有的功能，包括防TCP/UDP FLOOD、DDOS，有入侵检测系统，有漏洞扫描系统。。。那。。中联绿盟、天网、天融信、CISCO不都要失业了。
呵呵，纯属个人观点和猜测，如有雷同，纯属巧合

风尘

的确,用ARP防火墙,的确会加重网络的压力,但好似我那样,在校园网中受攻击,就算我找出中了病毒或者发动攻击的机子IP，你几乎不可能知道那人是谁，就算告诉校方，我想不到网络瘫痪，他们也不会理。可能你说叫我用ARP反攻击对方，引起对方注意，但如果别人好像现在我们学校那样是主动攻击呢，那又怎么办，更何况那人不会装反ARP软件马......实际因数比想象的要多呢

jingshne

呵呵,现在有路由器,有反向ARP查录的呀~

5629567

我单位就是象你说的那样,很多电脑都装的antiarp,结果现在看来,装还真不如不装,呵呵,郁闷