主持人:大家好，這里是IT專家網(wǎng)，今天Webcast的主題是ARP欺騙，騙的是什么?很高興邀請(qǐng)到我們的嘉賓俠諾Qno張建清先生，為我們解答問題。先請(qǐng)張先生做一下自我介紹。

　　張建清:謝謝主持人，我是俠諾科技營(yíng)銷總監(jiān)。我從1996年小路由的時(shí)代，就開始做小路由產(chǎn)品的研發(fā)，在這中間歷經(jīng)的路由器，因?yàn)閷拵У呐d起，被市場(chǎng)接受。無線的路由器也開始了興起。現(xiàn)在我們專門提供了多由路由器的方案推向市場(chǎng)。

　　主持人:他的title雖然是營(yíng)銷總監(jiān)，但是也有深厚的功底，相信他今天給我們帶來精采的解答。

　　前一段時(shí)間，有一件事情被炒得非常火熱，就是MSN被監(jiān)聽。實(shí)際上媒體也對(duì)MSN的監(jiān)聽軟件做了報(bào)告，實(shí)際上它并不是非常容易被使用。但是網(wǎng)上后來又出了叫停類的文章，是說MSN Messenger是配合ARP欺騙軟件，就起到了它原本應(yīng)該有的作用。我們想問一下張先生，ARP欺騙到底是什么樣的技術(shù)?

　　張建清:ARP欺騙我們必須從它的名詞來講。ARP欺騙它是一個(gè)地址解讀的協(xié)議。地址解讀協(xié)議是什么意思呢?在我們互聯(lián)網(wǎng)上面，最常用的協(xié)議是TCPIP，就是傳輸?shù)膮f(xié)議。IP就是所謂定址的協(xié)議。好比我們用哪一棟大樓，在什么地方，在網(wǎng)絡(luò)上就是使用IP地址來定的。但是在實(shí)體上，我們大家都知道，在每一臺(tái)電腦上都有實(shí)體的地址。IP地址是網(wǎng)絡(luò)的一個(gè)地址。ARP就是讓這兩個(gè)地址跟IP地址產(chǎn)生關(guān)聯(lián)的一個(gè)協(xié)議。也就是說，我怎么知道哪一臺(tái)IP在什么位置呢?就是透過ARP去先地方他的IP地方在哪里，再把這個(gè)偵發(fā)過去。像MSN是怎么欺騙的呢?在局域網(wǎng)里面，我這個(gè)偵或者這個(gè)包本來要發(fā)到某一個(gè)IP，這個(gè)IP對(duì)的機(jī)器是A機(jī)器。它騙你這個(gè)IP對(duì)應(yīng)的是第一臺(tái)機(jī)器。你就以為這個(gè)包要發(fā)到另外一臺(tái)機(jī)器去。這就是所謂ARP欺騙的基本想法和思維。

　　主持人:ARP欺騙對(duì)于我們局域網(wǎng)的一些應(yīng)用看來是很危險(xiǎn)的。

　　張建清:我從各地，從東莞，溫州、寧波，在中國(guó)，普遍發(fā)現(xiàn)ARP欺騙影響，在早期是網(wǎng)吧。它就是讓這個(gè)網(wǎng)吧掉線。其實(shí)我們?cè)缙诎l(fā)現(xiàn)的時(shí)候，剛剛主持人講的一些應(yīng)用就是所謂的MSN監(jiān)聽。在所謂的MSN，并沒有做特殊的加密。有些人就想了一些機(jī)制去監(jiān)聽。其實(shí)ARP最早的應(yīng)用就是在網(wǎng)絡(luò)上盜取密碼的。就是有一些在網(wǎng)吧里的用戶，用ARP欺騙。另外一個(gè)用戶在輸入用戶名和密碼的時(shí)候，就欺騙他的這臺(tái)機(jī)器說，我的機(jī)器是路由器，他會(huì)把用戶名的密碼送到我這臺(tái)機(jī)器里面。他就可以把這個(gè)用戶名和密碼解讀出來。等用戶沒有上網(wǎng)的時(shí)候，他就可以把這個(gè)寶盜走。后來慢慢我們發(fā)現(xiàn)，很多用戶用這個(gè)功能，在這個(gè)上面做了很多的隱身，變得一發(fā)不可收拾。本來我大概可以用三秒、五秒，后來就產(chǎn)生了很多隱身和變形，造成網(wǎng)斷線。因?yàn)閼?yīng)用的軟件失控了，他就可以在某一臺(tái)機(jī)器上不斷做這個(gè)欺騙的動(dòng)作。

　　主持人:ARP欺騙軟件運(yùn)行同時(shí)，為什么會(huì)造成頻繁的斷線呢?

　　張建清:在我們以局域網(wǎng)運(yùn)作來講，我們有兩種方式的傳輸。一種對(duì)外傳，就是我的用戶有一個(gè)需求，他透過路由器對(duì)外界傳送。這個(gè)時(shí)候，這是一種。另外一種是回傳。當(dāng)有用戶在網(wǎng)絡(luò)上假裝他自己是路由器的時(shí)候，用戶往外傳的包或者偵就會(huì)送到假的用戶去。這個(gè)軟件就會(huì)有一來、一回持續(xù)的運(yùn)作。當(dāng)你今天碰到ARP欺騙的時(shí)候，你就會(huì)發(fā)現(xiàn)你送去給他，他那邊沒有回應(yīng)。用戶就覺得是掉線或者斷線。嚴(yán)重的時(shí)候，就會(huì)把其他的應(yīng)用，也沒有辦法應(yīng)用了。所以就感覺到大幅度掉線或者斷線的功能。

　　主持人:實(shí)際上就是造成斷線的假象。

　　張建清:實(shí)際上也真的斷線了。就像我今天跟你在講話，但是你聽不到我講話的聲音。我的服務(wù)器也不知道我在跟他講什么話。另外一個(gè)人聽到話，只是把它竊取下來，記錄下來，并沒有給我回應(yīng)。就是這樣的現(xiàn)象。

　　主持人:剛才也說老了ARP欺騙最早可以用于盜取用戶的一些密碼、一些敏感信息。現(xiàn)在我們知道，所有未加密的傳送的軟件，都應(yīng)用配合一些應(yīng)用工具監(jiān)聽的。能不能再給我們介紹一下，配合ARP欺騙使用，還有什么所謂的黑客行為呢?

　　張建清:盜寶是最主要的，另外就是監(jiān)聽。當(dāng)ARP欺騙，可能配合其他的一些軟件功能這樣子的。我們發(fā)現(xiàn)，在局域網(wǎng)里面，想盜取一些ARP，或者無線網(wǎng)絡(luò)里面，基本上都是用局域網(wǎng)的特性叫廣播。廣播，像我們剛才提到的ARP欺騙為什么可以成型?在每一個(gè)計(jì)算機(jī)里面，都存了一個(gè)IP地址的對(duì)應(yīng)表。但是每臺(tái)機(jī)器的內(nèi)存有限，當(dāng)這個(gè)表不夠的時(shí)候，會(huì)傳一個(gè)廣播信息。比如今天我要送給一個(gè)IP地址，我就問這個(gè)IP在哪里?問出來，所有人都會(huì)接受。假如在標(biāo)準(zhǔn)正常的運(yùn)作里面，大家知道我不是這個(gè)，我不用回應(yīng)。但是路由器知道，這個(gè)東西不是這個(gè)網(wǎng)域里面，不用送。如果是假裝這個(gè)IP地址的話，你就會(huì)產(chǎn)生一種誤解。其實(shí)這種比較重大的威脅，我們看到無線這邊，有人利用這個(gè)特性，做一些相關(guān)的動(dòng)作。

　　主持人:也就是說，在無線或者有限的局域網(wǎng)里面，你所做的一些行為，都可以用黑客軟件配合ARP監(jiān)控軟件進(jìn)行欺騙，截取。

　　張建清:有一些比較低階段的應(yīng)用就是所謂的監(jiān)聽。如果在對(duì)于這些軟件做進(jìn)一步的分析，比如我這個(gè)軟件送的時(shí)候是什么需求，回來的時(shí)候是什么需求。他可以用另外一個(gè)目標(biāo)把你所有的動(dòng)作都攔截回去。如果今天對(duì)方知道，像一個(gè)交易，他知道第一筆是什么，第二筆是什么，他把所有的資料都送過去。他也可以把你的訊息攔截走，再轉(zhuǎn)送到服務(wù)器，再轉(zhuǎn)送回來。這樣的隱身就變成了蠻復(fù)雜的狀況在應(yīng)用。這也是各地對(duì)ARP效果影響越來越大的原因。

　　主持人:這個(gè)是一般用戶來說，也是蠻頭疼的問題。

　　張建清:用戶因?yàn)椴恍⌒?，用了一些軟件，或者在PC里面點(diǎn)了一些MSN的連接等等，把這個(gè)程序啟動(dòng)了，他會(huì)發(fā)現(xiàn)自己漸漸受到了影響。像今天早上我們的技術(shù)支持跟我們說，湖北一些網(wǎng)吧，幾乎沒有人上網(wǎng)了。因?yàn)樯喜涣司W(wǎng)。

　　主持人:像有這種加密的軟件傳送，信息也是能被黑客截取。只是截取后看不到內(nèi)容?

　　張建清:是的。

　　主持人:前一陣子出有一個(gè)msn chat sniffer這樣的軟件，發(fā)現(xiàn)每一臺(tái)機(jī)器都受到了掃描攻擊。后來我們分析，是中了病毒還是木馬這類東西呢?

　　張建清:其實(shí)在早期里面，ARP的很多功能，像陀螺儀木馬這樣的功能期在一起。在早期的ARP，只是黑客用來盜取密碼，用了三、五秒鐘。當(dāng)你輸入用戶名和密碼的時(shí)候，另外一個(gè)用戶發(fā)現(xiàn)沒有回應(yīng)，他會(huì)再輸一次。但是因?yàn)檫@些ARP的功能跟其他的木馬或者其他的城市，或者網(wǎng)絡(luò)上的連接、病毒結(jié)合在一起，所以造成很大規(guī)模的影響，斷線或者掉線。像你剛剛提到的狀況，這個(gè)用戶可能不知道自己在做這樣的事情，這是典型的病毒，這是病毒跟ARP結(jié)合的典型現(xiàn)象。

　　主持人:他能通過ARP欺騙的病毒做什么呢?

　　張建清:ARP欺騙的病毒做到現(xiàn)在，對(duì)于制作的人或者散布的人沒有什么太大的作用，純粹是破壞的工具。因?yàn)锳RP可以收集網(wǎng)絡(luò)上廣播的包，如果進(jìn)一步的應(yīng)用，肯定會(huì)有很多的黑客在思考這個(gè)問題。因?yàn)榫W(wǎng)絡(luò)上的特性屬于來回，屬于協(xié)議這樣的狀況，如果你好好利用，好的方向能保持網(wǎng)絡(luò)順暢，不好的方向可以攔截任何他需要的資訊。

　　主持人:從今年開始，在病毒這邊應(yīng)該是說黑客已經(jīng)從最早的表現(xiàn)欲，已經(jīng)轉(zhuǎn)變成有目的性的盈利的目標(biāo)，也就是說，ARP欺騙很可能被成為黑客盈利的手段。

　　張建清:你怎么樣發(fā)生ARP欺騙的狀況，我們必須從原理開始講。最簡(jiǎn)單的就是叫做ARP跟IP地址的對(duì)照表。我們有一些文章描述到，你可以對(duì)這個(gè)網(wǎng)絡(luò)進(jìn)行掃描。像這個(gè)ARP的對(duì)照表，可以對(duì)這個(gè)網(wǎng)絡(luò)進(jìn)行掃描。當(dāng)你發(fā)現(xiàn)某一個(gè)對(duì)應(yīng)IP地址的話，正常是一對(duì)一的關(guān)系，如果發(fā)現(xiàn)一對(duì)多的方式那就是異常的情況?；氐轿覀儎倓傊v的，預(yù)防ARP。我們必須建立地址跟IP的固定關(guān)系。因?yàn)樗鼤?huì)欺騙你。我們現(xiàn)在所謂綁定的功能，我們剛才講了有兩個(gè)方向做綁定，一個(gè)是路由器的部分，你必須把內(nèi)部的所有的機(jī)器，IP地址做一個(gè)綁定。我們想了一些功能，可以讓它作后面做激活的動(dòng)作把它綁定。

　　很多用戶發(fā)現(xiàn)我只要在路由器這邊做好了就行了，在終端這邊就不用做了。但是這樣的話，會(huì)發(fā)生部分的現(xiàn)象。所以在用戶這邊有所謂的ARP—S的功能，你把你的路由器的位置，也做綁定。這樣送給路由器的包就不會(huì)被別人攔截去。我們剛才談到了兩個(gè)方向，一個(gè)是所謂的路由器端做綁定，就是所有機(jī)器的IP地址。另外是用戶端也要綁定，綁的是路由器的IP，跟路由器的地址。實(shí)際上我們最近發(fā)現(xiàn)另外一個(gè)現(xiàn)象，就是對(duì)于中毒的這臺(tái)機(jī)器還有另外的處理方式。中毒的這臺(tái)機(jī)器，雖然你針對(duì)每臺(tái)機(jī)器綁定，但是這個(gè)設(shè)定從開機(jī)以后，就失效了。所以我們建議用戶把它寫到啟動(dòng)的檔案里面。每次開機(jī)的時(shí)候激活這個(gè)功能。

　　另外中毒的這臺(tái)機(jī)器，雖然綁定了，但是它內(nèi)部已經(jīng)有病毒了。雖然綁定了，但是它可以每秒快速寫它的ARP。這時(shí)候他對(duì)別人沒有辦法造成危害。因?yàn)閯e人已經(jīng)把路由器跟這個(gè)機(jī)器的位置寫得很確定了。對(duì)這臺(tái)上網(wǎng)的人還是有很多的困擾。我們這種傳統(tǒng)的綁定功能可以給他快速的寫。寫到一秒兩百次這樣的速度。我們現(xiàn)在看到比較好的做法，就是把藏在里面的病毒去除掉，或者整個(gè)機(jī)器都要清理一下病毒。這是我們現(xiàn)在比較完整的處理方式。

　　主持人:真的是很精彩的解答。如果我只對(duì)我個(gè)人的PC機(jī)做了綁定，路由那端沒有做綁定，還會(huì)不會(huì)受到ARP欺騙?

　　張建清:在個(gè)人這邊做綁定，你可以確保你往路由送的包，確定會(huì)送到路由這邊去。但是路由送回來的時(shí)候，他可以在半路攔截。告訴你路由器不要送給它，送給我吧。就把這個(gè)包攔截過去了。所以我們剛才談到要雙向的包要嚴(yán)密?，F(xiàn)在有些網(wǎng)吧如果做單方面的綁定是不行的。

　　主持人:很多人認(rèn)為我一邊綁定就可以了，實(shí)際上還是需要雙方相的綁定。河北前一段時(shí)間某公司，采用了貴公司的產(chǎn)品，和網(wǎng)吧結(jié)合出現(xiàn)了一些問題。請(qǐng)問有一些什么具體的問題嗎?

　　張建清:在早期的路由器的版本里面，也許沒有這樣的綁定的功能。所以它就會(huì)產(chǎn)生掉線或者不穩(wěn)定的狀況。

　　主持人:看來防范ARP還不是說用戶個(gè)人的行為能夠解決的，還需要網(wǎng)管和用戶一起來解決。

　　張建清:這個(gè)對(duì)網(wǎng)管而言是比較全面、頭疼的工作。其實(shí)對(duì)于網(wǎng)管而言比較復(fù)雜的地方在這邊，就是你如果一次把所有局域網(wǎng)上的IP地址找出來的話，你必須要借助一些工具。不是現(xiàn)成的機(jī)器就可以做的。必須在網(wǎng)絡(luò)上下載。就是msn chat sniffer，或者其他的工具。還有一些行動(dòng)的工作者，比如筆記本電腦來了，你沒有設(shè)在里面，這臺(tái)就發(fā)生了這樣的問題。

　　主持人:不光是技術(shù)的問題，還牽涉到安全管理的問題。所以說ARP欺騙可以說是無法徹底解決的問題。可以這么說嗎?

　　張建清:在網(wǎng)絡(luò)上有人提到，這個(gè)是在協(xié)議上的弱點(diǎn)。但是我想說從技術(shù)的觀點(diǎn)來講，實(shí)際上有不同的方案可以解決。在一些做路由器產(chǎn)品或者相關(guān)軟件的，或者做防毒的，大家都可以針對(duì)這個(gè)特性。早期大家不是很了解，慢慢大家針對(duì)剛剛的特性，就是所有IP地址的綁定，你去給它更好的局限。在早期因?yàn)楹荛_放，所以我在廣播。但是因?yàn)榘l(fā)生這樣的問題，所以將來不管在嵌入的時(shí)候，或者在網(wǎng)絡(luò)上廣播的時(shí)候，不同的軟件會(huì)做更多的規(guī)范，會(huì)降低這樣的現(xiàn)象。

　　主持人:謝謝張先生精彩的發(fā)言。我們中場(chǎng)休息一下。我們?cè)偈占幌戮W(wǎng)友的提問，下半節(jié)請(qǐng)張先生回答。