張建清:謝謝主持人,我是俠諾科技營銷總監(jiān)。我從1996年小路由的時代,就開始做小路由產(chǎn)品的研發(fā),在這中間歷經(jīng)的路由器,因為寬帶的興起,被市場接受。無線的路由器也開始了興起。現(xiàn)在我們專門提供了多由路由器的方案推向市場。
主持人:他的title雖然是營銷總監(jiān),但是也有深厚的功底,相信他今天給我們帶來精采的解答。
前一段時間,有一件事情被炒得非常火熱,就是MSN被監(jiān)聽。實際上媒體也對MSN的監(jiān)聽軟件做了報告,實際上它并不是非常容易被使用。但是網(wǎng)上后來又出了叫停類的文章,是說MSN Messenger是配合ARP欺騙軟件,就起到了它原本應(yīng)該有的作用。我們想問一下張先生,ARP欺騙到底是什么樣的技術(shù)?
張建清:ARP欺騙我們必須從它的名詞來講。ARP欺騙它是一個地址解讀的協(xié)議。地址解讀協(xié)議是什么意思呢?在我們互聯(lián)網(wǎng)上面,最常用的協(xié)議是TCPIP,就是傳輸?shù)膮f(xié)議。IP就是所謂定址的協(xié)議。好比我們用哪一棟大樓,在什么地方,在網(wǎng)絡(luò)上就是使用IP地址來定的。但是在實體上,我們大家都知道,在每一臺電腦上都有實體的地址。IP地址是網(wǎng)絡(luò)的一個地址。ARP就是讓這兩個地址跟IP地址產(chǎn)生關(guān)聯(lián)的一個協(xié)議。也就是說,我怎么知道哪一臺IP在什么位置呢?就是透過ARP去先地方他的IP地方在哪里,再把這個偵發(fā)過去。像MSN是怎么欺騙的呢?在局域網(wǎng)里面,我這個偵或者這個包本來要發(fā)到某一個IP,這個IP對的機器是A機器。它騙你這個IP對應(yīng)的是第一臺機器。你就以為這個包要發(fā)到另外一臺機器去。這就是所謂ARP欺騙的基本想法和思維。
主持人:ARP欺騙對于我們局域網(wǎng)的一些應(yīng)用看來是很危險的。
張建清:我從各地,從東莞,溫州、寧波,在中國,普遍發(fā)現(xiàn)ARP欺騙影響,在早期是網(wǎng)吧。它就是讓這個網(wǎng)吧掉線。其實我們早期發(fā)現(xiàn)的時候,剛剛主持人講的一些應(yīng)用就是所謂的MSN監(jiān)聽。在所謂的MSN,并沒有做特殊的加密。有些人就想了一些機制去監(jiān)聽。其實ARP最早的應(yīng)用就是在網(wǎng)絡(luò)上盜取密碼的。就是有一些在網(wǎng)吧里的用戶,用ARP欺騙。另外一個用戶在輸入用戶名和密碼的時候,就欺騙他的這臺機器說,我的機器是路由器,他會把用戶名的密碼送到我這臺機器里面。他就可以把這個用戶名和密碼解讀出來。等用戶沒有上網(wǎng)的時候,他就可以把這個寶盜走。后來慢慢我們發(fā)現(xiàn),很多用戶用這個功能,在這個上面做了很多的隱身,變得一發(fā)不可收拾。本來我大概可以用三秒、五秒,后來就產(chǎn)生了很多隱身和變形,造成網(wǎng)斷線。因為應(yīng)用的軟件失控了,他就可以在某一臺機器上不斷做這個欺騙的動作。
主持人:ARP欺騙軟件運行同時,為什么會造成頻繁的斷線呢?
張建清:在我們以局域網(wǎng)運作來講,我們有兩種方式的傳輸。一種對外傳,就是我的用戶有一個需求,他透過路由器對外界傳送。這個時候,這是一種。另外一種是回傳。當(dāng)有用戶在網(wǎng)絡(luò)上假裝他自己是路由器的時候,用戶往外傳的包或者偵就會送到假的用戶去。這個軟件就會有一來、一回持續(xù)的運作。當(dāng)你今天碰到ARP欺騙的時候,你就會發(fā)現(xiàn)你送去給他,他那邊沒有回應(yīng)。用戶就覺得是掉線或者斷線。嚴(yán)重的時候,就會把其他的應(yīng)用,也沒有辦法應(yīng)用了。所以就感覺到大幅度掉線或者斷線的功能。
主持人:實際上就是造成斷線的假象。
張建清:實際上也真的斷線了。就像我今天跟你在講話,但是你聽不到我講話的聲音。我的服務(wù)器也不知道我在跟他講什么話。另外一個人聽到話,只是把它竊取下來,記錄下來,并沒有給我回應(yīng)。就是這樣的現(xiàn)象。
主持人:剛才也說老了ARP欺騙最早可以用于盜取用戶的一些密碼、一些敏感信息。現(xiàn)在我們知道,所有未加密的傳送的軟件,都應(yīng)用配合一些應(yīng)用工具監(jiān)聽的。能不能再給我們介紹一下,配合ARP欺騙使用,還有什么所謂的黑客行為呢?
張建清:盜寶是最主要的,另外就是監(jiān)聽。當(dāng)ARP欺騙,可能配合其他的一些軟件功能這樣子的。我們發(fā)現(xiàn),在局域網(wǎng)里面,想盜取一些ARP,或者無線網(wǎng)絡(luò)里面,基本上都是用局域網(wǎng)的特性叫廣播。廣播,像我們剛才提到的ARP欺騙為什么可以成型?在每一個計算機里面,都存了一個IP地址的對應(yīng)表。但是每臺機器的內(nèi)存有限,當(dāng)這個表不夠的時候,會傳一個廣播信息。比如今天我要送給一個IP地址,我就問這個IP在哪里?問出來,所有人都會接受。假如在標(biāo)準(zhǔn)正常的運作里面,大家知道我不是這個,我不用回應(yīng)。但是路由器知道,這個東西不是這個網(wǎng)域里面,不用送。如果是假裝這個IP地址的話,你就會產(chǎn)生一種誤解。其實這種比較重大的威脅,我們看到無線這邊,有人利用這個特性,做一些相關(guān)的動作。
主持人:也就是說,在無線或者有限的局域網(wǎng)里面,你所做的一些行為,都可以用黑客軟件配合ARP監(jiān)控軟件進行欺騙,截取。
張建清:有一些比較低階段的應(yīng)用就是所謂的監(jiān)聽。如果在對于這些軟件做進一步的分析,比如我這個軟件送的時候是什么需求,回來的時候是什么需求。他可以用另外一個目標(biāo)把你所有的動作都攔截回去。如果今天對方知道,像一個交易,他知道第一筆是什么,第二筆是什么,他把所有的資料都送過去。他也可以把你的訊息攔截走,再轉(zhuǎn)送到服務(wù)器,再轉(zhuǎn)送回來。這樣的隱身就變成了蠻復(fù)雜的狀況在應(yīng)用。這也是各地對ARP效果影響越來越大的原因。
主持人:這個是一般用戶來說,也是蠻頭疼的問題。
張建清:用戶因為不小心,用了一些軟件,或者在PC里面點了一些MSN的連接等等,把這個程序啟動了,他會發(fā)現(xiàn)自己漸漸受到了影響。像今天早上我們的技術(shù)支持跟我們說,湖北一些網(wǎng)吧,幾乎沒有人上網(wǎng)了。因為上不了網(wǎng)。
主持人:像有這種加密的軟件傳送,信息也是能被黑客截取。只是截取后看不到內(nèi)容?
張建清:是的。
主持人:前一陣子出有一個msn chat sniffer這樣的軟件,發(fā)現(xiàn)每一臺機器都受到了掃描攻擊。后來我們分析,是中了病毒還是木馬這類東西呢?
張建清:其實在早期里面,ARP的很多功能,像陀螺儀木馬這樣的功能期在一起。在早期的ARP,只是黑客用來盜取密碼,用了三、五秒鐘。當(dāng)你輸入用戶名和密碼的時候,另外一個用戶發(fā)現(xiàn)沒有回應(yīng),他會再輸一次。但是因為這些ARP的功能跟其他的木馬或者其他的城市,或者網(wǎng)絡(luò)上的連接、病毒結(jié)合在一起,所以造成很大規(guī)模的影響,斷線或者掉線。像你剛剛提到的狀況,這個用戶可能不知道自己在做這樣的事情,這是典型的病毒,這是病毒跟ARP結(jié)合的典型現(xiàn)象。
主持人:他能通過ARP欺騙的病毒做什么呢?
張建清:ARP欺騙的病毒做到現(xiàn)在,對于制作的人或者散布的人沒有什么太大的作用,純粹是破壞的工具。因為ARP可以收集網(wǎng)絡(luò)上廣播的包,如果進一步的應(yīng)用,肯定會有很多的黑客在思考這個問題。因為網(wǎng)絡(luò)上的特性屬于來回,屬于協(xié)議這樣的狀況,如果你好好利用,好的方向能保持網(wǎng)絡(luò)順暢,不好的方向可以攔截任何他需要的資訊。
主持人:從今年開始,在病毒這邊應(yīng)該是說黑客已經(jīng)從最早的表現(xiàn)欲,已經(jīng)轉(zhuǎn)變成有目的性的盈利的目標(biāo),也就是說,ARP欺騙很可能被成為黑客盈利的手段。
張建清:你怎么樣發(fā)生ARP欺騙的狀況,我們必須從原理開始講。最簡單的就是叫做ARP跟IP地址的對照表。我們有一些文章描述到,你可以對這個網(wǎng)絡(luò)進行掃描。像這個ARP的對照表,可以對這個網(wǎng)絡(luò)進行掃描。當(dāng)你發(fā)現(xiàn)某一個對應(yīng)IP地址的話,正常是一對一的關(guān)系,如果發(fā)現(xiàn)一對多的方式那就是異常的情況。回到我們剛剛講的,預(yù)防ARP。我們必須建立地址跟IP的固定關(guān)系。因為它會欺騙你。我們現(xiàn)在所謂綁定的功能,我們剛才講了有兩個方向做綁定,一個是路由器的部分,你必須把內(nèi)部的所有的機器,IP地址做一個綁定。我們想了一些功能,可以讓它作后面做激活的動作把它綁定。
很多用戶發(fā)現(xiàn)我只要在路由器這邊做好了就行了,在終端這邊就不用做了。但是這樣的話,會發(fā)生部分的現(xiàn)象。所以在用戶這邊有所謂的ARP—S的功能,你把你的路由器的位置,也做綁定。這樣送給路由器的包就不會被別人攔截去。我們剛才談到了兩個方向,一個是所謂的路由器端做綁定,就是所有機器的IP地址。另外是用戶端也要綁定,綁的是路由器的IP,跟路由器的地址。實際上我們最近發(fā)現(xiàn)另外一個現(xiàn)象,就是對于中毒的這臺機器還有另外的處理方式。中毒的這臺機器,雖然你針對每臺機器綁定,但是這個設(shè)定從開機以后,就失效了。所以我們建議用戶把它寫到啟動的檔案里面。每次開機的時候激活這個功能。
另外中毒的這臺機器,雖然綁定了,但是它內(nèi)部已經(jīng)有病毒了。雖然綁定了,但是它可以每秒快速寫它的ARP。這時候他對別人沒有辦法造成危害。因為別人已經(jīng)把路由器跟這個機器的位置寫得很確定了。對這臺上網(wǎng)的人還是有很多的困擾。我們這種傳統(tǒng)的綁定功能可以給他快速的寫。寫到一秒兩百次這樣的速度。我們現(xiàn)在看到比較好的做法,就是把藏在里面的病毒去除掉,或者整個機器都要清理一下病毒。這是我們現(xiàn)在比較完整的處理方式。
主持人:真的是很精彩的解答。如果我只對我個人的PC機做了綁定,路由那端沒有做綁定,還會不會受到ARP欺騙?
張建清:在個人這邊做綁定,你可以確保你往路由送的包,確定會送到路由這邊去。但是路由送回來的時候,他可以在半路攔截。告訴你路由器不要送給它,送給我吧。就把這個包攔截過去了。所以我們剛才談到要雙向的包要嚴(yán)密。現(xiàn)在有些網(wǎng)吧如果做單方面的綁定是不行的。
主持人:很多人認(rèn)為我一邊綁定就可以了,實際上還是需要雙方相的綁定。河北前一段時間某公司,采用了貴公司的產(chǎn)品,和網(wǎng)吧結(jié)合出現(xiàn)了一些問題。請問有一些什么具體的問題嗎?
張建清:在早期的路由器的版本里面,也許沒有這樣的綁定的功能。所以它就會產(chǎn)生掉線或者不穩(wěn)定的狀況。
主持人:看來防范ARP還不是說用戶個人的行為能夠解決的,還需要網(wǎng)管和用戶一起來解決。
張建清:這個對網(wǎng)管而言是比較全面、頭疼的工作。其實對于網(wǎng)管而言比較復(fù)雜的地方在這邊,就是你如果一次把所有局域網(wǎng)上的IP地址找出來的話,你必須要借助一些工具。不是現(xiàn)成的機器就可以做的。必須在網(wǎng)絡(luò)上下載。就是msn chat sniffer,或者其他的工具。還有一些行動的工作者,比如筆記本電腦來了,你沒有設(shè)在里面,這臺就發(fā)生了這樣的問題。
主持人:不光是技術(shù)的問題,還牽涉到安全管理的問題。所以說ARP欺騙可以說是無法徹底解決的問題。可以這么說嗎?
張建清:在網(wǎng)絡(luò)上有人提到,這個是在協(xié)議上的弱點。但是我想說從技術(shù)的觀點來講,實際上有不同的方案可以解決。在一些做路由器產(chǎn)品或者相關(guān)軟件的,或者做防毒的,大家都可以針對這個特性。早期大家不是很了解,慢慢大家針對剛剛的特性,就是所有IP地址的綁定,你去給它更好的局限。在早期因為很開放,所以我在廣播。但是因為發(fā)生這樣的問題,所以將來不管在嵌入的時候,或者在網(wǎng)絡(luò)上廣播的時候,不同的軟件會做更多的規(guī)范,會降低這樣的現(xiàn)象。
主持人:謝謝張先生精彩的發(fā)言。我們中場休息一下。我們再收集一下網(wǎng)友的提問,下半節(jié)請張先生回答。
