張建清:謝謝主持人,我是俠諾科技營(yíng)銷總監(jiān)。我從1996年小路由的時(shí)代,就開始做小路由產(chǎn)品的研發(fā),在這中間歷經(jīng)的路由器,因?yàn)閷拵У呐d起,被市場(chǎng)接受。無(wú)線的路由器也開始了興起。現(xiàn)在我們專門提供了多由路由器的方案推向市場(chǎng)。
主持人:他的title雖然是營(yíng)銷總監(jiān),但是也有深厚的功底,相信他今天給我們帶來(lái)精采的解答。
前一段時(shí)間,有一件事情被炒得非常火熱,就是MSN被監(jiān)聽。實(shí)際上媒體也對(duì)MSN的監(jiān)聽軟件做了報(bào)告,實(shí)際上它并不是非常容易被使用。但是網(wǎng)上后來(lái)又出了叫停類的文章,是說(shuō)MSN Messenger是配合ARP欺騙軟件,就起到了它原本應(yīng)該有的作用。我們想問(wèn)一下張先生,ARP欺騙到底是什么樣的技術(shù)?
張建清:ARP欺騙我們必須從它的名詞來(lái)講。ARP欺騙它是一個(gè)地址解讀的協(xié)議。地址解讀協(xié)議是什么意思呢?在我們互聯(lián)網(wǎng)上面,最常用的協(xié)議是TCPIP,就是傳輸?shù)膮f(xié)議。IP就是所謂定址的協(xié)議。好比我們用哪一棟大樓,在什么地方,在網(wǎng)絡(luò)上就是使用IP地址來(lái)定的。但是在實(shí)體上,我們大家都知道,在每一臺(tái)電腦上都有實(shí)體的地址。IP地址是網(wǎng)絡(luò)的一個(gè)地址。ARP就是讓這兩個(gè)地址跟IP地址產(chǎn)生關(guān)聯(lián)的一個(gè)協(xié)議。也就是說(shuō),我怎么知道哪一臺(tái)IP在什么位置呢?就是透過(guò)ARP去先地方他的IP地方在哪里,再把這個(gè)偵發(fā)過(guò)去。像MSN是怎么欺騙的呢?在局域網(wǎng)里面,我這個(gè)偵或者這個(gè)包本來(lái)要發(fā)到某一個(gè)IP,這個(gè)IP對(duì)的機(jī)器是A機(jī)器。它騙你這個(gè)IP對(duì)應(yīng)的是第一臺(tái)機(jī)器。你就以為這個(gè)包要發(fā)到另外一臺(tái)機(jī)器去。這就是所謂ARP欺騙的基本想法和思維。
主持人:ARP欺騙對(duì)于我們局域網(wǎng)的一些應(yīng)用看來(lái)是很危險(xiǎn)的。
張建清:我從各地,從東莞,溫州、寧波,在中國(guó),普遍發(fā)現(xiàn)ARP欺騙影響,在早期是網(wǎng)吧。它就是讓這個(gè)網(wǎng)吧掉線。其實(shí)我們?cè)缙诎l(fā)現(xiàn)的時(shí)候,剛剛主持人講的一些應(yīng)用就是所謂的MSN監(jiān)聽。在所謂的MSN,并沒(méi)有做特殊的加密。有些人就想了一些機(jī)制去監(jiān)聽。其實(shí)ARP最早的應(yīng)用就是在網(wǎng)絡(luò)上盜取密碼的。就是有一些在網(wǎng)吧里的用戶,用ARP欺騙。另外一個(gè)用戶在輸入用戶名和密碼的時(shí)候,就欺騙他的這臺(tái)機(jī)器說(shuō),我的機(jī)器是路由器,他會(huì)把用戶名的密碼送到我這臺(tái)機(jī)器里面。他就可以把這個(gè)用戶名和密碼解讀出來(lái)。等用戶沒(méi)有上網(wǎng)的時(shí)候,他就可以把這個(gè)寶盜走。后來(lái)慢慢我們發(fā)現(xiàn),很多用戶用這個(gè)功能,在這個(gè)上面做了很多的隱身,變得一發(fā)不可收拾。本來(lái)我大概可以用三秒、五秒,后來(lái)就產(chǎn)生了很多隱身和變形,造成網(wǎng)斷線。因?yàn)閼?yīng)用的軟件失控了,他就可以在某一臺(tái)機(jī)器上不斷做這個(gè)欺騙的動(dòng)作。
主持人:ARP欺騙軟件運(yùn)行同時(shí),為什么會(huì)造成頻繁的斷線呢?
張建清:在我們以局域網(wǎng)運(yùn)作來(lái)講,我們有兩種方式的傳輸。一種對(duì)外傳,就是我的用戶有一個(gè)需求,他透過(guò)路由器對(duì)外界傳送。這個(gè)時(shí)候,這是一種。另外一種是回傳。當(dāng)有用戶在網(wǎng)絡(luò)上假裝他自己是路由器的時(shí)候,用戶往外傳的包或者偵就會(huì)送到假的用戶去。這個(gè)軟件就會(huì)有一來(lái)、一回持續(xù)的運(yùn)作。當(dāng)你今天碰到ARP欺騙的時(shí)候,你就會(huì)發(fā)現(xiàn)你送去給他,他那邊沒(méi)有回應(yīng)。用戶就覺(jué)得是掉線或者斷線。嚴(yán)重的時(shí)候,就會(huì)把其他的應(yīng)用,也沒(méi)有辦法應(yīng)用了。所以就感覺(jué)到大幅度掉線或者斷線的功能。
主持人:實(shí)際上就是造成斷線的假象。
張建清:實(shí)際上也真的斷線了。就像我今天跟你在講話,但是你聽不到我講話的聲音。我的服務(wù)器也不知道我在跟他講什么話。另外一個(gè)人聽到話,只是把它竊取下來(lái),記錄下來(lái),并沒(méi)有給我回應(yīng)。就是這樣的現(xiàn)象。
主持人:剛才也說(shuō)老了ARP欺騙最早可以用于盜取用戶的一些密碼、一些敏感信息。現(xiàn)在我們知道,所有未加密的傳送的軟件,都應(yīng)用配合一些應(yīng)用工具監(jiān)聽的。能不能再給我們介紹一下,配合ARP欺騙使用,還有什么所謂的黑客行為呢?
張建清:盜寶是最主要的,另外就是監(jiān)聽。當(dāng)ARP欺騙,可能配合其他的一些軟件功能這樣子的。我們發(fā)現(xiàn),在局域網(wǎng)里面,想盜取一些ARP,或者無(wú)線網(wǎng)絡(luò)里面,基本上都是用局域網(wǎng)的特性叫廣播。廣播,像我們剛才提到的ARP欺騙為什么可以成型?在每一個(gè)計(jì)算機(jī)里面,都存了一個(gè)IP地址的對(duì)應(yīng)表。但是每臺(tái)機(jī)器的內(nèi)存有限,當(dāng)這個(gè)表不夠的時(shí)候,會(huì)傳一個(gè)廣播信息。比如今天我要送給一個(gè)IP地址,我就問(wèn)這個(gè)IP在哪里?問(wèn)出來(lái),所有人都會(huì)接受。假如在標(biāo)準(zhǔn)正常的運(yùn)作里面,大家知道我不是這個(gè),我不用回應(yīng)。但是路由器知道,這個(gè)東西不是這個(gè)網(wǎng)域里面,不用送。如果是假裝這個(gè)IP地址的話,你就會(huì)產(chǎn)生一種誤解。其實(shí)這種比較重大的威脅,我們看到無(wú)線這邊,有人利用這個(gè)特性,做一些相關(guān)的動(dòng)作。
主持人:也就是說(shuō),在無(wú)線或者有限的局域網(wǎng)里面,你所做的一些行為,都可以用黑客軟件配合ARP監(jiān)控軟件進(jìn)行欺騙,截取。
張建清:有一些比較低階段的應(yīng)用就是所謂的監(jiān)聽。如果在對(duì)于這些軟件做進(jìn)一步的分析,比如我這個(gè)軟件送的時(shí)候是什么需求,回來(lái)的時(shí)候是什么需求。他可以用另外一個(gè)目標(biāo)把你所有的動(dòng)作都攔截回去。如果今天對(duì)方知道,像一個(gè)交易,他知道第一筆是什么,第二筆是什么,他把所有的資料都送過(guò)去。他也可以把你的訊息攔截走,再轉(zhuǎn)送到服務(wù)器,再轉(zhuǎn)送回來(lái)。這樣的隱身就變成了蠻復(fù)雜的狀況在應(yīng)用。這也是各地對(duì)ARP效果影響越來(lái)越大的原因。
主持人:這個(gè)是一般用戶來(lái)說(shuō),也是蠻頭疼的問(wèn)題。
張建清:用戶因?yàn)椴恍⌒模昧艘恍┸浖蛘咴赑C里面點(diǎn)了一些MSN的連接等等,把這個(gè)程序啟動(dòng)了,他會(huì)發(fā)現(xiàn)自己漸漸受到了影響。像今天早上我們的技術(shù)支持跟我們說(shuō),湖北一些網(wǎng)吧,幾乎沒(méi)有人上網(wǎng)了。因?yàn)樯喜涣司W(wǎng)。
主持人:像有這種加密的軟件傳送,信息也是能被黑客截取。只是截取后看不到內(nèi)容?
張建清:是的。
主持人:前一陣子出有一個(gè)msn chat sniffer這樣的軟件,發(fā)現(xiàn)每一臺(tái)機(jī)器都受到了掃描攻擊。后來(lái)我們分析,是中了病毒還是木馬這類東西呢?
張建清:其實(shí)在早期里面,ARP的很多功能,像陀螺儀木馬這樣的功能期在一起。在早期的ARP,只是黑客用來(lái)盜取密碼,用了三、五秒鐘。當(dāng)你輸入用戶名和密碼的時(shí)候,另外一個(gè)用戶發(fā)現(xiàn)沒(méi)有回應(yīng),他會(huì)再輸一次。但是因?yàn)檫@些ARP的功能跟其他的木馬或者其他的城市,或者網(wǎng)絡(luò)上的連接、病毒結(jié)合在一起,所以造成很大規(guī)模的影響,斷線或者掉線。像你剛剛提到的狀況,這個(gè)用戶可能不知道自己在做這樣的事情,這是典型的病毒,這是病毒跟ARP結(jié)合的典型現(xiàn)象。
主持人:他能通過(guò)ARP欺騙的病毒做什么呢?
張建清:ARP欺騙的病毒做到現(xiàn)在,對(duì)于制作的人或者散布的人沒(méi)有什么太大的作用,純粹是破壞的工具。因?yàn)锳RP可以收集網(wǎng)絡(luò)上廣播的包,如果進(jìn)一步的應(yīng)用,肯定會(huì)有很多的黑客在思考這個(gè)問(wèn)題。因?yàn)榫W(wǎng)絡(luò)上的特性屬于來(lái)回,屬于協(xié)議這樣的狀況,如果你好好利用,好的方向能保持網(wǎng)絡(luò)順暢,不好的方向可以攔截任何他需要的資訊。
主持人:從今年開始,在病毒這邊應(yīng)該是說(shuō)黑客已經(jīng)從最早的表現(xiàn)欲,已經(jīng)轉(zhuǎn)變成有目的性的盈利的目標(biāo),也就是說(shuō),ARP欺騙很可能被成為黑客盈利的手段。
張建清:你怎么樣發(fā)生ARP欺騙的狀況,我們必須從原理開始講。最簡(jiǎn)單的就是叫做ARP跟IP地址的對(duì)照表。我們有一些文章描述到,你可以對(duì)這個(gè)網(wǎng)絡(luò)進(jìn)行掃描。像這個(gè)ARP的對(duì)照表,可以對(duì)這個(gè)網(wǎng)絡(luò)進(jìn)行掃描。當(dāng)你發(fā)現(xiàn)某一個(gè)對(duì)應(yīng)IP地址的話,正常是一對(duì)一的關(guān)系,如果發(fā)現(xiàn)一對(duì)多的方式那就是異常的情況。回到我們剛剛講的,預(yù)防ARP。我們必須建立地址跟IP的固定關(guān)系。因?yàn)樗鼤?huì)欺騙你。我們現(xiàn)在所謂綁定的功能,我們剛才講了有兩個(gè)方向做綁定,一個(gè)是路由器的部分,你必須把內(nèi)部的所有的機(jī)器,IP地址做一個(gè)綁定。我們想了一些功能,可以讓它作后面做激活的動(dòng)作把它綁定。
很多用戶發(fā)現(xiàn)我只要在路由器這邊做好了就行了,在終端這邊就不用做了。但是這樣的話,會(huì)發(fā)生部分的現(xiàn)象。所以在用戶這邊有所謂的ARP—S的功能,你把你的路由器的位置,也做綁定。這樣送給路由器的包就不會(huì)被別人攔截去。我們剛才談到了兩個(gè)方向,一個(gè)是所謂的路由器端做綁定,就是所有機(jī)器的IP地址。另外是用戶端也要綁定,綁的是路由器的IP,跟路由器的地址。實(shí)際上我們最近發(fā)現(xiàn)另外一個(gè)現(xiàn)象,就是對(duì)于中毒的這臺(tái)機(jī)器還有另外的處理方式。中毒的這臺(tái)機(jī)器,雖然你針對(duì)每臺(tái)機(jī)器綁定,但是這個(gè)設(shè)定從開機(jī)以后,就失效了。所以我們建議用戶把它寫到啟動(dòng)的檔案里面。每次開機(jī)的時(shí)候激活這個(gè)功能。
另外中毒的這臺(tái)機(jī)器,雖然綁定了,但是它內(nèi)部已經(jīng)有病毒了。雖然綁定了,但是它可以每秒快速寫它的ARP。這時(shí)候他對(duì)別人沒(méi)有辦法造成危害。因?yàn)閯e人已經(jīng)把路由器跟這個(gè)機(jī)器的位置寫得很確定了。對(duì)這臺(tái)上網(wǎng)的人還是有很多的困擾。我們這種傳統(tǒng)的綁定功能可以給他快速的寫。寫到一秒兩百次這樣的速度。我們現(xiàn)在看到比較好的做法,就是把藏在里面的病毒去除掉,或者整個(gè)機(jī)器都要清理一下病毒。這是我們現(xiàn)在比較完整的處理方式。
主持人:真的是很精彩的解答。如果我只對(duì)我個(gè)人的PC機(jī)做了綁定,路由那端沒(méi)有做綁定,還會(huì)不會(huì)受到ARP欺騙?
張建清:在個(gè)人這邊做綁定,你可以確保你往路由送的包,確定會(huì)送到路由這邊去。但是路由送回來(lái)的時(shí)候,他可以在半路攔截。告訴你路由器不要送給它,送給我吧。就把這個(gè)包攔截過(guò)去了。所以我們剛才談到要雙向的包要嚴(yán)密。現(xiàn)在有些網(wǎng)吧如果做單方面的綁定是不行的。
主持人:很多人認(rèn)為我一邊綁定就可以了,實(shí)際上還是需要雙方相的綁定。河北前一段時(shí)間某公司,采用了貴公司的產(chǎn)品,和網(wǎng)吧結(jié)合出現(xiàn)了一些問(wèn)題。請(qǐng)問(wèn)有一些什么具體的問(wèn)題嗎?
張建清:在早期的路由器的版本里面,也許沒(méi)有這樣的綁定的功能。所以它就會(huì)產(chǎn)生掉線或者不穩(wěn)定的狀況。
主持人:看來(lái)防范ARP還不是說(shuō)用戶個(gè)人的行為能夠解決的,還需要網(wǎng)管和用戶一起來(lái)解決。
張建清:這個(gè)對(duì)網(wǎng)管而言是比較全面、頭疼的工作。其實(shí)對(duì)于網(wǎng)管而言比較復(fù)雜的地方在這邊,就是你如果一次把所有局域網(wǎng)上的IP地址找出來(lái)的話,你必須要借助一些工具。不是現(xiàn)成的機(jī)器就可以做的。必須在網(wǎng)絡(luò)上下載。就是msn chat sniffer,或者其他的工具。還有一些行動(dòng)的工作者,比如筆記本電腦來(lái)了,你沒(méi)有設(shè)在里面,這臺(tái)就發(fā)生了這樣的問(wèn)題。
主持人:不光是技術(shù)的問(wèn)題,還牽涉到安全管理的問(wèn)題。所以說(shuō)ARP欺騙可以說(shuō)是無(wú)法徹底解決的問(wèn)題。可以這么說(shuō)嗎?
張建清:在網(wǎng)絡(luò)上有人提到,這個(gè)是在協(xié)議上的弱點(diǎn)。但是我想說(shuō)從技術(shù)的觀點(diǎn)來(lái)講,實(shí)際上有不同的方案可以解決。在一些做路由器產(chǎn)品或者相關(guān)軟件的,或者做防毒的,大家都可以針對(duì)這個(gè)特性。早期大家不是很了解,慢慢大家針對(duì)剛剛的特性,就是所有IP地址的綁定,你去給它更好的局限。在早期因?yàn)楹荛_放,所以我在廣播。但是因?yàn)榘l(fā)生這樣的問(wèn)題,所以將來(lái)不管在嵌入的時(shí)候,或者在網(wǎng)絡(luò)上廣播的時(shí)候,不同的軟件會(huì)做更多的規(guī)范,會(huì)降低這樣的現(xiàn)象。
主持人:謝謝張先生精彩的發(fā)言。我們中場(chǎng)休息一下。我們?cè)偈占幌戮W(wǎng)友的提問(wèn),下半節(jié)請(qǐng)張先生回答。
