主持人:大家好，這里是IT專家網，今天Webcast的主題是ARP欺騙，騙的是什么?很高興邀請到我們的嘉賓俠諾Qno張建清先生，為我們解答問題。先請張先生做一下自我介紹。

　　張建清:謝謝主持人，我是俠諾科技營銷總監。我從1996年小路由的時代，就開始做小路由產品的研發，在這中間歷經的路由器，因為寬帶的興起，被市場接受。無線的路由器也開始了興起。現在我們專門提供了多由路由器的方案推向市場。

　　主持人:他的title雖然是營銷總監，但是也有深厚的功底，相信他今天給我們帶來精采的解答。

　　前一段時間，有一件事情被炒得非?；馃?，就是MSN被監聽。實際上媒體也對MSN的監聽軟件做了報告，實際上它并不是非常容易被使用。但是網上后來又出了叫停類的文章，是說MSN Messenger是配合ARP欺騙軟件，就起到了它原本應該有的作用。我們想問一下張先生，ARP欺騙到底是什么樣的技術?

　　張建清:ARP欺騙我們必須從它的名詞來講。ARP欺騙它是一個地址解讀的協議。地址解讀協議是什么意思呢?在我們互聯網上面，最常用的協議是TCPIP，就是傳輸的協議。IP就是所謂定址的協議。好比我們用哪一棟大樓，在什么地方，在網絡上就是使用IP地址來定的。但是在實體上，我們大家都知道，在每一臺電腦上都有實體的地址。IP地址是網絡的一個地址。ARP就是讓這兩個地址跟IP地址產生關聯的一個協議。也就是說，我怎么知道哪一臺IP在什么位置呢?就是透過ARP去先地方他的IP地方在哪里，再把這個偵發過去。像MSN是怎么欺騙的呢?在局域網里面，我這個偵或者這個包本來要發到某一個IP，這個IP對的機器是A機器。它騙你這個IP對應的是第一臺機器。你就以為這個包要發到另外一臺機器去。這就是所謂ARP欺騙的基本想法和思維。

　　主持人:ARP欺騙對于我們局域網的一些應用看來是很危險的。

　　張建清:我從各地，從東莞，溫州、寧波，在中國，普遍發現ARP欺騙影響，在早期是網吧。它就是讓這個網吧掉線。其實我們早期發現的時候，剛剛主持人講的一些應用就是所謂的MSN監聽。在所謂的MSN，并沒有做特殊的加密。有些人就想了一些機制去監聽。其實ARP最早的應用就是在網絡上盜取密碼的。就是有一些在網吧里的用戶，用ARP欺騙。另外一個用戶在輸入用戶名和密碼的時候，就欺騙他的這臺機器說，我的機器是路由器，他會把用戶名的密碼送到我這臺機器里面。他就可以把這個用戶名和密碼解讀出來。等用戶沒有上網的時候，他就可以把這個寶盜走。后來慢慢我們發現，很多用戶用這個功能，在這個上面做了很多的隱身，變得一發不可收拾。本來我大概可以用三秒、五秒，后來就產生了很多隱身和變形，造成網斷線。因為應用的軟件失控了，他就可以在某一臺機器上不斷做這個欺騙的動作。

　　主持人:ARP欺騙軟件運行同時，為什么會造成頻繁的斷線呢?

　　張建清:在我們以局域網運作來講，我們有兩種方式的傳輸。一種對外傳，就是我的用戶有一個需求，他透過路由器對外界傳送。這個時候，這是一種。另外一種是回傳。當有用戶在網絡上假裝他自己是路由器的時候，用戶往外傳的包或者偵就會送到假的用戶去。這個軟件就會有一來、一回持續的運作。當你今天碰到ARP欺騙的時候，你就會發現你送去給他，他那邊沒有回應。用戶就覺得是掉線或者斷線。嚴重的時候，就會把其他的應用，也沒有辦法應用了。所以就感覺到大幅度掉線或者斷線的功能。

　　主持人:實際上就是造成斷線的假象。

　　張建清:實際上也真的斷線了。就像我今天跟你在講話，但是你聽不到我講話的聲音。我的服務器也不知道我在跟他講什么話。另外一個人聽到話，只是把它竊取下來，記錄下來，并沒有給我回應。就是這樣的現象。

　　主持人:剛才也說老了ARP欺騙最早可以用于盜取用戶的一些密碼、一些敏感信息。現在我們知道，所有未加密的傳送的軟件，都應用配合一些應用工具監聽的。能不能再給我們介紹一下，配合ARP欺騙使用，還有什么所謂的黑客行為呢?

　　張建清:盜寶是最主要的，另外就是監聽。當ARP欺騙，可能配合其他的一些軟件功能這樣子的。我們發現，在局域網里面，想盜取一些ARP，或者無線網絡里面，基本上都是用局域網的特性叫廣播。廣播，像我們剛才提到的ARP欺騙為什么可以成型?在每一個計算機里面，都存了一個IP地址的對應表。但是每臺機器的內存有限，當這個表不夠的時候，會傳一個廣播信息。比如今天我要送給一個IP地址，我就問這個IP在哪里?問出來，所有人都會接受。假如在標準正常的運作里面，大家知道我不是這個，我不用回應。但是路由器知道，這個東西不是這個網域里面，不用送。如果是假裝這個IP地址的話，你就會產生一種誤解。其實這種比較重大的威脅，我們看到無線這邊，有人利用這個特性，做一些相關的動作。

　　主持人:也就是說，在無線或者有限的局域網里面，你所做的一些行為，都可以用黑客軟件配合ARP監控軟件進行欺騙，截取。

　　張建清:有一些比較低階段的應用就是所謂的監聽。如果在對于這些軟件做進一步的分析，比如我這個軟件送的時候是什么需求，回來的時候是什么需求。他可以用另外一個目標把你所有的動作都攔截回去。如果今天對方知道，像一個交易，他知道第一筆是什么，第二筆是什么，他把所有的資料都送過去。他也可以把你的訊息攔截走，再轉送到服務器，再轉送回來。這樣的隱身就變成了蠻復雜的狀況在應用。這也是各地對ARP效果影響越來越大的原因。

　　主持人:這個是一般用戶來說，也是蠻頭疼的問題。

　　張建清:用戶因為不小心，用了一些軟件，或者在PC里面點了一些MSN的連接等等，把這個程序啟動了，他會發現自己漸漸受到了影響。像今天早上我們的技術支持跟我們說，湖北一些網吧，幾乎沒有人上網了。因為上不了網。

　　主持人:像有這種加密的軟件傳送，信息也是能被黑客截取。只是截取后看不到內容?

　　張建清:是的。

　　主持人:前一陣子出有一個msn chat sniffer這樣的軟件，發現每一臺機器都受到了掃描攻擊。后來我們分析，是中了病毒還是木馬這類東西呢?

　　張建清:其實在早期里面，ARP的很多功能，像陀螺儀木馬這樣的功能期在一起。在早期的ARP，只是黑客用來盜取密碼，用了三、五秒鐘。當你輸入用戶名和密碼的時候，另外一個用戶發現沒有回應，他會再輸一次。但是因為這些ARP的功能跟其他的木馬或者其他的城市，或者網絡上的連接、病毒結合在一起，所以造成很大規模的影響，斷線或者掉線。像你剛剛提到的狀況，這個用戶可能不知道自己在做這樣的事情，這是典型的病毒，這是病毒跟ARP結合的典型現象。

　　主持人:他能通過ARP欺騙的病毒做什么呢?

　　張建清:ARP欺騙的病毒做到現在，對于制作的人或者散布的人沒有什么太大的作用，純粹是破壞的工具。因為ARP可以收集網絡上廣播的包，如果進一步的應用，肯定會有很多的黑客在思考這個問題。因為網絡上的特性屬于來回，屬于協議這樣的狀況，如果你好好利用，好的方向能保持網絡順暢，不好的方向可以攔截任何他需要的資訊。

　　主持人:從今年開始，在病毒這邊應該是說黑客已經從最早的表現欲，已經轉變成有目的性的盈利的目標，也就是說，ARP欺騙很可能被成為黑客盈利的手段。

　　張建清:你怎么樣發生ARP欺騙的狀況，我們必須從原理開始講。最簡單的就是叫做ARP跟IP地址的對照表。我們有一些文章描述到，你可以對這個網絡進行掃描。像這個ARP的對照表，可以對這個網絡進行掃描。當你發現某一個對應IP地址的話，正常是一對一的關系，如果發現一對多的方式那就是異常的情況?；氐轿覀儎倓傊v的，預防ARP。我們必須建立地址跟IP的固定關系。因為它會欺騙你。我們現在所謂綁定的功能，我們剛才講了有兩個方向做綁定，一個是路由器的部分，你必須把內部的所有的機器，IP地址做一個綁定。我們想了一些功能，可以讓它作后面做激活的動作把它綁定。

　　很多用戶發現我只要在路由器這邊做好了就行了，在終端這邊就不用做了。但是這樣的話，會發生部分的現象。所以在用戶這邊有所謂的ARP—S的功能，你把你的路由器的位置，也做綁定。這樣送給路由器的包就不會被別人攔截去。我們剛才談到了兩個方向，一個是所謂的路由器端做綁定，就是所有機器的IP地址。另外是用戶端也要綁定，綁的是路由器的IP，跟路由器的地址。實際上我們最近發現另外一個現象，就是對于中毒的這臺機器還有另外的處理方式。中毒的這臺機器，雖然你針對每臺機器綁定，但是這個設定從開機以后，就失效了。所以我們建議用戶把它寫到啟動的檔案里面。每次開機的時候激活這個功能。

　　另外中毒的這臺機器，雖然綁定了，但是它內部已經有病毒了。雖然綁定了，但是它可以每秒快速寫它的ARP。這時候他對別人沒有辦法造成危害。因為別人已經把路由器跟這個機器的位置寫得很確定了。對這臺上網的人還是有很多的困擾。我們這種傳統的綁定功能可以給他快速的寫。寫到一秒兩百次這樣的速度。我們現在看到比較好的做法，就是把藏在里面的病毒去除掉，或者整個機器都要清理一下病毒。這是我們現在比較完整的處理方式。

　　主持人:真的是很精彩的解答。如果我只對我個人的PC機做了綁定，路由那端沒有做綁定，還會不會受到ARP欺騙?

　　張建清:在個人這邊做綁定，你可以確保你往路由送的包，確定會送到路由這邊去。但是路由送回來的時候，他可以在半路攔截。告訴你路由器不要送給它，送給我吧。就把這個包攔截過去了。所以我們剛才談到要雙向的包要嚴密?，F在有些網吧如果做單方面的綁定是不行的。

　　主持人:很多人認為我一邊綁定就可以了，實際上還是需要雙方相的綁定。河北前一段時間某公司，采用了貴公司的產品，和網吧結合出現了一些問題。請問有一些什么具體的問題嗎?

　　張建清:在早期的路由器的版本里面，也許沒有這樣的綁定的功能。所以它就會產生掉線或者不穩定的狀況。

　　主持人:看來防范ARP還不是說用戶個人的行為能夠解決的，還需要網管和用戶一起來解決。

　　張建清:這個對網管而言是比較全面、頭疼的工作。其實對于網管而言比較復雜的地方在這邊，就是你如果一次把所有局域網上的IP地址找出來的話，你必須要借助一些工具。不是現成的機器就可以做的。必須在網絡上下載。就是msn chat sniffer，或者其他的工具。還有一些行動的工作者，比如筆記本電腦來了，你沒有設在里面，這臺就發生了這樣的問題。

　　主持人:不光是技術的問題，還牽涉到安全管理的問題。所以說ARP欺騙可以說是無法徹底解決的問題?？梢赃@么說嗎?

　　張建清:在網絡上有人提到，這個是在協議上的弱點。但是我想說從技術的觀點來講，實際上有不同的方案可以解決。在一些做路由器產品或者相關軟件的，或者做防毒的，大家都可以針對這個特性。早期大家不是很了解，慢慢大家針對剛剛的特性，就是所有IP地址的綁定，你去給它更好的局限。在早期因為很開放，所以我在廣播。但是因為發生這樣的問題，所以將來不管在嵌入的時候，或者在網絡上廣播的時候，不同的軟件會做更多的規范，會降低這樣的現象。

　　主持人:謝謝張先生精彩的發言。我們中場休息一下。我們再收集一下網友的提問，下半節請張先生回答。