张建清:谢谢主持人,我是侠诺科技营销总监。我从1996年小路由的时代,就开始做小路由产品的研发,在这中间历经的路由器,因为宽带的兴起,被市场接受。无线的路由器也开始了兴起。现在我们专门提供了多由路由器的方案推向市场。
主持人:他的title虽然是营销总监,但是也有深厚的功底,相信他今天给我们带来精采的解答。
前一段时间,有一件事情被炒得非常火热,就是MSN被监听。实际上媒体也对MSN的监听软件做了报告,实际上它并不是非常容易被使用。但是网上后来又出了叫停类的文章,是说MSN Messenger是配合ARP欺骗软件,就起到了它原本应该有的作用。我们想问一下张先生,ARP欺骗到底是什么样的技术?
张建清:ARP欺骗我们必须从它的名词来讲。ARP欺骗它是一个地址解读的协议。地址解读协议是什么意思呢?在我们互联网上面,最常用的协议是TCPIP,就是传输的协议。IP就是所谓定址的协议。好比我们用哪一栋大楼,在什么地方,在网络上就是使用IP地址来定的。但是在实体上,我们大家都知道,在每一台电脑上都有实体的地址。IP地址是网络的一个地址。ARP就是让这两个地址跟IP地址产生关联的一个协议。也就是说,我怎么知道哪一台IP在什么位置呢?就是透过ARP去先地方他的IP地方在哪里,再把这个侦发过去。像MSN是怎么欺骗的呢?在局域网里面,我这个侦或者这个包本来要发到某一个IP,这个IP对的机器是A机器。它骗你这个IP对应的是第一台机器。你就以为这个包要发到另外一台机器去。这就是所谓ARP欺骗的基本想法和思维。
主持人:ARP欺骗对于我们局域网的一些应用看来是很危险的。
张建清:我从各地,从东莞,温州、宁波,在中国,普遍发现ARP欺骗影响,在早期是网吧。它就是让这个网吧掉线。其实我们早期发现的时候,刚刚主持人讲的一些应用就是所谓的MSN监听。在所谓的MSN,并没有做特殊的加密。有些人就想了一些机制去监听。其实ARP最早的应用就是在网络上盗取密码的。就是有一些在网吧里的用户,用ARP欺骗。另外一个用户在输入用户名和密码的时候,就欺骗他的这台机器说,我的机器是路由器,他会把用户名的密码送到我这台机器里面。他就可以把这个用户名和密码解读出来。等用户没有上网的时候,他就可以把这个宝盗走。后来慢慢我们发现,很多用户用这个功能,在这个上面做了很多的隐身,变得一发不可收拾。本来我大概可以用三秒、五秒,后来就产生了很多隐身和变形,造成网断线。因为应用的软件失控了,他就可以在某一台机器上不断做这个欺骗的动作。
主持人:ARP欺骗软件运行同时,为什么会造成频繁的断线呢?
张建清:在我们以局域网运作来讲,我们有两种方式的传输。一种对外传,就是我的用户有一个需求,他透过路由器对外界传送。这个时候,这是一种。另外一种是回传。当有用户在网络上假装他自己是路由器的时候,用户往外传的包或者侦就会送到假的用户去。这个软件就会有一来、一回持续的运作。当你今天碰到ARP欺骗的时候,你就会发现你送去给他,他那边没有回应。用户就觉得是掉线或者断线。严重的时候,就会把其他的应用,也没有办法应用了。所以就感觉到大幅度掉线或者断线的功能。
主持人:实际上就是造成断线的假象。
张建清:实际上也真的断线了。就像我今天跟你在讲话,但是你听不到我讲话的声音。我的服务器也不知道我在跟他讲什么话。另外一个人听到话,只是把它窃取下来,记录下来,并没有给我回应。就是这样的现象。
主持人:刚才也说老了ARP欺骗最早可以用于盗取用户的一些密码、一些敏感信息。现在我们知道,所有未加密的传送的软件,都应用配合一些应用工具监听的。能不能再给我们介绍一下,配合ARP欺骗使用,还有什么所谓的黑客行为呢?
张建清:盗宝是最主要的,另外就是监听。当ARP欺骗,可能配合其他的一些软件功能这样子的。我们发现,在局域网里面,想盗取一些ARP,或者无线网络里面,基本上都是用局域网的特性叫广播。广播,像我们刚才提到的ARP欺骗为什么可以成型?在每一个计算机里面,都存了一个IP地址的对应表。但是每台机器的内存有限,当这个表不够的时候,会传一个广播信息。比如今天我要送给一个IP地址,我就问这个IP在哪里?问出来,所有人都会接受。假如在标准正常的运作里面,大家知道我不是这个,我不用回应。但是路由器知道,这个东西不是这个网域里面,不用送。如果是假装这个IP地址的话,你就会产生一种误解。其实这种比较重大的威胁,我们看到无线这边,有人利用这个特性,做一些相关的动作。
主持人:也就是说,在无线或者有限的局域网里面,你所做的一些行为,都可以用黑客软件配合ARP监控软件进行欺骗,截取。
张建清:有一些比较低阶段的应用就是所谓的监听。如果在对于这些软件做进一步的分析,比如我这个软件送的时候是什么需求,回来的时候是什么需求。他可以用另外一个目标把你所有的动作都拦截回去。如果今天对方知道,像一个交易,他知道第一笔是什么,第二笔是什么,他把所有的资料都送过去。他也可以把你的讯息拦截走,再转送到服务器,再转送回来。这样的隐身就变成了蛮复杂的状况在应用。这也是各地对ARP效果影响越来越大的原因。
主持人:这个是一般用户来说,也是蛮头疼的问题。
张建清:用户因为不小心,用了一些软件,或者在PC里面点了一些MSN的连接等等,把这个程序启动了,他会发现自己渐渐受到了影响。像今天早上我们的技术支持跟我们说,湖北一些网吧,几乎没有人上网了。因为上不了网。
主持人:像有这种加密的软件传送,信息也是能被黑客截取。只是截取后看不到内容?
张建清:是的。
主持人:前一阵子出有一个msn chat sniffer这样的软件,发现每一台机器都受到了扫描攻击。后来我们分析,是中了病毒还是木马这类东西呢?
张建清:其实在早期里面,ARP的很多功能,像陀螺仪木马这样的功能期在一起。在早期的ARP,只是黑客用来盗取密码,用了三、五秒钟。当你输入用户名和密码的时候,另外一个用户发现没有回应,他会再输一次。但是因为这些ARP的功能跟其他的木马或者其他的城市,或者网络上的连接、病毒结合在一起,所以造成很大规模的影响,断线或者掉线。像你刚刚提到的状况,这个用户可能不知道自己在做这样的事情,这是典型的病毒,这是病毒跟ARP结合的典型现象。
主持人:他能通过ARP欺骗的病毒做什么呢?
张建清:ARP欺骗的病毒做到现在,对于制作的人或者散布的人没有什么太大的作用,纯粹是破坏的工具。因为ARP可以收集网络上广播的包,如果进一步的应用,肯定会有很多的黑客在思考这个问题。因为网络上的特性属于来回,属于协议这样的状况,如果你好好利用,好的方向能保持网络顺畅,不好的方向可以拦截任何他需要的资讯。
主持人:从今年开始,在病毒这边应该是说黑客已经从最早的表现欲,已经转变成有目的性的盈利的目标,也就是说,ARP欺骗很可能被成为黑客盈利的手段。
张建清:你怎么样发生ARP欺骗的状况,我们必须从原理开始讲。最简单的就是叫做ARP跟IP地址的对照表。我们有一些文章描述到,你可以对这个网络进行扫描。像这个ARP的对照表,可以对这个网络进行扫描。当你发现某一个对应IP地址的话,正常是一对一的关系,如果发现一对多的方式那就是异常的情况。回到我们刚刚讲的,预防ARP。我们必须建立地址跟IP的固定关系。因为它会欺骗你。我们现在所谓绑定的功能,我们刚才讲了有两个方向做绑定,一个是路由器的部分,你必须把内部的所有的机器,IP地址做一个绑定。我们想了一些功能,可以让它作后面做激活的动作把它绑定。
很多用户发现我只要在路由器这边做好了就行了,在终端这边就不用做了。但是这样的话,会发生部分的现象。所以在用户这边有所谓的ARP—S的功能,你把你的路由器的位置,也做绑定。这样送给路由器的包就不会被别人拦截去。我们刚才谈到了两个方向,一个是所谓的路由器端做绑定,就是所有机器的IP地址。另外是用户端也要绑定,绑的是路由器的IP,跟路由器的地址。实际上我们最近发现另外一个现象,就是对于中毒的这台机器还有另外的处理方式。中毒的这台机器,虽然你针对每台机器绑定,但是这个设定从开机以后,就失效了。所以我们建议用户把它写到启动的档案里面。每次开机的时候激活这个功能。
另外中毒的这台机器,虽然绑定了,但是它内部已经有病毒了。虽然绑定了,但是它可以每秒快速写它的ARP。这时候他对别人没有办法造成危害。因为别人已经把路由器跟这个机器的位置写得很确定了。对这台上网的人还是有很多的困扰。我们这种传统的绑定功能可以给他快速的写。写到一秒两百次这样的速度。我们现在看到比较好的做法,就是把藏在里面的病毒去除掉,或者整个机器都要清理一下病毒。这是我们现在比较完整的处理方式。
主持人:真的是很精彩的解答。如果我只对我个人的PC机做了绑定,路由那端没有做绑定,还会不会受到ARP欺骗?
张建清:在个人这边做绑定,你可以确保你往路由送的包,确定会送到路由这边去。但是路由送回来的时候,他可以在半路拦截。告诉你路由器不要送给它,送给我吧。就把这个包拦截过去了。所以我们刚才谈到要双向的包要严密。现在有些网吧如果做单方面的绑定是不行的。
主持人:很多人认为我一边绑定就可以了,实际上还是需要双方相的绑定。河北前一段时间某公司,采用了贵公司的产品,和网吧结合出现了一些问题。请问有一些什么具体的问题吗?
张建清:在早期的路由器的版本里面,也许没有这样的绑定的功能。所以它就会产生掉线或者不稳定的状况。
主持人:看来防范ARP还不是说用户个人的行为能够解决的,还需要网管和用户一起来解决。
张建清:这个对网管而言是比较全面、头疼的工作。其实对于网管而言比较复杂的地方在这边,就是你如果一次把所有局域网上的IP地址找出来的话,你必须要借助一些工具。不是现成的机器就可以做的。必须在网络上下载。就是msn chat sniffer,或者其他的工具。还有一些行动的工作者,比如笔记本电脑来了,你没有设在里面,这台就发生了这样的问题。
主持人:不光是技术的问题,还牵涉到安全管理的问题。所以说ARP欺骗可以说是无法彻底解决的问题。可以这么说吗?
张建清:在网络上有人提到,这个是在协议上的弱点。但是我想说从技术的观点来讲,实际上有不同的方案可以解决。在一些做路由器产品或者相关软件的,或者做防毒的,大家都可以针对这个特性。早期大家不是很了解,慢慢大家针对刚刚的特性,就是所有IP地址的绑定,你去给它更好的局限。在早期因为很开放,所以我在广播。但是因为发生这样的问题,所以将来不管在嵌入的时候,或者在网络上广播的时候,不同的软件会做更多的规范,会降低这样的现象。
主持人:谢谢张先生精彩的发言。我们中场休息一下。我们再收集一下网友的提问,下半节请张先生回答。