【合肥清默】浅析vps为何这么脆弱，彻底防御ARP攻击？

王娜

上午在t00ls看到vps攻击方法，那我就来说下vps为什么这么脆弱吧，仅代表个人想法，不是很全面，欢迎各种牛补充。

一说起vps大家都会联想到“廉价的服务器”、可以防止被跨站（和虚拟空间对比）、拥有独立的控制主机的权限、可以自由安装第三方软件等等好处，这里就不一一举例了。

众所周知vps是从是服务器上虚拟出来的，但是即使是虚拟出来的，每个VPS都可分配独立公网IP地址、独立操作系统、独立超大空间、独立内存、独立CPU资源、独立执行程序和独立系统配置等。

最近几天某个黑客小组针对国内安全站点、黑客站点进行了大规模的ARP攻击，根据了解：90sec、t00ls使用的均是vps，值得欣慰的是两站都有ssl（即https），在安全性上有提升；t00ls在被ARP劫持时大家看到的被劫持的页面是http但并不是htpps，这就是ssl的优势所在。

可能有的朋友会说可以在vps上用arptables+策略来防御arp。其实个人感觉这样设置和windows平台上装软件arp防火墙的效果是一样的，只要发的包够大够快，那么arp防火墙那就可以直接无视或者穿透。常用arp劫持人家首页的黑阔们可能更加了解这么对付这些arp防火墙，一个用于发包一个用于嗅探，这样arp防火墙就来不及处理这些包，那么就达到了劫持的目的。（即使是机房在交换机绑定mac和ip的情况下也是可以达到欺骗效果的）

大多数arp防火墙是基于NDIS中间层驱动模式，在这里要说的是大多数vps并不拥有系统底层驱动的权限，这就是为什么t00ls说vps一被DDOS就挂，一被ARP就休克的原因（可能也有其他原因）。那些所有的高防VPS其实靠的是机房硬防。

那么到底有没有方法彻底防御ARP攻击？在这里我的回答是：没用绝对的防御，尤其是在vps上进行防御arp。

有的朋友会选择CDN，这的确是一个不错的选择，只要你的节点够多！另外也要推荐的是“云防火墙”，配合cdn使用效果会更好些，可以减少一些风险。