ARP攻击专家介绍切断传播途径六招

编者按:对于SARS等劣性传染病,除治疗以外,最重要的当属切断传播途径,进行隔离。面对ARP攻击,这种方法同样非常有效。

专家会诊概要:

1、通过VLAN阻断ARP病毒

病例一:可以给每台PC划分独立VLAN的情况

2、通过接入层阻断ARP病毒

病例二:可采用"防ARP攻击"接入交换机的情况

病例三:可采用"接入和核心交换机联动"的情况

3、通过核心层阻断ARP病毒

病例四:可采用 "防ARP攻击"核心交换机的情况

4、通过出口网管阻断ARP病毒

病例五:采用支持"防ARP攻击"的出口路由器

5、其它阻断ARP病毒的方案

病例六:短期内无法改变网络设备现状的情况

方案一、对网络划分独立VLAN来隔离

如果一个网络部署时,能够要求每台PC被划分在各自独立的VLAN中。例如,在酒店中通常就可以给每个客房的PC配置独立的VLAN ID。这样,即使某台PC终端感染了ARP病毒,那它也无法攻击其它VLAN中的PC和网络设备。下面是H3C相应的详细解决方案。

解决方案要点:

" 为每个PC终端或服务器配置独立VLAN ID,隔离相互间的ARP协议。

" 如果VLAN是配置在核心交换机和接入交换机上,可以进一步部署"核心层防ARP病毒攻击方案"实现全面防御,详见下文相关部分介绍。

" 如果VLAN是配置在路由器和接入交换机上,可以进一步部署"路由器防ARP病毒攻击方案"实现全面防御,详见下文相关部分介绍。

方案局限性:

如果组网能满足这种要求,就可以采用比较低端的交换机,从接入层就全面地防范了ARP病毒攻击。

不过,这种方案对设备支持VLAN的性能要求较高,配置很多VLAN导致多网段管理复杂。另外,除了酒店之外,一般网络出于文件共享、应用程序间通信等客户要求,不可能实现每个PC划分一个VLAN,仅是对主要功能区部署VLAN隔离,因此该方案应用范围有特殊性,是特定应用场景下的完美解决方案。

方案二、部署"防ARP攻击"接入交换机

对有实力的企业或新建网络的企事业单位,最佳手段是全网部署"防ARP攻击"接入交换机,可以彻底地解决ARP病毒攻击问题,从接入层就过滤掉各种ARP欺骗报文。下面是H3C相应的详细解决方案。

情况一:局域网内PC动态分配IP地址,server静态分配地址

解决方案要点:

" 每台接入交换机启动DHCP Snooping

" 每台接入交换机启动ARP Detection

" 每台接入交换机配置静态ARP绑定表(仅需对服务器、网关的ARP表项进行绑定)

情况二:局域网内PC和server均静态分配地址

解决方案要点:

" 每台接入交换机配置静态ARP绑定(通过手工方式对每台PC、服务器、网关的ARP表项进行逐条绑定)

" 对于支持"一键绑定"的接入交换机,可以在其下挂PC终端都能正常上网时,一键配置将当前ARP绑定表设置为静态不可更改,简化ARP绑定表配置工作量。

方案局限性:

从接入层防范ARP攻击解决方案是一个完美的ARP病毒防御方案。但因为在接入层选用了较高档次的交换机设备,成本相对高些。

在实际组网中,可以根据网络各个区域的不同安全等级,将上述方案有机地结合在一起,从而实现既能完善地防范ARP病毒,又尽可能地节省设备投资。

例如,为了保留接入层防御的完美效果,又期望进一步降低投资,可以采用核心交换机和接入交换机联动防ARP攻击方案,在核心层采用较高档次的交换机设备,在接入层采用可联动防ARP攻击的简单交换机,通过核心交换机和接入交换机之间的联动,来实现防ARP攻击。这样一方面降低了成本,另一方面充分体现了智能网络的特点。下面是H3C相应的详细解决方案。

情况一:局域网内PC动态分配IP地址,server静态分配地址

解决方案要点:

" 核心交换机启动DHCP Snooping

" 核心交换机启动授权ARP

" 核心交换机配置静态ARP绑定(服务器、网关的ARP表)

" 启动核心交换机和接入交换机的ARP联动功能

" 每台接入交换机启动ARP攻击防护功能

情况二:局域网内PC和server均静态分配地址

解决方案要点:

" 核心交换机配置静态ARP绑定(服务器、网关的ARP表)

" 对于支持"一键绑定"的核心交换机,可以在其下挂PC终端都能正常上网时,一键配置将当前ARP绑定表设置为静态不可更改,简化ARP绑定表配置工作量。

" 启动核心交换机和接入交换机的ARP联动功能

" 每台接入交换机启动ARP攻击防护功能

方案局限性:

该方案也是一种从接入层全面防范ARP病毒攻击的完美方案,方案成本也较低,需要整网实施和部署。

方案三、部署"防ARP攻击"核心交换机

方案四、部署"防ARP攻击"出口网关路由器

对于网络预算比较紧张,无法采购"防ARP攻击"交换机方案进行防御,或者是不愿改变现有的局域网现状,可以部署支持"防ARP攻击"出口网关路由器,也能简单有效地防御ARP病毒攻击。下面是H3C相应的详细解决方案。

情况一:局域网内PC动态分配IP地址,server静态分配地址

解决方案要点:

" 路由器启动DHCP Server(如果局域网内安装了独立的DHCP 服务器,路由器也可以配置DHCP Relay)

" 路由器启动授权ARP

" 路由器配置静态ARP 绑定表(服务器、网关的ARP表)

" 网关和Server设置定期发送免费ARP,或者在每台PC机上配置网关和Server静态IP/MAC绑定。

情况二:局域网内PC和server均静态分配地址

解决方案要点:

" 路由器配置静态ARP 绑定表(PC、服务器、网关的ARP表)

" 对于支持"一键绑定"的路由器,可以在其下挂PC终端都能正常上网时,一键配置将当前ARP表设置为静态不可更改,简化ARP表配置工作量。

" 网关和Server设置定期发送免费ARP,或者在每台PC机上配置网关和Server静态IP/MAC绑定。

方案局限性:

这种方案能比较好地解决大部分ARP病毒攻击问题,各PC机上网、访问服务器都不会再有问题。 相比较"接入层交换机ARP病毒防御方案"成本低,但无法消除ARP病毒可能造成PC机之间不能通信的问题。

当采用静态分配地址时,相对于授权ARP表项的自动生成方式,静态ARP的表项是要将局域网内所有PC机、server、网关的ARP表项静态配置完成,网络变化时需要修改ARP表,维护工作量比较大。

方案五、应对短期内无法改变网络设备现状的情况

A)对于短期内无法改变网络设备现状,可以参考静态IP情况下的解决方案,进行手工方式全静态ARP绑定。也可以参考下面两种措施:

B)通过PC机上安装ARP防火墙的方案。ARP软件防火墙的原理是在PC机系统内核拦截接收到的虚假ARP数据包,拦截本机外发的ARP攻击数据包,并主动向网关路由器通告正确的MAC地址。可用于小型网络,在用户端比较多的情况下不利于管理和维护。不从网络设备入手其实是很难彻底防御ARP病毒攻击的。

C)抛弃ARP协议组网的方案。显然,如果整个局域网络都不采用ARP协议是能根除ARP病毒攻击的。网上一些文章谈到采用IPX、PPP方式防ARP病毒,这些方法需要改变网络结构,实际上很难实施,此处不做详述。

还有一种PPPOE方案,原理是将出口路由器改变成 PPPOE 服务器的模式带PC客户机器上网。这种方案不使用ARP协议,也就不会有任何ARP病毒的风险,而且PPPOE不会改变原来的局域网拓扑结构,它是在802.3的基础上的二次封装数据包,实施起来相对简单。在路由器端设置为PPPOE服务器即可。PC客户机Windows操作系统上已经默认带有PPPOE客户端的拨号方式。可以通过建立脚本的方式,让Windows开机时自动拨号建立上网连接。

由于ARP协议给以太网建设带来了极大的便利性,抛弃ARP协议对大中型网络是不现实,不过对小型网络也是可以尝试这种方案的。H3C系列路由器都支持此种方案,不过考虑到PPPOE对路由器性能要求很高,推荐选用较高性能的路由器。

对于网络预算比较紧张,无法在接入层部署ARP病毒防御的用户,可以部署支持"防ARP攻击"的核心交换机。下面是H3C相应的详细解决方案。

情况一:局域网内PC动态分配IP地址,server静态分配地址

解决方案要点:

" 核心交换机启动DHCP Relay

" 核心交换机启动授权ARP

" 核心交换机配置静态ARP 绑定表(仅针对服务器、网关的ARP表)

" 网关和Server设置定期发送免费ARP,或者在每台PC机上配置网关和Server静态IP/MAC绑定。

情况二:局域网内PC和server均静态分配地址

解决方案要点:

" 核心交换机配置静态ARP 绑定表(PC、服务器、网关的ARP表)

" 对于支持"一键绑定"的核心交换机,可以在其下挂PC终端都能正常上网时,一键配置将当前ARP绑定表设置为静态不可更改,简化ARP绑定表配置工作量。

" 网关和Server设置定期发送免费ARP,或者在每台PC机上配置网关和Server静态IP/MAC绑定。

方案局限性:

这种方案能比较好地解决大部分ARP病毒攻击问题,各PC机上网、访问服务器都不会再有问题。 相比较"接入层交换机ARP病毒防御方案"成本低,但无法消除ARP病毒可能造成PC机之间不能通信的问题。

当采用静态分配地址时,相对于授权ARP表项的自动生成方式,静态ARP的表项是要将局域网内所有PC机、server、网关的ARP表项静态配置完成,网络变化时需要修改ARP表,维护工作量比较大。

编者按:对于SARS等劣性传染病,除治疗以外,最重要的当属切断传播途径,进行隔离。面对ARP攻击,这种方法同样非常有效。

专家会诊概要:

1、通过VLAN阻断ARP病毒

病例一:可以给每台PC划分独立VLAN的情况

2、通过接入层阻断ARP病毒

病例二:可采用"防ARP攻击"接入交换机的情况

病例三:可采用"接入和核心交换机联动"的情况

3、通过核心层阻断ARP病毒

病例四:可采用 "防ARP攻击"核心交换机的情况

4、通过出口网管阻断ARP病毒

病例五:采用支持"防ARP攻击"的出口路由器

5、其它阻断ARP病毒的方案

病例六:短期内无法改变网络设备现状的情况

方案一、对网络划分独立VLAN来隔离

如果一个网络部署时,能够要求每台PC被划分在各自独立的VLAN中。例如,在酒店中通常就可以给每个客房的PC配置独立的VLAN ID。这样,即使某台PC终端感染了ARP病毒,那它也无法攻击其它VLAN中的PC和网络设备。下面是H3C相应的详细解决方案。

解决方案要点:

" 为每个PC终端或服务器配置独立VLAN ID,隔离相互间的ARP协议。

" 如果VLAN是配置在核心交换机和接入交换机上,可以进一步部署"核心层防ARP病毒攻击方案"实现全面防御,详见下文相关部分介绍。

" 如果VLAN是配置在路由器和接入交换机上,可以进一步部署"路由器防ARP病毒攻击方案"实现全面防御,详见下文相关部分介绍。

方案局限性:

如果组网能满足这种要求,就可以采用比较低端的交换机,从接入层就全面地防范了ARP病毒攻击。

不过,这种方案对设备支持VLAN的性能要求较高,配置很多VLAN导致多网段管理复杂。另外,除了酒店之外,一般网络出于文件共享、应用程序间通信等客户要求,不可能实现每个PC划分一个VLAN,仅是对主要功能区部署VLAN隔离,因此该方案应用范围有特殊性,是特定应用场景下的完美解决方案。

方案二、部署"防ARP攻击"接入交换机

对有实力的企业或新建网络的企事业单位,最佳手段是全网部署"防ARP攻击"接入交换机,可以彻底地解决ARP病毒攻击问题,从接入层就过滤掉各种ARP欺骗报文。下面是H3C相应的详细解决方案。

情况一:局域网内PC动态分配IP地址,server静态分配地址

解决方案要点:

" 每台接入交换机启动DHCP Snooping

" 每台接入交换机启动ARP Detection

" 每台接入交换机配置静态ARP绑定表(仅需对服务器、网关的ARP表项进行绑定)

情况二:局域网内PC和server均静态分配地址

解决方案要点:

" 每台接入交换机配置静态ARP绑定(通过手工方式对每台PC、服务器、网关的ARP表项进行逐条绑定)

" 对于支持"一键绑定"的接入交换机,可以在其下挂PC终端都能正常上网时,一键配置将当前ARP绑定表设置为静态不可更改,简化ARP绑定表配置工作量。

方案局限性:

从接入层防范ARP攻击解决方案是一个完美的ARP病毒防御方案。但因为在接入层选用了较高档次的交换机设备,成本相对高些。

在实际组网中,可以根据网络各个区域的不同安全等级,将上述方案有机地结合在一起,从而实现既能完善地防范ARP病毒,又尽可能地节省设备投资。

例如,为了保留接入层防御的完美效果,又期望进一步降低投资,可以采用核心交换机和接入交换机联动防ARP攻击方案,在核心层采用较高档次的交换机设备,在接入层采用可联动防ARP攻击的简单交换机,通过核心交换机和接入交换机之间的联动,来实现防ARP攻击。这样一方面降低了成本,另一方面充分体现了智能网络的特点。下面是H3C相应的详细解决方案。

情况一:局域网内PC动态分配IP地址,server静态分配地址

解决方案要点:

" 核心交换机启动DHCP Snooping

" 核心交换机启动授权ARP

" 核心交换机配置静态ARP绑定(服务器、网关的ARP表)

" 启动核心交换机和接入交换机的ARP联动功能

" 每台接入交换机启动ARP攻击防护功能

情况二:局域网内PC和server均静态分配地址

解决方案要点:

" 核心交换机配置静态ARP绑定(服务器、网关的ARP表)

" 对于支持"一键绑定"的核心交换机,可以在其下挂PC终端都能正常上网时,一键配置将当前ARP绑定表设置为静态不可更改,简化ARP绑定表配置工作量。

" 启动核心交换机和接入交换机的ARP联动功能

" 每台接入交换机启动ARP攻击防护功能

方案局限性:

该方案也是一种从接入层全面防范ARP病毒攻击的完美方案,方案成本也较低,需要整网实施和部署。

方案三、部署"防ARP攻击"核心交换机

方案四、部署"防ARP攻击"出口网关路由器

对于网络预算比较紧张,无法采购"防ARP攻击"交换机方案进行防御,或者是不愿改变现有的局域网现状,可以部署支持"防ARP攻击"出口网关路由器,也能简单有效地防御ARP病毒攻击。下面是H3C相应的详细解决方案。

情况一:局域网内PC动态分配IP地址,server静态分配地址

解决方案要点:

" 路由器启动DHCP Server(如果局域网内安装了独立的DHCP 服务器,路由器也可以配置DHCP Relay)

" 路由器启动授权ARP

" 路由器配置静态ARP 绑定表(服务器、网关的ARP表)

" 网关和Server设置定期发送免费ARP,或者在每台PC机上配置网关和Server静态IP/MAC绑定。

情况二:局域网内PC和server均静态分配地址

解决方案要点:

" 路由器配置静态ARP 绑定表(PC、服务器、网关的ARP表)

" 对于支持"一键绑定"的路由器,可以在其下挂PC终端都能正常上网时,一键配置将当前ARP表设置为静态不可更改,简化ARP表配置工作量。

" 网关和Server设置定期发送免费ARP,或者在每台PC机上配置网关和Server静态IP/MAC绑定。

方案局限性:

这种方案能比较好地解决大部分ARP病毒攻击问题,各PC机上网、访问服务器都不会再有问题。 相比较"接入层交换机ARP病毒防御方案"成本低,但无法消除ARP病毒可能造成PC机之间不能通信的问题。

当采用静态分配地址时,相对于授权ARP表项的自动生成方式,静态ARP的表项是要将局域网内所有PC机、server、网关的ARP表项静态配置完成,网络变化时需要修改ARP表,维护工作量比较大。

方案五、应对短期内无法改变网络设备现状的情况

A)对于短期内无法改变网络设备现状,可以参考静态IP情况下的解决方案,进行手工方式全静态ARP绑定。也可以参考下面两种措施:

B)通过PC机上安装ARP防火墙的方案。ARP软件防火墙的原理是在PC机系统内核拦截接收到的虚假ARP数据包,拦截本机外发的ARP攻击数据包,并主动向网关路由器通告正确的MAC地址。可用于小型网络,在用户端比较多的情况下不利于管理和维护。不从网络设备入手其实是很难彻底防御ARP病毒攻击的。

C)抛弃ARP协议组网的方案。显然,如果整个局域网络都不采用ARP协议是能根除ARP病毒攻击的。网上一些文章谈到采用IPX、PPP方式防ARP病毒,这些方法需要改变网络结构,实际上很难实施,此处不做详述。

还有一种PPPOE方案,原理是将出口路由器改变成 PPPOE 服务器的模式带PC客户机器上网。这种方案不使用ARP协议,也就不会有任何ARP病毒的风险,而且PPPOE不会改变原来的局域网拓扑结构,它是在802.3的基础上的二次封装数据包,实施起来相对简单。在路由器端设置为PPPOE服务器即可。PC客户机Windows操作系统上已经默认带有PPPOE客户端的拨号方式。可以通过建立脚本的方式,让Windows开机时自动拨号建立上网连接。

由于ARP协议给以太网建设带来了极大的便利性,抛弃ARP协议对大中型网络是不现实,不过对小型网络也是可以尝试这种方案的。H3C系列路由器都支持此种方案,不过考虑到PPPOE对路由器性能要求很高,推荐选用较高性能的路由器。

对于网络预算比较紧张,无法在接入层部署ARP病毒防御的用户,可以部署支持"防ARP攻击"的核心交换机。下面是H3C相应的详细解决方案。

情况一:局域网内PC动态分配IP地址,server静态分配地址

解决方案要点:

" 核心交换机启动DHCP Relay

" 核心交换机启动授权ARP

" 核心交换机配置静态ARP 绑定表(仅针对服务器、网关的ARP表)

" 网关和Server设置定期发送免费ARP,或者在每台PC机上配置网关和Server静态IP/MAC绑定。

情况二:局域网内PC和server均静态分配地址

解决方案要点:

" 核心交换机配置静态ARP 绑定表(PC、服务器、网关的ARP表)

" 对于支持"一键绑定"的核心交换机,可以在其下挂PC终端都能正常上网时,一键配置将当前ARP绑定表设置为静态不可更改,简化ARP绑定表配置工作量。

" 网关和Server设置定期发送免费ARP,或者在每台PC机上配置网关和Server静态IP/MAC绑定。

方案局限性:

这种方案能比较好地解决大部分ARP病毒攻击问题,各PC机上网、访问服务器都不会再有问题。 相比较"接入层交换机ARP病毒防御方案"成本低,但无法消除ARP病毒可能造成PC机之间不能通信的问题。

当采用静态分配地址时,相对于授权ARP表项的自动生成方式,静态ARP的表项是要将局域网内所有PC机、server、网关的ARP表项静态配置完成,网络变化时需要修改ARP表,维护工作量比较大。


相关文章

  • 4S企业网络安全及对策毕业论文
  • 毕 业 论 文 院系名称 计算机管理系 班 级 507451 学生姓名 支行 学号 31 指导教师 周 晶 时 间 2011年6月15日 摘要 因特网的迅猛发展给人们的生活带来了极大的方便,但同时因特网也面临着空前的威胁.因此,如何使用有效 ...查看


  • 校园网无线路由器的安全设置及常见问题解决方法
  • 摘 要:目前,无线路由器在高校办公网络中越来越广泛地使用,随之而来的无线信号安全问题不可小觑,同时在使用过程中,不可避免地出现各种各样的故障.本文先简述无线路由器及无线网络安全设置,接着联系本校办公网络用户经常遇到的实际问题,并给出了问题的 ...查看


  • 网络安全解答题
  • 1. 防火墙工作在哪个层 包过滤型防火墙工作在OSI网络参考模型的网络层和传输层,它根据数据包头源地址,目的地址.端口号和协议类型等标志确定是否允许通过.只有满足过滤条件的数据包才被转发到相应的目的地,其余数据包则被从数据流中丢弃. 应用代 ...查看


  • 2016年计算机病毒最新排行榜
  • 2016年计算机病毒最新排行榜 计算机病毒一.鬼影病毒 鬼影病毒是当之无愧的2012年度毒王,它主要依靠带毒游戏外挂或色播传播,2012年内出现数个变种:包括鬼影5.鬼影6.鬼影6变种(CF三尸蛊) 等,它和杀毒软件的技术对抗也达到了一个新 ...查看


  • ××网吧网络安全解决方案 178
  • **大型网吧网络安全解决方案 摘要:随着国内Internet的普及和信息产业的深化.近几年宽带网络的发展尤为迅速.做为宽带接入重要的客户群体-网吧,每天聚集着数量众多的网迷和潜在的资源.目前网吧的建设日益规模化,高标准化,上百台电脑的网吧随 ...查看


  • 网络工程师年终总结X1
  • 年 终 总 结 2010年已经过去,在新春之际我将把2010年的工作情况做如下总结汇报: 一.计算机及其网络维护管理方面的工作 工作内容:工作主要包括中心计算机硬件的维护及管理,保证中心计算机及相关网络产品的正常工作.中心计算机上软件的安装 ...查看


  • 网络攻击与防范毕业论文范文
  • 四川师范大学 本 科 毕 业 论 文 题 目 网络攻击与防范 系部名称 计算机科学系 专 业 学 号 学生姓名 XXXXX 指导教师 XXXXXXX 内容摘要 谈到网络安全问题,就没法不谈黑客(Hacker ).黑客是指对计算机某一领域有着 ...查看


  • 酒店网络规划设计方案6
  • 一.网络建设概述 随着我国互联网络的高速发展,互联网络对人们的影响,不仅体现在人们的工作与学习方面,而且越来越多地体现于人们生活的各个方面.互联网络将改变人类整个生活的理念已经深入人心 1.建设背景: 随着经济的蓬勃发展,为宾馆酒店业的发展 ...查看


  • 校园网安全设计
  • 摘 要 摘 要 当前,网络技术飞速发展,它正以不可替代的趋势影响着人们的生活和工作,给人类带来高效和快捷,校园网的建成,使学校实现了管理网络化和数学手段现代化,这对于提高学校的管理水平和教学质量具有十分重要的意义.但是,由于网络不安全状态的 ...查看


热门内容