ARP攻击专家介绍切断传播途径六招.docVIP

ARP攻击专家介绍切断传播途径六招 作者：佚名??来源：本站整理??发布时间：2008-10-18 22:24:10 方案五、应对短期内无法改变网络设备现状的情况 ??? A）对于短期内无法改变网络设备现状，可以参考静态IP情况下的解决方案，进行手工方式全静态ARP绑定。也可以参考下面两种措施： ??? B）通过PC机上安装ARP防火墙的方案。ARP软件防火墙的原理是在PC机系统内核拦截接收到的虚假ARP数据包，拦截本机外发的ARP攻击数据包，并主动向网关路由器通告正确的MAC地址。可用于小型网络，在用户端比较多的情况下不利于管理和维护。不从网络设备入手其实是很难彻底防御ARP病毒攻击的。 ??? C）抛弃ARP协议组网的方案。显然，如果整个局域网络都不采用ARP协议是能根除ARP病毒攻击的。网上一些文章谈到采用IPX、PPP方式防ARP病毒，这些方法需要改变网络结构，实际上很难实施，此处不做详述。 ??? 还有一种PPPOE方案，原理是将出口路由器改变成 PPPOE 服务器的模式带PC客户机器上网。这种方案不使用ARP协议,也就不会有任何ARP病毒的风险,而且PPPOE不会改变原来的局域网拓扑结构,它是在802.3的基础上的二次封装数据包，实施起来相对简单。在路由器端设置为PPPOE服务器即可。PC客户机Windows操作系统上已经默认带有PPPOE客户端的拨号方式。可以通过建立脚本的方式，让Windows开机时自动拨号建立上网连接。 ??? 由于ARP协议给以太网建设带来了极大的便利性，抛弃ARP协议对大中型网络是不现实，不过对小型网络也是可以尝试这种方案的。H3C系列路由器都支持此种方案，不过考虑到PPPOE对路由器性能要求很高，推荐选用较高性能的路由器。? ?编者按：对于SARS等劣性传染病，除治疗以外，最重要的当属切断传播途径，进行隔离。面对ARP攻击，这种方法同样非常有效。 ??? 专家会诊概要：??? 1、通过VLAN阻断ARP病毒????? 病例一：可以给每台PC划分独立VLAN的情况??? 2、通过接入层阻断ARP病毒????? 病例二：可采用防ARP攻击接入交换机的情况????? 病例三：可采用接入和核心交换机联动的情况??? 3、通过核心层阻断ARP病毒????? 病例四：可采用 防ARP攻击核心交换机的情况??? 4、通过出口网管阻断ARP病毒????? 病例五：采用支持防ARP攻击的出口路由器??? 5、其它阻断ARP病毒的方案????? 病例六：短期内无法改变网络设备现状的情况 ??? 方案一、对网络划分独立VLAN来隔离 ??? 如果一个网络部署时，能够要求每台PC被划分在各自独立的VLAN中。例如，在酒店中通常就可以给每个客房的PC配置独立的VLAN ID。这样，即使某台PC终端感染了ARP病毒，那它也无法攻击其它VLAN中的PC和网络设备。下面是H3C相应的详细解决方案。 ??? 解决方案要点：??? 为每个PC终端或服务器配置独立VLAN ID，隔离相互间的ARP协议。??? 如果VLAN是配置在核心交换机和接入交换机上，可以进一步部署核心层防ARP病毒攻击方案实现全面防御，详见下文相关部分介绍。??? 如果VLAN是配置在路由器和接入交换机上，可以进一步部署路由器防ARP病毒攻击方案实现全面防御，详见下文相关部分介绍。 ?? ?????? 方案局限性：??? 如果组网能满足这种要求，就可以采用比较低端的交换机，从接入层就全面地防范了ARP病毒攻击。??? 不过，这种方案对设备支持VLAN的性能要求较高，配置很多VLAN导致多网段管理复杂。另外，除了酒店之外，一般网络出于文件共享、应用程序间通信等客户要求，不可能实现每个PC划分一个VLAN，仅是对主要功能区部署VLAN隔离，因此该方案应用范围有特殊性，是特定应用场景下的完美解决方案。方案二、部署防ARP攻击接入交换机 ??? 对有实力的企业或新建网络的企事业单位，最佳手段是全网部署防ARP攻击接入交换机，可以彻底地解决ARP病毒攻击问题，从接入层就过滤掉各种ARP欺骗报文。下面是H3C相应的详细解决方案。 ??? 情况一：局域网内PC动态分配IP地址，server静态分配地址??? 解决方案要点：??? 每台接入交换机启动DHCP Snooping??? 每台接入交换机启动ARP Detection??? 每台接入交换机配置静态ARP绑定表（仅需对服务器、网关的ARP表项进行绑定） ??? ??????? 情况二：局域网内PC和server均静态分配地址??? 解决方案要点：??? 每台接入交换机配置静态ARP绑定（通过手工方式对每台PC、服务器、网关的ARP表项进行逐