H3CARP病毒专家会诊室.docx

一号专家会诊室??使用杀毒软件杀毒来管理传染源?遇到过ARP病毒攻击的信息主管都知道，如果明确了是哪台机子中了ARP病毒，后续操作就相对简单了：立刻拔掉该PC机网线，使用专门ARP专杀软件即可。从之前的ARP病毒机理分析上可以看出，难点就是在如何能快速定位ARP病毒攻击源上。 当前，不少网络管理员都是在员工反馈时，才得知网络不能正常使用了，延误了ARP病毒的治疗时间。在定位ARP攻击源时，小的公司还能要求每个员工都用查毒软件自查一遍。稍大点的公司，就只能通过对每个网络设备端口插拔网线来一一排查。即使有网管高手，没有一两个小时也很难具体定位是哪台机子在做ARP攻击。要想第一时间得知网络异常，用最短的时间定位ARP攻击源，最佳的手段就是利用网络设备和网管平台的即时告警和网管分析功能。但传统网管软件的高价和防ARP病毒功能缺失，限制了中小型企业部署网管系统。针对于此，H3C发布了Mini IMC智能网管系统，让中小企业仅投资几万元就可以集中管理到最多四十台网络设备、上千台PC终端的网络。同时，H3C还大量丰富了路由器、交换机的WEB网管功能，让仅有几台网络设备的小网络，也同样能即时获得网络异常告警信息，直观显示ARP表的变化情况。 可能有一些人认为购买网管软件的投入太贵，真对这种误区，我们可以做一个测算。例如，一个300台PC终端的小企业，人均工资2200元。如果从出现ARP病毒，到最终定位到攻击源花费了2个小时，那么仅员工无法正常上网办公造成的工资损失就达：300×2200/22/8×2=7500元。一年出现过几次就差不多够买一套Mini IMC。而2个小时带来业务损失其实远不止这些。可见，在网络应用日益重要的情况下，部署网管系统缩短故障和病毒定位时间是非常有必要的。在仅有几台网络设备的小型网络，采用支持ARP病毒防御WEB网管的路由器、交换机；在有二三十台左右设备的中型网络，采用支持网流异常告警和智能网络分析的网管软件平台，配合ARP病毒杀掉软件，是在ARP病毒事发后快速消除病毒威胁的有效手段。 设备选型推荐： 网络层次H3C产品型号网管软件 H3C iMC-中小型网络管理版(Mini iMC)(含40节点) For Windows-纯软件(CD)中文版 网络设备WEB网管 S5500SI/EI系列 S5510系列 S5100SI/EI系列 S5000E系列 S3600SI/EI系列 S3100EI系列 MSR 20/30/50系列 ER 5000/3000系列 1、发现ARP病毒 ?一般建议：员工反馈网络不能正常使用?H3C专家建议：通过网管平台即时告警?2、定位ARP病毒源?一般建议：高手抓网络报文分析?要求所有员工查病毒?H3C专家建议：设备WEB网管直观显示?智能网管的网流报告?3、使用杀毒软件杀毒?遇到过ARP病毒攻击的信息主管都知道，如果明确了是哪台机子中了ARP病毒，后续操作就相对简单了：立刻拔掉该PC机网线，使用专门ARP专杀软件即可。从之前的ARP病毒机理分析上可以看出，难点就是在如何能快速定位ARP病毒攻击源上。?二号专家会诊室??1、通过VLAN阻断ARP病毒?病例一：可以给每台PC划分独立VLAN的情况?/pub/2008_Event/h3c_arp2008/erhao_anli1.html专家药方??2、通过接入层阻断ARP病毒?病例二：可采用“防ARP攻击”接入交换机的情况?/pub/2008_Event/h3c_arp2008/erhao_anli2.html专家药方??病例三：可采用“接入和核心交换机联动”的情况?/pub/2008_Event/h3c_arp2008/erhao_anli3.html专家药方??3、通过核心层阻断ARP病毒?病例四：可采用 “防ARP攻击”核心交换机的情况?/pub/2008_Event/h3c_arp2008/erhao_anli4.html专家药方??4、通过出口网管阻断ARP病毒?病例五：采用支持“防ARP攻击”的出口路由器?/pub/2008_Event/h3c_arp2008/erhao_anli5.html专家药方??5、其它阻断ARP病毒的方案?病例六：短期内无法改变网络设备现状的情况?/pub/2008_Event/h3c_arp2008/erhao_anli6.html专家药方??1、可以给每台PC划分独立VLAN的情况?如果一个网络部署时，能够要求每台PC被划分在各自独立的VLAN中。例如，在酒店中通常就可以给每个客房的PC配置独立的VLAN ID。这样，即使某台PC终端感染了ARP病毒，那它也无法攻击其它VLAN中的PC和网络设备。下面是H3C相应的详细解决方案。 解决方案要点： 为每个PC终端或服务器配置独立VLAN ID，隔离相互间的AR