防ARP攻击的五大方案(下)

日期: 2008-10-19 作者:十月天堂 来源:TechTarget中国 英文

    方案三、部署”防ARP攻击”核心交换机

    对于网络预算比较紧张,无法在接入层部署ARP病毒防御的用户,可以部署支持”防ARP攻击”的核心交换机。下面是H3C相应的详细解决方案。
   
    情况一:局域网内PC动态分配IP地址,server静态分配地址

    解决方案要点:

  • 核心交换机启动DHCP Relay
  • 核心交换机启动授权ARP
  • 核心交换机配置静态ARP 绑定表(仅针对服务器、网关的ARP表)
  • 网关和Server设置定期发送免费ARP,或者在每台PC机上配置网关和Server静态IP/MAC绑定。

部署

    情况二:局域网内PC和server均静态分配地址

    解决方案要点:

  • 核心交换机配置静态ARP 绑定表(PC、服务器、网关的ARP表)
  • 对于支持”一键绑定”的核心交换机,可以在其下挂PC终端都能正常上网时,一键配置将当前ARP绑定表设置为静态不可更改,简化ARP绑定表配置工作量。
  • 网关和Server设置定期发送免费ARP,或者在每台PC机上配置网关和Server静态IP/MAC绑定。

    方案局限性:

    这种方案能比较好地解决大部分ARP病毒攻击问题,各PC机上网、访问服务器都不会再有问题。 相比较”接入层交换机ARP病毒防御方案”成本低,但无法消除ARP病毒可能造成PC机之间不能通信的问题。

    当采用静态分配地址时,相对于授权ARP表项的自动生成方式,静态ARP的表项是要将局域网内所有PC机、server、网关的ARP表项静态配置完成,网络变化时需要修改ARP表,维护工作量比较大。

  方案四、部署”防ARP攻击”出口网关路由器

  对于网络预算比较紧张,无法采购”防ARP攻击”交换机方案进行防御,或者是不愿改变现有的局域网现状,可以部署支持”防ARP攻击”出口网关路由器,也能简单有效地防御ARP病毒攻击。下面是H3C相应的详细解决方案。
    
    情况一:局域网内PC动态分配IP地址,server静态分配地址

    解决方案要点:

  • 路由器启动DHCP Server(如果局域网内安装了独立的DHCP 服务器,路由器也可以配置DHCP Relay)
  • 路由器启动授权ARP
  • 路由器配置静态ARP 绑定表(服务器、网关的ARP表)
  • 网关和Server设置定期发送免费ARP,或者在每台PC机上配置网关和Server静态IP/MAC绑定。

局域网内PC动态分配IP地址,server静态分配地址

    情况二:局域网内PC和server均静态分配地址

    解决方案要点:

  • 路由器配置静态ARP 绑定表(PC、服务器、网关的ARP表)
  • 对于支持”一键绑定”的路由器,可以在其下挂PC终端都能正常上网时,一键配置将当前ARP表设置为静态不可更改,简化ARP表配置工作量。
  • 网关和Server设置定期发送免费ARP,或者在每台PC机上配置网关和Server静态IP/MAC绑定。

  方案局限性:

  这种方案能比较好地解决大部分ARP病毒攻击问题,各PC机上网、访问服务器都不会再有问题。 相比较”接入层交换机ARP病毒防御方案”成本低,但无法消除ARP病毒可能造成PC机之间不能通信的问题。

  当采用静态分配地址时,相对于授权ARP表项的自动生成方式,静态ARP的表项是要将局域网内所有PC机、server、网关的ARP表项静态配置完成,网络变化时需要修改ARP表,维护工作量比较大。

   方案五、应对短期内无法改变网络设备现状的情况

    A)对于短期内无法改变网络设备现状,可以参考静态IP情况下的解决方案,进行手工方式全静态ARP绑定。也可以参考下面两种措施:

    B)通过PC机上安装ARP防火墙的方案。ARP软件防火墙的原理是在PC机系统内核拦截接收到的虚假ARP数据包,拦截本机外发的ARP攻击数据包,并主动向网关路由器通告正确的MAC地址。可用于小型网络,在用户端比较多的情况下不利于管理和维护。不从网络设备入手其实是很难彻底防御ARP病毒攻击的。

    C)抛弃ARP协议组网的方案。显然,如果整个局域网络都不采用ARP协议是能根除ARP病毒攻击的。网上一些文章谈到采用IPX、PPP方式防ARP病毒,这些方法需要改变网络结构,实际上很难实施,此处不做详述。

    还有一种PPPOE方案,原理是将出口路由器改变成 PPPOE 服务器的模式带PC客户机器上网。这种方案不使用ARP协议,也就不会有任何ARP病毒的风险,而且PPPOE不会改变原来的局域网拓扑结构,它是在 802.3的基础上的二次封装数据包,实施起来相对简单。在路由器端设置为PPPOE服务器即可。PC客户机Windows操作系统上已经默认带有 PPPOE客户端的拨号方式。可以通过建立脚本的方式,让Windows开机时自动拨号建立上网连接。

    由于ARP协议给以太网建设带来了极大的便利性,抛弃ARP协议对大中型网络是不现实,不过对小型网络也是可以尝试这种方案的。H3C系列路由器都支持此种方案,不过考虑到PPPOE对路由器性能要求很高,推荐选用较高性能的路由器。

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

电子邮件地址不会被公开。 必填项已用*标注

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

相关推荐

  • 无线路由器ARP攻击故障排除技巧

    企业网络办公化也正式步入了无线网的领域中。大量的无线路由器被用于企业中,使得针对无线网络的故障诊断和安全保障变得与有线网络一样重要。

  • 防ARP攻击的五大方案(上)

    面对ARP攻击,切断传播途径,对其进行隔离无疑是一种十分有效的方案,那么,每一个方案具体该怎样实施呢?

  • 巧设路由器 防止ARP攻击

    不少企业都采用路由绑定电脑IP/MAC地址去防止ARP攻击,然而,大量的努力之后,ARP攻击仍然四处横行,到底是什么地方出了问题?

  • 巡路免疫墙 首选ARP攻击防护软件

    70%以上企业常见的内网攻击就是ARP攻击了,企业网管对此很是头疼,选购什么样的内网安全管理软件才能保证网络安全呢?