2024年3月27日发(作者:)

ARP攻击专家介绍切断传播途径六招

作者:佚名 来源:本站整理 发布时间:2008-10-18 22:24:10

方案五、应对短期内无法改变网络设备现状的情况

A)对于短期内无法改变网络设备现状,可以参考静态IP情况下的解决方案,进行手工

方式全静态ARP绑定。也可以参考下面两种措施:

B)通过PC机上安装ARP防火墙的方案。ARP软件防火墙的原理是在PC机系统内核

拦截接收到的虚假ARP数据包,拦截本机外发的ARP攻击数据包,并主动向网关路由器

通告正确的MAC地址。可用于小型网络,在用户端比较多的情况下不利于管理和维护。不

从网络设备入手其实是很难彻底防御ARP病毒攻击的。

C)抛弃ARP协议组网的方案。显然,如果整个局域网络都不采用ARP协议是能根除

ARP病毒攻击的。网上一些文章谈到采用IPX、PPP方式防ARP病毒,这些方法需要改变

网络结构,实际上很难实施,此处不做详述。

还有一种PPPOE方案,原理是将出口路由器改变成 PPPOE 服务器的模式带PC客户

机器上网。这种方案不使用ARP协议,也就不会有任何ARP病毒的风险,而且PPPOE不会

改变原来的局域网拓扑结构,它是在802.3的基础上的二次封装数据包,实施起来相对简单。

在路由器端设置为PPPOE服务器即可。PC客户机Windows操作系统上已经默认带有

PPPOE客户端的拨号方式。可以通过建立脚本的方式,让Windows开机时自动拨号建立

上网连接。

由于ARP协议给以太网建设带来了极大的便利性,抛弃ARP协议对大中型网络是不现

实,不过对小型网络也是可以尝试这种方案的。H3C系列路由器都支持此种方案,不过考

虑到PPPOE对路由器性能要求很高,推荐选用较高性能的路由器。

编者按:对于SARS等劣性传染病,除治疗以外,最重要的当属切断传播途径,进行隔离。

面对ARP攻击,这种方法同样非常有效。

专家会诊概要:

1、通过VLAN阻断ARP病毒

病例一:可以给每台PC划分独立VLAN的情况

2、通过接入层阻断ARP病毒

病例二:可采用"防ARP攻击"接入交换机的情况

病例三:可采用"接入和核心交换机联动"的情况

3、通过核心层阻断ARP病毒

病例四:可采用 "防ARP攻击"核心交换机的情况

4、通过出口网管阻断ARP病毒

病例五:采用支持"防ARP攻击"的出口路由器

5、其它阻断ARP病毒的方案

病例六:短期内无法改变网络设备现状的情况

方案一、对网络划分独立VLAN来隔离

如果一个网络部署时,能够要求每台PC被划分在各自独立的VLAN中。例如,在酒店

中通常就可以给每个客房的PC配置独立的VLAN ID。这样,即使某台PC终端感染了ARP

病毒,那它也无法攻击其它VLAN中的PC和网络设备。下面是H3C相应的详细解决方案。

解决方案要点:

" 为每个PC终端或服务器配置独立VLAN ID,隔离相互间的ARP协议。

" 如果VLAN是配置在核心交换机和接入交换机上,可以进一步部署"核心层防ARP病

毒攻击方案"实现全面防御,详见下文相关部分介绍。

" 如果VLAN是配置在路由器和接入交换机上,可以进一步部署"路由器防ARP病毒攻

击方案"实现全面防御,详见下文相关部分介绍。