鲁达 大家好,继之前发表的中小企业arp病毒攻击防范解决方案系列一,本次继续更新关于中小企业在遇到arp病毒时候如何有效的进行防范系列二,有任何问题随时留言沟通交流~
7.如何全面防御ARP病毒攻击?
由于各个企业的信息化建设时间不相同,投入也不一样,导致了各个企业的组网方案五花八门,什么样子的组网方案都有可能存在。甚至有些单位为了节省投资,还在使用早就淘汰时候的hub(….,事实,而且是我见过N次的,有的甚至是在国企这样的单位。难道国企真的没有钱进行网络改造吗)因此,我们制定防止arp攻击的解决方案就不能是单一的解决方案,只能通过了解企业网络组网现状给出有针对性的解决方案。我总结了下,比较常见的企业组网方案,以及它们的防arp攻击方案大概有下面的这几种(使用到的设备可能不一致,因此一些feature可能各个厂家实现起来不太一样。不过大同小异。考虑到国内使用华为/H3C的设备比较多,案例多以这两家的产品为例子)
组网方案1 可以为每台pc划分独立vlan的情况
在酒店中通过就是每个客房的pc配置独立的vlan-id,这样即使某台pc终端感染了arp病毒,那它也无法攻击其他vlan中的pc和网络设备。
解决方案要点
1.为每个pc终端或者服务器配置独立的vlan-id,隔离相互间的arp协议;
2.如果vlan是配置再核心交换机或者接入交换机上,可以进一步部署“核心层防arp病毒攻击方案”实现全面防御;
3.如果vlan是配置再路由器和接入交换机上,可以进一步部署“路由器防arp病毒攻击方案”实现全面防御;
方案的局限性
如果组网能满足这种要求,就可以采用比较低端的交换机,从接入层就全面的防范了arp病毒攻击。
不过这种方案对设备支持vlan的性能比较高,配置很多vlan也导致多网段管理复杂。另外除了酒店以外,一般网络出于文件共享,应用程序间通信等要求,不可能实现每个pc划分一个vlan,仅仅是对主要功能区部署vlan隔离。因此该方案应用的范围具有特殊性,是特定应用场景下的完美解决方案。
2.能全网部署“防arp攻击”接入交换机的情况
对有实力的企业或者新建网络的企事业单位,最佳手段是全面部署“防arp攻击”接入交换机,可以彻底的解决arp病毒攻击问题,从接入层就过滤掉各种arp欺骗报文。
情况1 局域网内pc动态分配ip地址,server静态分配地址
解决方案要点
1.每台接入交换机启动dhcp-snooping;
2.每台接入交换机启动arp-detection;
3.每台接入交换机配置静态arp绑定标(仅仅针对服务器,网关等使用静态ip地址的arp表项进行绑定);
情况2 局域网内pc和server都使用静态ip地址
解决方案要点
1.每台接入交换机都配置静态arp绑定(通过手工方式来对每台pc,服务器,网关的arp表项进行逐条绑定,可以通过excel脚本批量添加);
2.对于支持“一键绑定”的接入交换机(一般是在web界面中使用,d-link,tp-link这些里面常用)可以在其下挂pc中断都能正常上网时候(防止有漏掉的arp表项)一键配制当前arp绑定表设置为静态不可更改,简化arp绑定表配制工作量;
方案的局限性
从接入层防范arp攻击解决方案是一个完美的arp病毒防范方案,但是因为接入层交换机需要选用比较靠谱的设备,需要企业付出的银子比较多一些额!
3.核心交换机可以支持“防arp攻击”的情况
对于网络预算比较紧张,无法在接入层部署arp病毒防御的用户,可以部署支持“防arp攻击”的核心交换机,来实施防止arp攻击。
情况1 局域网内pc动态分配地址,server静态地址
解决方案要点
1.核心交换机要启动dhcp-relay;
2.核心交换机启动授权arp;
3.核心交换机配置静态arp绑定表(仅仅针对服务器,网关等使用静态ip地址的arp表项);
4.网关和server设置定期发送免费arp,或者在每台pc上设置网关和server静态ip/mac地址绑定(具体做法如下)
情况2 局域网内pc和server均静态分配地址
解决方案要点
1.核心交换机配置静态arp绑定表(所有的设备,包括pc,服务器,网关等);
2.对于支持一键绑定的核心交换机,可以在下挂的pc终端都能正常上网的时候,一键配置将当前arp绑定表设置为静态不可更改,简化arp绑定表配置工作量;
3.网关和server设置定期发送免费arp,或者在每台pc上配置网关和server静态ip/mac绑定;
方案局限性
1.这种方案能比较好的解决大部分arp病毒攻击问题,各pc上网,访问服务器都不会再有问题,相比较接入层交换机arp病毒防御方案成本低,但是无法消除arp病毒可能造成pc之间不能通信的问题(主要是二层,因为不经过三层检测);
2.当采用静态分配地址时候,相对于授权arp表项的自动生成方式,静态arp表项是要将局域网所有pc,server,网关的arp表项静态配置完成,网络变化时需要修改arp表项,维护工作量比较大(安全和便利度是相对的幺!)
4.出口网关路由器可以支持“防arp攻击”的情况
对于网络预算比较紧张,无法采购防arp攻击的交换机方案进行防御,或者是不愿意现有的局域网现状,可以部署支持“防arp攻击”出口网关路由器,也能简单有效的防御arp病毒攻击。
情况1 局域网内pc动态分配ip地址,server是静态ip地址
解决方案要点
1.核心交换机启动dhcp-snooping;
2.核心交换机启动arp授权;
3.核心交换机配置静态arp绑定(服务器,网关等静态ip地址的arp表项);
4.每台接入交换机启动arp攻击防护功能;
情况2 局域网内pc和server均为静态分配地址
1.核心交换机配置静态arp表项(注意,是所有!);
2.如上,支持一键绑定的核心交换机,可以在所有pc在线情况下,使用一键绑定arp表项,减少工作量;
方案局限性
1.这种方案比较好的解决了大部分arp病毒攻击问题,各pc上网,访问服务器都不会出现问题,相比较接入层交换机arp病毒防御方案,成本低,但是无法消除arp病毒可能造成pc之间的不能通信的问题;
2.采用静态地址,由于需要绑定所有的arp表项,因此会造成调整和维护的工作量巨大,维护起来不够灵活,注意要做好arp表项的记录工作;
5.短期内无法改变网络设备现状的情况
对于短期内无法改变网络设备现状,同时交换机和路由器又不支持上面提到的arp授权,dhcp-snooping等等特性时候,可以参考静态ip情况下的解决方案,进行手工方式全静态arp绑定,pc终端上的绑定命令如下图
,也可以参考下面三种措施。
A.通过pc上安装arp防火墙的方案
arp软件防火墙的原理是在pc西里内核拦截接收到的询价的arp数据包,拦截本机外发的arp攻击数据包,并主动向王干路由器通告正确的mac地址,可用于小型网络,在用户端比较多的情况下不利于管理和维护。不从网络设备入手其实是很难彻底防御arp病毒攻击的。
B.抛弃arp协议组网的方案
显然,由于产生arp病毒攻击的根本原因在于arp协议设计的天然缺陷,换个思路来想,如果我们在局域网中不采用arp协议组网方案,就可以从根本上防止arp攻击。比如采用ipx,ppp方式防arp病毒,这些方法需要改变网络结构,实际上比较难实施,因此本处不做特别推荐额!只做一种可选方案而已,并且在以外网成为局域网乃至互联网标准的趋势下,使用不兼容的ipx,ppp的确不怎么靠谱呢!
C.使用PPOE方案
PPPOE是一种以太网二次封装数据包的解决协议,原理是将出口路由器编程PPPOE服务器的模式,带局域网的pc上网。这种方案不使用arp协议,也就不会有任何arp病毒的风险。而且pppoe不会改变原来的局域网拓扑结构,因此实施起来比较简单,只需要在路由器上设置为pppoe服务器,并且在pc上设置windows开机自动pppoe拨号即可。不过这种方式对于出口路由器的性能要求比较高,需要选择性能比较高端的路由器。
6.混杂方案
在实际组网中,可以根据网络各个区域的不同安全等级,将上述的方案有机的结合在一起,从而实现既能完善的防范arp病毒,又能尽可能的节省设备投资。
例如,为了保留接入层防御的完美效果,又期望进一步的降低投资,可以采用核心交换机和接入交换机联动防御arp攻击方案,在核心层采用较高档次的交换机设备,在接入层采用可联动arp攻击的简单交换机,通过核心交换机和接入交换机之间的联动,来实现防arp攻击。这样一方面降低了成本,另一方面充分体现了智能网络的特点。
拓扑简图
情况1 局域网内pc动态分配ip地址,server采用静态ip地址
解决方案要点
1.核心交换机启动dhcp-snooping;
2.核心交换机启动授权arp;
3.核心交换机配置静态arp绑定(针对服务器,网关设备);
4.启动核心交换机和接入交换机的arp联动功能;
5.每台接入交换机上启动arp攻击防护功能;
情况2 局域网内pc和server都用静态ip地址
1.核心交换机配置静态arp绑定(所有的设备!);
2.支持一键绑定的设备尽量使用一键绑定arp表项;
3.启动核心交换机和接入交换机的arp联动功能;
4.每台接入交换机启动arp攻击防护功能;
方案局限性
这个方案也是一种从接入层全面防范arp病毒攻击的完美方案,方案成本也比较低,不过需要整网进行调整实施,动静比较大啊。
相关联文档:
中小企业ARP病毒攻击防范解决方案系列(一)