|
首页
|
公司简介
|
产品展示
|
解决方案
|
售后服务
|
成功案例
联系我们
 
 

解决方案

附:NETGEAR 抵御 ARP 病毒攻击有效办法

一、芯片级别的ARP嗅探攻击抵御

美国网件公司新一代的万兆核心交换机 GSM7300S 系列和下一代的堆叠安全三层交换机 FSM7300S 系列、堆叠安全智能交换机 FS700TS 系均配备了新一代的专用ASIC交换组别芯片,从芯片上直接提供服务质量(QoS)、速率限制(Rating Limiting)、多层访问控制列表(ACL),防 DoS 攻击以及用户访问认证(802.1x)等功能,从而使得这些安全应用不会影响到基本二层、三层的线速转发性能,将整个网络的不稳定因素排除在萌芽阶段。ARP 嗅探也属于 DDOS 攻击手段的一种,因此选择采用新一代智能芯片的交换机,将从硬件级别抵御 APR 嗅探攻击,使得网络里面即使存在 ARP 嗅探攻击也不影响交换机的交换速度。

二、通过广播风暴抑制抵御APR嗅探攻击

美国网件公司的全线智能交换机产品和全网管系列交换机均支持“广播风暴抑制能”,支持的型号包括:FS700T 系列/FS700TS 系列/ FSM700 系列/ FSM7300S 系列/GSM7200 系列/GSM7300 系列/GSM7300S 系列。某些 ARP 嗅探的攻击表现为中毒的主机会发送大量 APR 请求或者目的 mac 地址不存在的数据帧,交换机收到这样的数据帧后,由于目的 mac 地址在网络中并不存在,那么交换机就会广播这个帧,造成网络中大量广播数据。网络里的主机因为过于频繁响应此广播而出现性能底下的现象,这时如果通过交换机上面启用广播风暴控制,则可以有效抵御此类ARP嗅探对网络带宽和网内主机的影响,美国网络公司的交换机支持以广播包的数量(最少为一个),以 ARP 广播的速率(最小为1K),以广播包的速率(最小为1M)进行广播抑制。通过设置广播风暴抑制可以在控制 ARP 嗅探方面达到理想的效果。

以下为在 FS728TS 上的设定的例子:

本例中:在 FS728TS 的管理页面下的 Security-traffic-stormcontro 里面试图把端口一的广播包数量限制在200K/S 以内。

三、使用端口-IP- MAC 地址绑定抵御中间人攻击

硬件实现端口+ MAC 地址+用户 IP 地址的绑定,严格限定端口上用户接入。美国网件的FSM7300S/GSM7300/GSM7300S 系列交换机均支持端口-MAC 地址-IP绑定,该三元素进行绑定以后,交换机将维护一张静态的 ARP表格,而不再学习新的 ARP 广播信息,因此只要合理地维护交换机里的静态的ARP 表格,就可以有效抵御 ARP 中间人攻击。关于美国网络交换机端口- MAC 地址-IP 绑定的设置办法可以参考中文网站上的相关资料。

四、双绑有效抵御 ARP 欺骗和中间人攻击

有效防止 ARP 欺骗,目前我们在网吧经常采用“双绑”的办法——在交换机上面采用 mac 和端口绑定,同时在每台计算机上面绑定路由器以及一些需要经常访问的重要的服务器的正确的 ip 和 mac 地址。

在交换机上面采用 mac 和端口绑定,这样主机就不能更改自己的源 MAC,这样可以防止交换机的 MAC 地址表过大或溢出导致交换机死机,美国网络公司的 FS700TS 系列/ FSM700 系列/ FSM7300S 系列/GSM7200 系列/GSM7300系列/GSM7300S 系列交换机均支持端口和 MAC 地址的绑定。

以下是 GSM7300 系列交换机上的端口和 MAC 绑定的例子

1)先将 Port Security(端口安全)功能激活:

2)然后选择对个别单独端口进行配置端口安全:选择’Port Security Interface Configuration’(端口安全配置),本例子中对第8端口进行配置:

主机上面 IP 和 MAC 绑定(通常是绑定路由器或者重要服务器的ip和 mac 地址),这样主机就不会更改路由器(默认网管)的相关信息,从而起到防止恶意主机通过ARP欺骗伪造网关或者服务器的 MAC 地址或者冒充网关或者服务器进行通讯欺骗。

 以下是主机上面绑定路由器 IP 和 MAC 地址的办法,服务器的绑定办法与此相似:

假定路由器的内网 IP 地址是192.168.0.10  MAC地址是:00-00-84-00-50-42

编写一个批处理文件 varp.bat 内如下:

@echo off
arp -d
arp -s 192.168.0.10 00-00-84-00-50-42

将文件中的网关 IP 地址和 MAC 地址更改为您自己的路由器的 IP 地址和 MAC 地址即可。将这个批处理软件拖到“ windows--开始--程序--启动”中。如果是网吧,可以利用收费软件服务端程序(pubwin 或者万象都可以)发送批处理文件varp.bat到所有客户机的启动目录。Windows2000的默认启动目录为“ C:\Documents and Settings\All Users「开始」菜单程序启动”。启动后自动执行就开始生效。

最后,最好再在局域网的出口网关设备上绑定所有网内电脑的静态 IP 和 MAC 地址,这样可以保证网关在受到 ARP 攻击时能够和网内的主机正常通讯,并且不会因为添加过多的 ARP 表项而导致网关因 ARP 表格溢出而死机。