|
解决arp攻击的方法。
一.接入交换机 1.AM(access management) 又名访问管理,它利用收到数据报文的信息(源IP 地址或者源IP+源MAC)与配置硬件地址池(AM pool)相比较,如果找到则转发,否则丢弃。 功能优点:配置简单,除了可以防御ARP攻击,还可以防御IP扫描等攻击。适用于信息点不多、规模不大的静态地址环境下。 功能缺点:1.需要占用交换机ACL资源;2.网络管理员配置量大,终端移动性差。 2.ARP Guard功能 基本原理就是利用交换机的过滤表项,检测从端口输入的所有ARP 报文,如果ARP 报文的源IP 地址是受到保护的IP 地址,就直接丢弃报文,不再转发。 功能优点:配置简单,适用于ARP仿冒网关攻击防护快速部署。 功能缺点:ARP Guard需要占用芯片FFP 表项资源,交换机每端口配置数量有限。 3.DHCP Snooping功能 实现原理:接入层交换机监控用户动态申请IP地址的全过程,记录用户的IP、MAC和端口信息,并且在接入交换机上做多元素绑定,从而在根本上阻断非法ARP报文的传播。 功能优点:被动侦听,自动绑定,对信息点数量没有要求,适用于IP地址动态分配环境下广泛实施。 功能缺点:IP地址静态环境下,需要手工添加绑定关系,配置量较大。 4.端口ARP限速功能 DCN系列交换机防ARP 扫描的整体思路是若发现网段内存在具有ARP 扫描特征的主机或端口,将切断攻击源头,保障网络的安全。 有两种方式来防ARP 扫描:基于端口和基于IP。基于端口的ARP 扫描会计算一段时间内从某个端口接收到的ARP 报文的数量,若超过了预先设定的阈值,则会down 掉此端口。基于IP 的ARP 扫描则计算一段时间内从网段内某IP 收到的ARP 报文的数量,若超过了预先设置的阈值,则禁止来自此IP 的任何流量,而不是down 与此IP 相连的端口。此两种防ARP 扫描功能可以同时启用。端口或IP 被禁掉后,可以通过自动恢复功能自动恢复其状态。 功能优点:全局使能,无须在端口模式下配置,配置简单。 功能缺点:不能杜绝虚假ARP报文,只是适用于对ARP扫描或者flood攻击防御,建议和交换机其它功能一起使用。 二.汇聚交换机 1.端口隔离功能介绍 端口隔离是一个基于端口的独立功能,作用于端口和端口之间,隔离相互之间的流量,利用端口隔离的特性,可以实现vlan内部的端口隔离,从而节省vlan资源,增加网络的安全性,现在大多数接入交换机都具备此功能。 2.Local ARP Proxy功能介绍 Local ARP proxy:本地arp代理功能。是指在一个vlan内,通过使用一台三层交换机(一般为汇聚交换机),来作为指定的设备对另一设备作出ARP请求的应答,实现限制arp报文在同一vlan内的转发,从而引导数据流量通过交换机进行三层转发。 3.方案说明 1)对接入交换机要求低,只需要支持端口隔离功能即可;而且动态IP地址环境下配置简单,易于管理、实现。 2)静态IP地址环境下,需要手工添加ARP表项,不够灵活。 三.802.1X认证篇 1.主机IP地址静态配置时,终端发给802.1x认证,DCBI验证通过后,将该用户的IP、MAC等绑定信息自动下发给接入交换机。 2.动态分配IP地址时,接入交换机启用DHCP Snooping侦听主机分配到的IP地址,并将此IP地址,以及对应的MAC地址、交换机端口发送给DCBI。 3.方案特点:静态、动态IP地址混杂模式下,可以完美解决内网ARP攻击问题,并且人工配置量小,适用于信息点众多的大型校园网。 四.接入管理器篇 DCN接入管理器DCBA,可以部署在校园网出口,与Radius服务器实现认证计费功能,其中安装在终端的计费客户端程序client,具有主机防火墙功能,可以对不安全的数据包进行包过滤。DCBA client会对主机发出的每个数据包进行检查,如果发现本主机所发出数据包非法,则会强迫操作系统丢弃这个数据包,从而实现杜绝ARP相关攻击。 方案说明:可以有效地防御二、三层网络攻击,而不仅仅是ARP攻击,且与网络设备无关,适用性强,易于部署。 五.防火墙篇 DCN终结者系列防火墙可以自动侦测未安装ARP Tool的客户端,上网请求会被重定向到防火墙进行强制安装, 主机安装客户端程序以后,可以和防火墙实现: 自动阻止客户端非法ARP发包请求 实现双向ARP认证 实时从网关获取ARP可信信息 全面杜绝内网ARP及DDoS攻击 防止IP地址盗用 功能特点:适用于信息点不多的分校区,直接使用防火墙作为网关,配置简单,易于部署,免维护。 |
|
|
