网络通信 频道

ARP攻击专家会诊:切断传播途径六招

    编者按:对于SARS等劣性传染病,除治疗以外,最重要的当属切断传播途径,进行隔离。面对ARP攻击,这种方法同样非常有效。
     
    【IT168 专稿】专家会诊概要:
    1、通过VLAN阻断ARP病毒
      病例一:可以给每台PC划分独立VLAN的情况
    2、通过接入层阻断ARP病毒
      病例二:可采用"防ARP攻击"接入交换机的情况
      病例三:可采用"接入和核心交换机联动"的情况  
    3、通过核心层阻断ARP病毒
      病例四:可采用 "防ARP攻击"核心交换机的情况
    4、通过出口网管阻断ARP病毒
      病例五:采用支持"防ARP攻击"的出口路由器
    5、其它阻断ARP病毒的方案
      病例六:短期内无法改变网络设备现状的情况


    方案一、对网络划分独立VLAN来隔离

    如果一个网络部署时,能够要求每台PC被划分在各自独立的VLAN中。例如,在酒店中通常就可以给每个客房的PC配置独立的VLAN ID。这样,即使某台PC终端感染了ARP病毒,那它也无法攻击其它VLAN中的PC和网络设备。下面是H3C相应的详细解决方案。
     
    解决方案要点:
    " 为每个PC终端或服务器配置独立VLAN ID,隔离相互间的ARP协议。
    " 如果VLAN是配置在核心交换机和接入交换机上,可以进一步部署"核心层防ARP病毒攻击方案"实现全面防御,详见下文相关部分介绍。
    " 如果VLAN是配置在路由器和接入交换机上,可以进一步部署"路由器防ARP病毒攻击方案"实现全面防御,详见下文相关部分介绍。

    方案局限性:
    如果组网能满足这种要求,就可以采用比较低端的交换机,从接入层就全面地防范了ARP病毒攻击。
    不过,这种方案对设备支持VLAN的性能要求较高,配置很多VLAN导致多网段管理复杂。另外,除了酒店之外,一般网络出于文件共享、应用程序间通信等客户要求,不可能实现每个PC划分一个VLAN,仅是对主要功能区部署VLAN隔离,因此该方案应用范围有特殊性,是特定应用场景下的完美解决方案。

0
相关文章