编者按:对于SARS等劣性传染病,除治疗以外,最重要的当属切断传播途径,进行隔离。面对ARP攻击,这种方法同样非常有效。
【IT168 专稿】专家会诊概要:
1、通过VLAN阻断ARP病毒
病例一:可以给每台PC划分独立VLAN的情况
2、通过接入层阻断ARP病毒
病例二:可采用"防ARP攻击"接入交换机的情况
病例三:可采用"接入和核心交换机联动"的情况
3、通过核心层阻断ARP病毒
病例四:可采用 "防ARP攻击"核心交换机的情况
4、通过出口网管阻断ARP病毒
病例五:采用支持"防ARP攻击"的出口路由器
5、其它阻断ARP病毒的方案
病例六:短期内无法改变网络设备现状的情况
方案一、对网络划分独立VLAN来隔离
如果一个网络部署时,能够要求每台PC被划分在各自独立的VLAN中。例如,在酒店中通常就可以给每个客房的PC配置独立的VLAN ID。这样,即使某台PC终端感染了ARP病毒,那它也无法攻击其它VLAN中的PC和网络设备。下面是H3C相应的详细解决方案。
解决方案要点:
" 为每个PC终端或服务器配置独立VLAN ID,隔离相互间的ARP协议。
" 如果VLAN是配置在核心交换机和接入交换机上,可以进一步部署"核心层防ARP病毒攻击方案"实现全面防御,详见下文相关部分介绍。
" 如果VLAN是配置在路由器和接入交换机上,可以进一步部署"路由器防ARP病毒攻击方案"实现全面防御,详见下文相关部分介绍。
方案局限性:
如果组网能满足这种要求,就可以采用比较低端的交换机,从接入层就全面地防范了ARP病毒攻击。
不过,这种方案对设备支持VLAN的性能要求较高,配置很多VLAN导致多网段管理复杂。另外,除了酒店之外,一般网络出于文件共享、应用程序间通信等客户要求,不可能实现每个PC划分一个VLAN,仅是对主要功能区部署VLAN隔离,因此该方案应用范围有特殊性,是特定应用场景下的完美解决方案。
方案二、部署"防ARP攻击"接入交换机
对有实力的企业或新建网络的企事业单位,非常好的手段是全网部署"防ARP攻击"接入交换机,可以彻底地解决ARP病毒攻击问题,从接入层就过滤掉各种ARP欺骗报文。下面是H3C相应的详细解决方案。
情况一:局域网内PC动态分配IP地址,server静态分配地址
解决方案要点:
" 每台接入交换机启动DHCP Snooping
" 每台接入交换机启动ARP Detection
" 每台接入交换机配置静态ARP绑定表(仅需对服务器、网关的ARP表项进行绑定)
情况二:局域网内PC和server均静态分配地址
解决方案要点:
" 每台接入交换机配置静态ARP绑定(通过手工方式对每台PC、服务器、网关的ARP表项进行逐条绑定)
" 对于支持"一键绑定"的接入交换机,可以在其下挂PC终端都能正常上网时,一键配置将当前ARP绑定表设置为静态不可更改,简化ARP绑定表配置工作量。
方案局限性:
从接入层防范ARP攻击解决方案是一个完美的ARP病毒防御方案。但因为在接入层选用了较高档次的交换机设备,成本相对高些。
在实际组网中,可以根据网络各个区域的不同安全等级,将上述方案有机地结合在一起,从而实现既能完善地防范ARP病毒,又尽可能地节省设备投资。
例如,为了保留接入层防御的完美效果,又期望进一步降低投资,可以采用核心交换机和接入交换机联动防ARP攻击方案,在核心层采用较高档次的交换机设备,在接入层采用可联动防ARP攻击的简单交换机,通过核心交换机和接入交换机之间的联动,来实现防ARP攻击。这样一方面降低了成本,另一方面充分体现了智能网络的特点。下面是H3C相应的详细解决方案。
情况一:局域网内PC动态分配IP地址,server静态分配地址
解决方案要点:
" 核心交换机启动DHCP Snooping
" 核心交换机启动授权ARP
" 核心交换机配置静态ARP绑定(服务器、网关的ARP表)
" 启动核心交换机和接入交换机的ARP联动功能
" 每台接入交换机启动ARP攻击防护功能
情况二:局域网内PC和server均静态分配地址
解决方案要点:
" 核心交换机配置静态ARP绑定(服务器、网关的ARP表)
" 对于支持"一键绑定"的核心交换机,可以在其下挂PC终端都能正常上网时,一键配置将当前ARP绑定表设置为静态不可更改,简化ARP绑定表配置工作量。
" 启动核心交换机和接入交换机的ARP联动功能
" 每台接入交换机启动ARP攻击防护功能
方案局限性:
该方案也是一种从接入层全面防范ARP病毒攻击的完美方案,方案成本也较低,需要整网实施和部署。
方案三、部署"防ARP攻击"核心交换机
对于网络预算比较紧张,无法在接入层部署ARP病毒防御的用户,可以部署支持"防ARP攻击"的核心交换机。下面是H3C相应的详细解决方案。
情况一:局域网内PC动态分配IP地址,server静态分配地址
解决方案要点:
" 核心交换机启动DHCP Relay
" 核心交换机启动授权ARP
" 核心交换机配置静态ARP 绑定表(仅针对服务器、网关的ARP表)
" 网关和Server设置定期发送免费ARP,或者在每台PC机上配置网关和Server静态IP/MAC绑定。
情况二:局域网内PC和server均静态分配地址
解决方案要点:
" 核心交换机配置静态ARP 绑定表(PC、服务器、网关的ARP表)
" 对于支持"一键绑定"的核心交换机,可以在其下挂PC终端都能正常上网时,一键配置将当前ARP绑定表设置为静态不可更改,简化ARP绑定表配置工作量。
" 网关和Server设置定期发送免费ARP,或者在每台PC机上配置网关和Server静态IP/MAC绑定。
方案局限性:
这种方案能比较好地解决大部分ARP病毒攻击问题,各PC机上网、访问服务器都不会再有问题。 相比较"接入层交换机ARP病毒防御方案"成本低,但无法消除ARP病毒可能造成PC机之间不能通信的问题。
当采用静态分配地址时,相对于授权ARP表项的自动生成方式,静态ARP的表项是要将局域网内所有PC机、server、网关的ARP表项静态配置完成,网络变化时需要修改ARP表,维护工作量比较大。
方案四、部署"防ARP攻击"出口网关路由器
对于网络预算比较紧张,无法采购"防ARP攻击"交换机方案进行防御,或者是不愿改变现有的局域网现状,可以部署支持"防ARP攻击"出口网关路由器,也能简单有效地防御ARP病毒攻击。下面是H3C相应的详细解决方案。
情况一:局域网内PC动态分配IP地址,server静态分配地址
解决方案要点:
" 路由器启动DHCP Server(如果局域网内安装了独立的DHCP 服务器,路由器也可以配置DHCP Relay)
" 路由器启动授权ARP
" 路由器配置静态ARP 绑定表(服务器、网关的ARP表)
" 网关和Server设置定期发送免费ARP,或者在每台PC机上配置网关和Server静态IP/MAC绑定。
情况二:局域网内PC和server均静态分配地址
解决方案要点:
" 路由器配置静态ARP 绑定表(PC、服务器、网关的ARP表)
" 对于支持"一键绑定"的路由器,可以在其下挂PC终端都能正常上网时,一键配置将当前ARP表设置为静态不可更改,简化ARP表配置工作量。
" 网关和Server设置定期发送免费ARP,或者在每台PC机上配置网关和Server静态IP/MAC绑定。
方案局限性:
这种方案能比较好地解决大部分ARP病毒攻击问题,各PC机上网、访问服务器都不会再有问题。 相比较"接入层交换机ARP病毒防御方案"成本低,但无法消除ARP病毒可能造成PC机之间不能通信的问题。
当采用静态分配地址时,相对于授权ARP表项的自动生成方式,静态ARP的表项是要将局域网内所有PC机、server、网关的ARP表项静态配置完成,网络变化时需要修改ARP表,维护工作量比较大。
方案五、应对短期内无法改变网络设备现状的情况
A)对于短期内无法改变网络设备现状,可以参考静态IP情况下的解决方案,进行手工方式全静态ARP绑定。也可以参考下面两种措施:
B)通过PC机上安装ARP防火墙的方案。ARP软件防火墙的原理是在PC机系统内核拦截接收到的虚假ARP数据包,拦截本机外发的ARP攻击数据包,并主动向网关路由器通告正确的MAC地址。可用于小型网络,在用户端比较多的情况下不利于管理和维护。不从网络设备入手其实是很难彻底防御ARP病毒攻击的。
C)抛弃ARP协议组网的方案。显然,如果整个局域网络都不采用ARP协议是能根除ARP病毒攻击的。网上一些文章谈到采用IPX、PPP方式防ARP病毒,这些方法需要改变网络结构,实际上很难实施,此处不做详述。
还有一种PPPOE方案,原理是将出口路由器改变成 PPPOE 服务器的模式带PC客户机器上网。这种方案不使用ARP协议,也就不会有任何ARP病毒的风险,而且PPPOE不会改变原来的局域网拓扑结构,它是在802.3的基础上的二次封装数据包,实施起来相对简单。在路由器端设置为PPPOE服务器即可。PC客户机Windows操作系统上已经默认带有PPPOE客户端的拨号方式。可以通过建立脚本的方式,让Windows开机时自动拨号建立上网连接。
由于ARP协议给以太网建设带来了极大的便利性,抛弃ARP协议对大中型网络是不现实,不过对小型网络也是可以尝试这种方案的。H3C系列路由器都支持此种方案,不过考虑到PPPOE对路由器性能要求很高,推荐选用较高性能的路由器。