【IT168 厂商动态】前言：

　　随着科学技术的飞速发展，21世纪的地球人已经生活在信息时代。20世纪人类两大科学技术成果——计算机技术和网络技术，均已深入到人类社会的各个领域，Internet把“地球村”的居民紧密联系在一起，“天涯若比邻”已然成为现实。近年来Internet的迅速发展，给人们的日常生活带来了全新的感受，“网络生存”已经成为时尚，同时人类社会诸如政治、科研、经济、军事等各种活动对信息网络的依赖程度已经越来越强，“网络经济”时代已初露端倪。然而，网络技术的发展在给我们带来便利的同时也带来了巨大的安全隐患，尤其是Internet和Intranet的飞速发展对网络安全提出了前所未有的挑战。

　　众多网管在多年使用艾泰交换机构架的网络环境后，都评论到: 艾泰“神器”威武!现在让我们来看看，传说中的“神器”究竟神在哪里?

　　测试环境：

　　测试过程：

　　在路由器与交换机未作任何防攻击策略时，攻击电脑(IP地址为192.168.1.32)使用一款常见的攻击软件——幻境网盾，对局域网中另一台电脑(IP地址为192.168.1.46，并且已经开启360安全卫士)进行网络攻击。

▲图1：攻击软件——幻境网盾

　　从受攻击电脑(IP地址为192.168.1.46)受到攻击前后的ping局域网网关192.168.1.1与ping www.baidu.com的情况可以看到：ping局域网网关不丢包(图2中的右图)，延时正常;ping www.baidu.com则发生持续丢包现象(图2中的左图)，被攻击电脑无法访问互联网。

▲图2：受攻击电脑受攻击前后ping网关、百度域名情况

　　攻击数据分析：

　　通过在攻击电脑上使用抓包软件，获取到攻击数据，我们可以看到(如图3所示)：攻击电脑伪造了受攻击电脑的MAC(00:25:56:b7:2f:0b)地址向局域网中发出了大量非IP类型的数据，构成了在局域网中的伪造MAC地址欺骗。因攻击数据中不具备IP地址信息，即使通过在路由器与受攻击电脑上互相绑定对方的IP、MAC地址也无法解决这种非ARP欺骗的问题(IP/MAC双向绑定可解决ARP欺骗)，受攻击电脑安装的360安全卫士软件亦无法抵御这种网络攻击。

▲图3：抓包软件获取到攻击电脑发出的攻击数据

　　解决方案：

　　局域网中使用艾泰SG 2124或SG 3124R型号的交换机，在交换机的安全日志功能里可以观察到内网某个端口存在MAC地址欺骗事件(如图4所示)，可通过交换机的MAC管理功能，将攻击电脑的MAC地址与其所连交换机的端口(PORT)进行绑定，并开启该端口的端口保护功能后(如图5所示)，能将攻击的数据过滤掉，使之无法进入到交换机当中，实现在局域网中防御伪造MAC地址欺骗。

▲图4：交换机安全日志功能

▲图5：交换机MAC管理功能

　　实施效果：

　　通过艾泰交换机SG 2124或SG 3124R的MAC管理功能，能轻松将内网攻击数据堵截，既能使受攻击电脑能正常上网不受影响(如图6所示)，还能让攻击电脑也能正常上网只不过是过滤其发出来的攻击类型的数据。

▲图6：受攻击电脑由“未受攻击”—“受攻击”—“被交换机保护”的ping网关、百度域名情况

▲