H3C ARP病毒专家会诊室.docx
- 文档编号:10917858
- 上传时间:2023-02-23
- 格式:DOCX
- 页数:16
- 大小:109.16KB
H3C ARP病毒专家会诊室.docx
《H3C ARP病毒专家会诊室.docx》由会员分享,可在线阅读,更多相关《H3C ARP病毒专家会诊室.docx(16页珍藏版)》请在冰豆网上搜索。
H3CARP病毒专家会诊室
一号专家会诊室
使用杀毒软件杀毒来管理传染源
遇到过ARP病毒攻击的信息主管都知道,如果明确了是哪台机子中了ARP病毒,后续操作就相对简单了:
立刻拔掉该PC机网线,使用专门ARP专杀软件即可。
从之前的ARP病毒机理分析上可以看出,难点就是在如何能快速定位ARP病毒攻击源上。
当前,不少网络管理员都是在员工反馈时,才得知网络不能正常使用了,延误了ARP病毒的治疗时间。
在定位ARP攻击源时,小的公司还能要求每个员工都用查毒软件自查一遍。
稍大点的公司,就只能通过对每个网络设备端口插拔网线来一一排查。
即使有网管高手,没有一两个小时也很难具体定位是哪台机子在做ARP攻击。
要想第一时间得知网络异常,用最短的时间定位ARP攻击源,最佳的手段就是利用网络设备和网管平台的即时告警和网管分析功能。
但传统网管软件的高价和防ARP病毒功能缺失,限制了中小型企业部署网管系统。
针对于此,H3C发布了MiniIMC智能网管系统,让中小企业仅投资几万元就可以集中管理到最多四十台网络设备、上千台PC终端的网络。
同时,H3C还大量丰富了路由器、交换机的WEB网管功能,让仅有几台网络设备的小网络,也同样能即时获得网络异常告警信息,直观显示ARP表的变化情况。
可能有一些人认为购买网管软件的投入太贵,真对这种误区,我们可以做一个测算。
例如,一个300台PC终端的小企业,人均工资2200元。
如果从出现ARP病毒,到最终定位到攻击源花费了2个小时,那么仅员工无法正常上网办公造成的工资损失就达:
300×2200/22/8×2=7500元。
一年出现过几次就差不多够买一套MiniIMC。
而2个小时带来业务损失其实远不止这些。
可见,在网络应用日益重要的情况下,部署网管系统缩短故障和病毒定位时间是非常有必要的。
在仅有几台网络设备的小型网络,采用支持ARP病毒防御WEB网管的路由器、交换机;在有二三十台左右设备的中型网络,采用支持网流异常告警和智能网络分析的网管软件平台,配合ARP病毒杀掉软件,是在ARP病毒事发后快速消除病毒威胁的有效手段。
设备选型推荐:
网络层次
H3C产品型号
网管软件
H3CiMC-中小型网络管理版(MiniiMC)(含40节点)ForWindows-纯软件(CD)中文版
网络设备WEB网管
S5500SI/EI系列
S5510系列
S5100SI/EI系列
S5000E系列
S3600SI/EI系列
S3100EI系列
MSR20/30/50系列
ER5000/3000系列
1、发现ARP病毒
一般建议:
员工反馈网络不能正常使用
H3C专家建议:
通过网管平台即时告警
2、定位ARP病毒源
一般建议:
高手抓网络报文分析
要求所有员工查病毒
H3C专家建议:
设备WEB网管直观显示
智能网管的网流报告
3、使用杀毒软件杀毒
遇到过ARP病毒攻击的信息主管都知道,如果明确了是哪台机子中了ARP病毒,后续操作就相对简单了:
立刻拔掉该PC机网线,使用专门ARP专杀软件即可。
从之前的ARP病毒机理分析上可以看出,难点就是在如何能快速定位ARP病毒攻击源上。
二号专家会诊室
1、通过VLAN阻断ARP病毒
病例一:
可以给每台PC划分独立VLAN的情况
专家药方>>
2、通过接入层阻断ARP病毒
病例二:
可采用“防ARP攻击”接入交换机的情况
专家药方>>
病例三:
可采用“接入和核心交换机联动”的情况
专家药方>>
3、通过核心层阻断ARP病毒
病例四:
可采用“防ARP攻击”核心交换机的情况
专家药方>>
4、通过出口网管阻断ARP病毒
病例五:
采用支持“防ARP攻击”的出口路由器
专家药方>>
5、其它阻断ARP病毒的方案
病例六:
短期内无法改变网络设备现状的情况
专家药方>>
1、可以给每台PC划分独立VLAN的情况
如果一个网络部署时,能够要求每台PC被划分在各自独立的VLAN中。
例如,在酒店中通常就可以给每个客房的PC配置独立的VLANID。
这样,即使某台PC终端感染了ARP病毒,那它也无法攻击其它VLAN中的PC和网络设备。
下面是H3C相应的详细解决方案。
解决方案要点:
1.为每个PC终端或服务器配置独立VLANID,隔离相互间的ARP协议。
2.如果VLAN是配置在核心交换机和接入交换机上,可以进一步部署“核心层防ARP病毒攻击方案”实现全面防御,详见下文相关部分介绍。
3.如果VLAN是配置在路由器和接入交换机上,可以进一步部署“路由器防ARP病毒攻击方案”实现全面防御,详见下文相关部分介绍。
方案局限性:
如果组网能满足这种要求,就可以采用比较低端的交换机,从接入层就全面地防范了ARP病毒攻击。
不过,这种方案对设备支持VLAN的性能要求较高,配置很多VLAN导致多网段管理复杂。
另外,除了酒店之外,一般网络出于文件共享、应用程序间通信等客户要求,不可能实现每个PC划分一个VLAN,仅是对主要功能区部署VLAN隔离,因此该方案应用范围有特殊性,是特定应用场景下的完美解决方案。
2、能全网部署“防ARP攻击”接入交换机的情况
对有实力的企业或新建网络的企事业单位,最佳手段是全网部署“防ARP攻击”接入交换机,可以彻底地解决ARP病毒攻击问题,从接入层就过滤掉各种ARP欺骗报文。
下面是H3C相应的详细解决方案。
情况一:
局域网内PC动态分配IP地址,server静态分配地址
解决方案要点:
1.每台接入交换机启动DHCPSnooping
2.每台接入交换机启动ARPDetection
3.每台接入交换机配置静态ARP绑定表(仅需对服务器、网关的ARP表项进行绑定)
情况二:
局域网内PC和server均静态分配地址
解决方案要点:
1.每台接入交换机配置静态ARP绑定(通过手工方式对每台PC、服务器、网关的ARP表项进行逐条绑定)
2.对于支持“一键绑定”的接入交换机,可以在其下挂PC终端都能正常上网时,一键配置将当前ARP绑定表设置为静态不可更改,简化ARP绑定表配置工作量。
方案局限性:
1.从接入层防范ARP攻击解决方案是一个完美的ARP病毒防御方案。
但因为在接入层选用了较高档次的交换机设备,成本相对高些。
设备选型推荐:
网络层次
H3C交换机型号
接入交换机
S5100SI/EI系列
S5000E系列
S3600SI/EI系列
S3100EI系列
E126A教育网系列
3、在实际组网中,可以根据网络各个区域的不同安全等级,将上述方案有机地结合在一起,从而实现既能完善地防范ARP病毒,又尽可能地节省设备投资。
例如,为了保留接入层防御的完美效果,又期望进一步降低投资,可以采用核心交换机和接入交换机联动防ARP攻击方案,在核心层采用较高档次的交换机设备,在接入层采用可联动防ARP攻击的简单交换机,通过核心交换机和接入交换机之间的联动,来实现防ARP攻击。
这样一方面降低了成本,另一方面充分体现了智能网络的特点。
下面是H3C相应的详细解决方案。
情况一:
局域网内PC动态分配IP地址,server静态分配地址
解决方案要点:
1.核心交换机启动DHCPSnooping
2.核心交换机启动授权ARP
3.核心交换机配置静态ARP绑定(服务器、网关的ARP表)
4.启动核心交换机和接入交换机的ARP联动功能
5.每台接入交换机启动ARP攻击防护功能
情况二:
局域网内PC和server均静态分配地址
解决方案要点:
1.核心交换机配置静态ARP绑定(服务器、网关的ARP表)
2.对于支持“一键绑定”的核心交换机,可以在其下挂PC终端都能正常上网时,一键配置将当前ARP绑定表设置为静态不可更改,简化ARP绑定表配置工作量。
3.启动核心交换机和接入交换机的ARP联动功能
4.每台接入交换机启动ARP攻击防护功能
方案局限性:
1.该方案也是一种从接入层全面防范ARP病毒攻击的完美方案,方案成本也较低,需要整网实施和部署。
设备选型推荐:
网络层次
H3C交换机型号
核心交换机
S5000E系列(S5024E/S5048E)
接入交换机
S5000P系列(S5016P/S5024P)
4、核心交换机可以支持“防ARP攻击”的情况。
对于网络预算比较紧张,无法在接入层部署ARP病毒防御的用户,可以部署支持“防ARP攻击”的核心交换机。
下面是H3C相应的详细解决方案。
情况一:
局域网内PC动态分配IP地址,server静态分配地址
解决方案要点:
1.核心交换机启动DHCPRelay
2.核心交换机启动授权ARP
3.核心交换机配置静态ARP绑定表(仅针对服务器、网关的ARP表)
4.网关和Server设置定期发送免费ARP,或者在每台PC机上配置网关和Server静态IP/MAC绑定。
情况二:
局域网内PC和server均静态分配地址
解决方案要点:
1.核心交换机配置静态ARP绑定表(PC、服务器、网关的ARP表)
2.对于支持“一键绑定”的核心交换机,可以在其下挂PC终端都能正常上网时,一键配置将当前ARP绑定表设置为静态不可更改,简化ARP绑定表配置工作量。
3.网关和Server设置定期发送免费ARP,或者在每台PC机上配置网关和Server静态IP/MAC绑定。
方案局限性:
1.这种方案能比较好地解决大部分ARP病毒攻击问题,各PC机上网、访问服务器都不会再有问题。
相比较“接入层交换机ARP病毒防御方案”成本低,但无法消除ARP病毒可能造成PC机之间不能通信的问题。
2.当采用静态分配地址时,相对于授权ARP表项的自动生成方式,静态ARP的表项是要将局域网内所有PC机、server、网关的ARP表项静态配置完成,网络变化时需要修改ARP表,维护工作量比较大。
设备选型推荐:
网络层次
H3C交换机型号
核心交换机
S9500系列
S7500E系列
S7500系列
S5600系列
S5500EI/SI系列
S5510系列
S5000E系列
S3600SI/EI系列
接入交换机
S1000无管理交换机系列
S1200无管理交换机系列
S1500系列
S2100-CN系列
S2126EI
S3100SI系列
E126-SI/E126
5、出口网关路由器可以支持“防ARP攻击”的情况
对于网络预算比较紧张,无法采购“防ARP攻击”交换机方案进行防御,或者是不愿改变现有的局域网现状,可以部署支持“防ARP攻击”出口网关路由器,也能简单有效地防御ARP病毒攻击。
下面是H3C相应的详细解决方案。
情况一:
局域网内PC动态分配IP地址,server静态分配地址
解决方案要点:
1.路由器启动DHCPServer(如果局域网内安装了独立的DHCP服务器,路由器也可以配置DHCPRelay)
2.路由器启动授权ARP
3.路由器配置静态ARP绑定表(服务器、网关的ARP表)
4.网关和Server设置定期发送免费ARP,或者在每台PC机上配置网关和Server静态IP/MAC绑定。
情况二:
局域网内PC和server均静态分配地址
解决方案要点:
1.路由器配置静态ARP绑定表(PC、服务器、网关的ARP表)
2.对于支持“一键绑定”的路由器,可以在其下挂PC终端都能正常上网时,一键配置将当前ARP表设置为静态不可更改,简化ARP表配置工作量。
3.网关和Server设置定期发送免费ARP,或者在每台PC机上配置网关和Server静态IP/MAC绑定。
方案局限性:
1.这种方案能比较好地解决大部分ARP病毒攻击问题,各PC机上网、访问服务器都不会再有问题。
相比较“接入层交换机ARP病毒防御方案”成本低,但无法消除ARP病毒可能造成PC机之间不能通信的问题。
2.当采用静态分配地址时,相对于授权ARP表项的自动生成方式,静态ARP的表项是要将局域网内所有PC机、server、网关的ARP表项静态配置完成,网络变化时需要修改ARP表,维护工作量比较大。
设备选型推荐:
网络层次
H3C路由器型号
路由器
MSR50系列
MSR30系列
MSR20系列
ER5000系列
ER3000系列
6、短期内无法改变网络设备现状的情况
A)对于短期内无法改变网络设备现状,可以参考静态IP情况下的解决方案,进行手工方式全静态ARP绑定。
也可以参考下面两种措施:
B)通过PC机上安装ARP防火墙的方案。
ARP软件防火墙的原理是在PC机系统内核拦截接收到的虚假ARP数据包,拦截本机外发的ARP攻击数据包,并主动向网关路由器通告正确的MAC地址。
可用于小型网络,在用户端比较多的情况下不利于管理和维护。
不从网络设备入手其实是很难彻底防御ARP病毒攻击的。
C)抛弃ARP协议组网的方案。
显然,如果整个局域网络都不采用ARP协议是能根除ARP病毒攻击的。
网上一些文章谈到采用IPX、PPP方式防ARP病毒,这些方法需要改变网络结构,实际上很难实施,此处不做详述。
还有一种PPPOE方案,原理是将出口路由器改变成PPPOE服务器的模式带PC客户机器上网。
这种方案不使用ARP协议,也就不会有任何ARP病毒的风险,而且PPPOE不会改变原来的局域网拓扑结构,它是在802.3的基础上的二次封装数据包,实施起来相对简单。
在路由器端设置为PPPOE服务器即可。
PC客户机Windows操作系统上已经默认带有PPPOE客户端的拨号方式。
可以通过建立脚本的方式,让Windows开机时自动拨号建立上网连接。
由于ARP协议给以太网建设带来了极大的便利性,抛弃ARP协议对大中型网络是不现实,不过对小型网络也是可以尝试这种方案的。
H3C系列路由器都支持此种方案,不过考虑到PPPOE对路由器性能要求很高,推荐选用较高性能的路由器。
“PPPOE方式ARP病毒防御”设备选型推荐:
网络层次
H3C路由器型号
路由器
SR66系列
MSR50系列
MSR30系列
MSR20系列
举例:
对于200个左右信息点的网络,采用PPPOE方案时推荐使用MSR50-06
三号专家会诊室
为了确保每台接入网络的PC都具备最新的病毒防护能力,您必须注射疫苗:
1、确保每台接入网络的PC都是合法用户
802.1x认证
Portal认证
2、确保每台PC中的病毒库和系统补丁最新
和病毒库、补丁库联动;定时检查与同步
和网络设备联动,病毒和补丁不是最新,将被隔离
详细方案介绍>>
设置针对性手段,抵抗ARP病毒的洪泛攻击
三号专家会诊室
如何预防网络感染未知病毒?
可以说通过切断传播途径是能够彻底地控制ARP病毒的,但对未知病毒又该如何应对?
安装防病毒软件和防火墙是必要的,但更重要的是要保证病毒库和操作系统补丁的即时升级。
而单纯依赖每个PC终端的主动性是不可靠的,而且,如何接入网络的PC终端本身就是非法用户的话,问题就更大了。
针对与此,H3C端点接入防御解决方案(EAD,EndpointAdmissionDefense)提供了一个全新的安全防御体系,将病毒防御功能和网络接入控制相融合,加强了对用户终端的集中管理,提高了网络终端的主动抵抗能力。
EAD方案通过在每台PC机上的安全客户端、网络内部署的安全策略服务器、接入网络设备和防病毒软件直接实现联动,可以将不符合安全要求的终端限制在“隔离区”内,防止“危险”终端对网络安全的损害,避免“易感”终端收到病毒、蠕虫的攻击,从而大幅度提升了网络抵御未知病毒的能力。
设备选型推荐:
网络层次
设备型号或系列
EAD组件
1.H3CiMC-智能管理平台标准版(不含节点)ForWindows-纯软件(CD)中文版
2.H3CiMC-SW7M1EADN-EAD安全策略组件(不含安全认证用户License)-纯软件(CD)中文版
3.License授权函-H3CiMC-SW7M1EADC-EAD安全策略组件license费用-管理200安全认证用户
4.H3CiNode-iNodeEAD客户端组件(forWindows)-纯软件(CD)中文版专业版
5.H3CiNode-iNodeEAD客户端组件(forWindows)中文版专业版-每增加200用户应用软件费用
配套的接入设备
S3100EI系列
S3600SI/EI系列
S5100EI
MSR20/30/50
号专家会诊室
保护网络设备不受ARP泛洪攻击?
某些ARP病毒的攻击思路就是简单粗暴,像洪水泛滥一样对PC终端或网络设备发ARP报文,通过大量消耗被攻击对象的网络带宽和CPU处理能力达到攻击目的。
对这类攻击,攻击源是比较容易定位和隔离查杀的,主要是能在ARP报文经过的各个环节实施探测,出现异常时就临时关闭该端口,缩小攻击范围和网络故障时间。
例如:
H3C低端接入交换机就可做到开启某个端口的ARP报文限速功能后,交换机对每秒内该端口接收的ARP报文数量进行统计,如果每秒收到的ARP报文数量超过设定值,则认为该端口处于超速状态(即受到ARP报文攻击)。
此时,交换机将关闭该端口,使其不再接收任何报文,从而避免大量ARP报文攻击设备。
同时,设备支持配置端口状态自动恢复功能,对于配置了ARP限速功能的端口,在其因超速而被交换机关闭后,经过一段时间可以自动恢复为开启状态。
同样,在H3C的核心交换机和路由器网关系列产品中也都支持相应功能。
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- H3C ARP病毒专家会诊室 ARP 病毒 专家 会诊