《一招绝杀ARP病毒》由会员分享,可在线阅读,更多相关《一招绝杀ARP病毒(10页珍藏版)》请在金锄头文库上搜索。
1、一招绝杀 ARP病毒信不信由你,对于一般网络来讲,95%以上的问题都是发生在内网。现实中,很难想象外部人员攻破了防火墙,进到内网转了一圈然后扬长而去这样的事情发生。事情往往是这样的,一台电脑因上网或使用 U 盘中了毒,然后以它为“中心”影响到了公司内网;或有不轨之徒,将未授权的电脑轻松地接入了内网,因为内网没有任何安全策略,导致所有资源一览无余,同时 TA 还可以进行一些破坏活动,比如 ARP 攻击。如何才能让内网变得更加安全?其实答案非常简单牢牢管住每台交换机上的每个端口。对交换机端口实施有效的管理,其目的是抑制存在风险的流量进入网络,只要做到这一点,什么 ARP 攻击, DHCP 攻击等等
2、,一切都将是浮云。要知道,在内网中搞破坏其实很简单,所以我们必须具备一定的风险防御手段。飞鱼星防攻击安全联动系统(ASN)注解:当路由器发现内网有 SYN FLOOD 类别的 DDoS 攻击时,它会将管理指令发给交换机,交换机在相关端口执行命令,关闭攻击源所在的端口,并实施 5 分钟的断网惩罚,以保护整体网络的安全和稳定。今天我们要介绍的不是一款产品,而是一套方案飞鱼星防攻击安全联动系统(ASN)。 ASN 系统由路由器和交换机两部分组成,由于引入了交换机,所以这套系统可以将管理策略延伸至网络的末端,也就是交换机的每个端口上。除了“延伸”了可管理性,ASN 系统的另一大特点是设备间的联动,只需
3、将交换机接入网络,路由器就可以自动查找并接管交换机。这种设计的一大优势就是简化管理,试想,也许管理 1 台交换机很容易,但如果是 10 台交换机,甚至是更大型的网络该怎么办?集中管理手段还是很必要的。飞鱼星 6200 图片评测论坛报价网购实价我们先来看一下 ASN 联动系统的核心组件路由器。本次试用我们拿到的是Volans-6200,这是一款全千兆多 WAN 防火墙宽带路由器,针对网吧应用进行了大量优化。6200 内置了 64 位处理器,1G 主频,内存达到了 256M,最高支持 40 万条网络会话。6200提供 2 个千兆 WAN 口,4 个千兆 LAN 口,这样的配置可完全满足网吧核心千兆
4、组网的需求,而且为日后网络扩容提供了足够的性能冗余,典型带机量为 400 台左右。飞鱼星 VS-5524GA 图片系列评测论坛报价网购实价VS-5524GA 是一款用于汇聚层的二+四层交换机,提供了 24 个 10/100/1000Mbps自适应端口,能彻底防御 ARP 病毒和 DDoS 攻击,从而避免路由器遭受攻击,保护 DHCP服务器,同时对无盘网络进行了优化。VS-5524GA 的具体功能特性包括服务质量( QoS)、组播管理、可实施灵活的安全和管理策略,包括支持基于物理端口、802.1P、COS 协议的优先级控制(二层);支持基于 IP 和协议的带宽速率限制或优先级控制(三层);支持基
5、于传输流和协议的带宽速率限制或优先级控制(四层)。作为 ASN 联动系统的一部分,当网络遭受攻击时,系统主控设备(路由器或中心交换机)将安全策略和处理机制自动下发到安全事件发生的网络区域,交换机在物理端口实施安全管制,同时会将该安全策略同步到整个网络中,这样就可以实现安全策略联动和一体化防护。本次试用我们将围绕这部分功能展开,具体包括三点内容,分别是ARP、DHCP 攻击防御,以及介绍 ANS 的集中管理方式网络安全攻防战傻瓜型交换机只提供了一个功能让电脑接入网络,除此之外这类产品就“一无是处”了。如果为了省钱,全网只使用了这类交换机,那么 IT 对于内网是没有任何控制能力的。比如 ARP 病
6、毒,它就专门“欺负”那种想省钱的公司。平时天下太平,一但 ARP病毒爆发,全网必定瘫痪。关于 ARP 的问题,具体可以参见这个贴子,讲的非常详细。几乎所有路由器产品都提供了 IP/MAC 绑定功能,也许有人认为,它可以防御 ARP 攻击,然而不幸的是,绑定 IP/MAC 其实对于防御 ARP 攻击毫无帮助,因为路由器无法验证数据流量来自哪台主机(虚假流量可以轻易被伪造并发送至网络中),只要网络中存在虚假的 ARP 流量,整个网络或者局部网络就会瘫痪。如何才能限制虚假 ARP 包被发送到网络中?只有一个办法在交换机端口上做限制。将 IP 地址、MAC 地址和交换机端口三者进行绑定,其目的是:在某
7、一端口只允许一组 IP/MAC 组合通过。由于 MAC 地址和 IP 地址在当前子网中均是唯一的,所以它们不可能同时出现在两个端口上,有了这一机制,虚假 ARP 流量根本就不会被发送到网络中。没有绑定交换机端口的情况下,一攻击整个网络就瘫痪了Mir 是一个内网 TCP 半连接洪水攻击程序,不过 Mir 的攻击方式不是仅向目标发送 SYN 包,它会在发起攻击前检索局域网内所有的主机信息,然后冒用其它主机的 MAC地址和 IP 地址向目标发起 Flood 攻击,导致目标设备 IP/MAC 表混乱,从而使网络通讯异常。Mir 的使用方法非常简单,绿色可直接运行,使用 U 盘携带或通过邮件收发都可,试
8、想在网络管理不够严谨的网吧中,瘫痪整个网络是件多么容易的事,而且最要命的事,你根本无法定位攻击源。被伪造的虚假流量上面的截图是使用 Mir 攻击一台 PC,并在被攻击 PC 上使用 Wireshark 抓得的数据包。可以看到,源地址有很多,但它们其实都来自一台主机,而这些地址是网络中其它主机正在使用的地址,此时被攻击的主机就彻底晕了,ARP 病毒正是这样捣乱的。飞鱼星 VS-5524GA 的超级绑定功能可以将 IP 地址,MAC 地址和端口三者进行绑定再次进行同样的攻击测试,网络完全不受影响在上面的测试中,我们没有开启“联动惩罚”功能,所以,虽然主机在对网络展开攻击行为,但是主机的网络通信并没
9、有被切断,如果想将问题主机自动从网络中隔离出去,“联动惩罚”是个好帮手。主机尝试 SNY 攻击,网络被切断主机尝试 UDP Flood 攻击,网络被切断 防御 DHCP 攻击当电脑数量较多时,正是 DHCP 服务大大简化了 IP 分配与管理的工作。但是,如果有人在网络中私自运行了 DHCP 服务会怎样?你的网络一定会大乱套。DHCP 服务的作用是响应主机请求,回应给主机相应的 IP 地址,但是这一过程基本上是不可控的任何主机都能收到 DHCP 请求,任何 DHCP 服务器都可以回应主机的这一请求。如果网络中存在非法 DHCP 服务器,而所有主机又使用动态 IP 分配方式,那么网络就乱套了。解决
10、方法同样很简单禁止非法 DHCP 流量进入网络,实现这一点,自然也要从交换机端口下手。我被分配了错误的 IP 地址!原来是有人在捣鬼DHCP 服务器保护在启用了 DHCP 服务器保护功能后,我们做了个测试,方法很简单,断开路由器(其上运行着 DHCP 服务),交换机上连接两台 PC,其中一台为 WINDOWS Server2003,在其上启用 DHCP 服务,观察另一台主机是否可以拿到 IP 地址。非法 DHCP 服务没有起到作用左图为 WINDOWS Server2003 DHCP 服务的控制台,可以看到,没有地址被分配出去,同样,右边的主机没有拿到 IP 地址。简易的管理方式安全联动ANS
11、 安全联动主要包括两部分功能,协同工作与统一管理,前者是功能层面,而后者是管理层面。现实中,被攻击目标往往是路由器(网关),但是,攻击源却是与交换机直接相连的主机,而管理主机最好的方法就是从交换机端口入手,所以安全联动构成的是一个安全防御系统,路由器负责判断行为是否非法,交换机负责执行“防御动作”。这部分功能主要由“ 联动惩罚” 模块实现。ANS 联动处罚模块在管理层面,主要涉及的是策略分发与集中管理,这部分功能主要由“安全联动管理”模块实现,如下图所示:安全联动配置所有安全联动交换机都会出现在“ 注册交换机列表”中,可快速访问并进行管理交换机上的所有功能模块均可在路由器上直接配置,方便管理大
12、型网络飞鱼星安全联动系统(ASN)试用总结:飞鱼星防攻击安全联动系统(ASN)的目标市场是网吧用户,这套系统很好地解决了网络管理所存在的“管理真空”内网管理,它将可管理性延伸到了网络的末梢交换机的每个端口上,同时借助统一管理,易用性也得到了很大的改善。用户在选购网络设备时常常存在这样一个误区,路由器一定要精挑细选,而交换机,只要能用就可以了,只买最便宜的。难道交换机真的就不重要吗?当然不是。交换机作为网络的大门,不仅仅承担着联通网络的任务,它在管理与安全方面同样起着至关重要作用。现实中,最常见的可能就是 ARP 攻击和 DHCP 攻击了,它们的共同特点是没有技术门槛,影响范围大,难以排查故障源。而在它们面前,再好的路由器也完全不给力,因为这本来就不是路由器涉足的领域,内网安全更多时候依靠的其实是交换机,而 ANS 方案正好整合了两者最重要的安全功能,以协同工作的方式实现了整网可管理。
