一招绝杀ARP病毒.docx
《一招绝杀ARP病毒.docx》由会员分享,可在线阅读,更多相关《一招绝杀ARP病毒.docx(12页珍藏版)》请在冰点文库上搜索。
一招绝杀ARP病毒
一招绝杀ARP病毒
信不信由你,对于一般网络来讲,95%以上的问题都是发生在内网。
现实中,很难想象外部人员攻破了防火墙,进到内网转了一圈然后扬长而去这样的事情发生。
事情往往是这样的,一台电脑因上网或使用U盘中了毒,然后以它为“中心”影响到了公司内网;或有不轨之徒,将未授权的电脑轻松地接入了内网,因为内网没有任何安全策略,导致所有资源一览无余,同时TA还可以进行一些破坏活动,比如ARP攻击。
如何才能让内网变得更加安全?
其实答案非常简单——牢牢管住每台交换机上的每个端口。
对交换机端口实施有效的管理,其目的是抑制存在风险的流量进入网络,只要做到这一点,什么ARP攻击,DHCP攻击等等,一切都将是浮云。
要知道,在内网中搞破坏其实很简单,所以我们必须具备一定的风险防御手段。
飞鱼星防攻击安全联动系统(ASN)
注解:
当路由器发现内网有SYNFLOOD类别的DDoS攻击时,它会将管理指令发给交换机,交换机在相关端口执行命令,关闭攻击源所在的端口,并实施5分钟的断网惩罚,以保护整体网络的安全和稳定。
今天我们要介绍的不是一款产品,而是一套方案——飞鱼星防攻击安全联动系统(ASN)。
ASN系统由路由器和交换机两部分组成,由于引入了交换机,所以这套系统可以将管理策略延伸至网络的末端,也就是交换机的每个端口上。
除了“延伸”了可管理性,ASN系统的另一大特点是设备间的联动,只需将交换机接入网络,路由器就可以自动查找并接管交换机。
这种设计的一大优势就是简化管理,试想,也许管理1台交换机很容易,但如果是10台交换机,甚至是更大型的网络该怎么办?
集中管理手段还是很必要的。
飞鱼星6200图片评测论坛报价网购实价
我们先来看一下ASN联动系统的核心组件——路由器。
本次试用我们拿到的是Volans-6200,这是一款全千兆多WAN防火墙宽带路由器,针对网吧应用进行了大量优化。
6200内置了64位处理器,1G主频,内存达到了256M,最高支持40万条网络会话。
6200提供2个千兆WAN口,4个千兆LAN口,这样的配置可完全满足网吧核心千兆组网的需求,而且为日后网络扩容提供了足够的性能冗余,典型带机量为400台左右。
飞鱼星VS-5524GA图片系列评测论坛报价网购实价
VS-5524GA是一款用于汇聚层的二+四层交换机,提供了24个10/100/1000Mbps自适应端口,能彻底防御ARP病毒和DDoS攻击,从而避免路由器遭受攻击,保护DHCP服务器,同时对无盘网络进行了优化。
VS-5524GA的具体功能特性包括服务质量(QoS)、组播管理、可实施灵活的安全和管理策略,包括支持基于物理端口、802.1P、COS协议的优先级控制(二层);支持基于IP和协议的带宽速率限制或优先级控制(三层);支持基于传输流和协议的带宽速率限制或优先级控制(四层)。
作为ASN联动系统的一部分,当网络遭受攻击时,系统主控设备(路由器或中心交换机)将安全策略和处理机制自动下发到安全事件发生的网络区域,交换机在物理端口实施安全管制,同时会将该安全策略同步到整个网络中,这样就可以实现安全策略联动和一体化防护。
本次试用我们将围绕这部分功能展开,具体包括三点内容,分别是ARP、DHCP攻击防御,以及介绍ANS的集中管理方式
网络安全攻防战
傻瓜型交换机只提供了一个功能——让电脑接入网络,除此之外这类产品就“一无是处”了。
如果为了省钱,全网只使用了这类交换机,那么IT对于内网是没有任何控制能力的。
比如ARP病毒,它就专门“欺负”那种想省钱的公司。
平时天下太平,一但ARP病毒爆发,全网必定瘫痪。
关于ARP的问题,具体可以参见这个贴子,讲的非常详细。
几乎所有路由器产品都提供了IP/MAC绑定功能,也许有人认为,它可以防御ARP攻击,然而不幸的是,绑定IP/MAC其实对于防御ARP攻击毫无帮助,因为路由器无法验证数据流量来自哪台主机(虚假流量可以轻易被伪造并发送至网络中),只要网络中存在虚假的ARP流量,整个网络或者局部网络就会瘫痪。
如何才能限制虚假ARP包被发送到网络中?
只有一个办法——在交换机端口上做限制。
将IP地址、MAC地址和交换机端口三者进行绑定,其目的是:
在某一端口只允许一组IP/MAC组合通过。
由于MAC地址和IP地址在当前子网中均是唯一的,所以它们不可能同时出现在两个端口上,有了这一机制,虚假ARP流量根本就不会被发送到网络中。
没有绑定交换机端口的情况下,一攻击整个网络就瘫痪了
Mir是一个内网TCP半连接洪水攻击程序,不过Mir的攻击方式不是仅向目标发送SYN包,它会在发起攻击前检索局域网内所有的主机信息,然后冒用其它主机的MAC地址和IP地址向目标发起Flood攻击,导致目标设备IP/MAC表混乱,从而使网络通讯异常。
Mir的使用方法非常简单,绿色可直接运行,使用U盘携带或通过邮件收发都可,试想在网络管理不够严谨的网吧中,瘫痪整个网络是件多么容易的事,而且最要命的事,你根本无法定位攻击源。
被伪造的虚假流量
上面的截图是使用Mir攻击一台PC,并在被攻击PC上使用Wireshark抓得的数据包。
可以看到,源地址有很多,但它们其实都来自一台主机,而这些地址是网络中其它主机正在使用的地址,此时被攻击的主机就彻底晕了,ARP病毒正是这样捣乱的。
飞鱼星VS-5524GA的超级绑定功能可以将IP地址,MAC地址和端口三者进行绑定
再次进行同样的攻击测试,网络完全不受影响
在上面的测试中,我们没有开启“联动惩罚”功能,所以,虽然主机在对网络展开攻击行为,但是主机的网络通信并没有被切断,如果想将问题主机自动从网络中隔离出去,“联动惩罚”是个好帮手。
主机尝试SNY攻击,网络被切断
主机尝试UDPFlood攻击,网络被切断>>
防御DHCP攻击
当电脑数量较多时,正是DHCP服务大大简化了IP分配与管理的工作。
但是,如果有人在网络中私自运行了DHCP服务会怎样?
你的网络一定会大乱套。
DHCP服务的作用是响应主机请求,回应给主机相应的IP地址,但是这一过程基本上是不可控的——任何主机都能收到DHCP请求,任何DHCP服务器都可以回应主机的这一请求。
如果网络中存在非法DHCP服务器,而所有主机又使用动态IP分配方式,那么网络就乱套了。
解决方法同样很简单——禁止非法DHCP流量进入网络,实现这一点,自然也要从交换机端口下手。
我被分配了错误的IP地址!
原来是有人在捣鬼
DHCP服务器保护
在启用了DHCP服务器保护功能后,我们做了个测试,方法很简单,断开路由器(其上运行着DHCP服务),交换机上连接两台PC,其中一台为WINDOWSServer2003,在其上启用DHCP服务,观察另一台主机是否可以拿到IP地址。
非法DHCP服务没有起到作用
左图为WINDOWSServer2003DHCP服务的控制台,可以看到,没有地址被分配出去,同样,右边的主机没有拿到IP地址。
简易的管理方式——安全联动
ANS安全联动主要包括两部分功能,协同工作与统一管理,前者是功能层面,而后者是管理层面。
现实中,被攻击目标往往是路由器(网关),但是,攻击源却是与交换机直接相连的主机,而管理主机最好的方法就是从交换机端口入手,所以安全联动构成的是一个安全防御系统,路由器负责判断行为是否非法,交换机负责执行“防御动作”。
这部分功能主要由“联动惩罚”模块实现。
ANS联动处罚模块
在管理层面,主要涉及的是策略分发与集中管理,这部分功能主要由“安全联动管理”模块实现,如下图所示:
安全联动配置
所有安全联动交换机都会出现在“注册交换机列表”中,可快速访问并进行管理
交换机上的所有功能模块均可在路由器上直接配置,方便管理大型网络
飞鱼星安全联动系统(ASN)试用总结:
飞鱼星防攻击安全联动系统(ASN)的目标市场是网吧用户,这套系统很好地解决了网络管理所存在的“管理真空”——内网管理,它将可管理性延伸到了网络的末梢——交换机的每个端口上,同时借助统一管理,易用性也得到了很大的改善。
用户在选购网络设备时常常存在这样一个误区,路由器一定要精挑细选,而交换机,只要能用就可以了,只买最便宜的。
难道交换机真的就不重要吗?
当然不是。
交换机作为网络的大门,不仅仅承担着联通网络的任务,它在管理与安全方面同样起着至关重要作用。
现实中,最常见的可能就是ARP攻击和DHCP攻击了,它们的共同特点是没有技术门槛,影响范围大,难以排查故障源。
而在它们面前,再好的路由器也完全不给力,因为这本来就不是路由器涉足的领域,内网安全更多时候依靠的其实是交换机,而ANS方案正好整合了两者最重要的安全功能,以协同工作的方式实现了整网可管理。
升级会员 