1 前言
ARP
欺骗***不仅会造成联网不稳定,引发用户无法上网,或者企业断网导致重大生产事故,而且利用
ARP
欺骗***可进一步实施中间人***,以此非法获取到游戏、网银、文件服务等系统的帐号和口令,对被***者造成利益上的重大损失。因此
ARP
欺骗***是一种非常恶劣的网络***行为。
ARP
***已经对各行各业网络造成了巨大威胁,但一直没有得到有效的解决。连我们熟知的杀毒软件、防火墙都挡不住
ARP
欺骗***。主要由于
ARP
欺骗***的***程序,通常会伪装成常用软件的一部分被下载并被激活,或者作为网页的一部分自动传送到浏览者的电脑上并被激活,或者通过
U
盘、移动硬盘等方式进入网络。由于***程序的形态特征都在不断变化和升级,杀毒软件常常会失去作用。
2 方案概述
分析
ARP
***的特点,结合市场实际需求,
H3C
公司推出了全面有效的
ARP
***防御解决方案。
“全面防御,模块定制” H3C ARP
***防御解决方案
H3C ARP
***防御解决方案通过对客户端、接入交换机和网关三个控制点实施自上而下的“全面防御”,并且能够根据不同的网络环境和客户需求进行“模块定制”,为用户提供多样、灵活的
ARP
***防御解决方案。
H3C
提供两类
ARP
***防御解决方案:监控方式,认证方式。监控方式主要适用于动态接入用户居多的网络环境,认证方式主要适用于认证方式接入的网络环境;实际部署时,建议分析网络的实际场景,选择合适的***防御解决方案。另外,结合
H3C
独有的
iMC
智能管理中心,可以非常方便、直观的配置网关绑定信息,查看网络用户和设备的安全状况,不仅有效的保障了网络的整体安全,更能快速发现网络中不安全的主机和
ARP
***源,并迅速做出反映。
3 功能特点
u
更灵活。提供监控模式和认证模式两大类方案,组网方式多样、灵活。
u
更彻底。多种方式组合能够全面防御新建网络
ARP
***,切实保障网络稳定和安全。
u
保护投资。对接入交换机的依赖较小,可以较好的支持现有网络的利旧,兼容大部分现有网络场景,有效保护投资。
u
适用性强。解决方案适应动态和静态两种地址分配方式,通过终端、接入交换机、网关多种模块的组合,适用于各种复杂的组网环境。
H3C ARP
***防御解决方案的推出,为教育、金融、政府、企业等客户网络彻底解决了
ARP
欺骗***的问题,其“全面防御
模块定制”的理念,能够满足新旧网络的不同需要,让
ARP
欺骗***从此不再困扰!
4 典型应用
4.1 监控方式
接入交换机通过监控用户的正常动态
IP
地址获取过程,获取正常用户的
IP-MAC
对应关系在接入交换机上绑定。接入交换机过滤掉所有不匹配绑定关系的
ARP
报文,来防止接入的用户主机进行
ARP
欺骗***。这种防***手段能够有效防御各种
ARP
***。对于某些采用静态
IP
地址设置,如打印机、服务器的特殊客户端,可以采取在接入交换机上手工添加表项的方式进行合法
IP-MAC
的绑定。
业务流程如下图:
![20090610_776252_p_w_picpath001_327110_30004_0.jpg](http://www.h3c.com.cn/res/200906/10/20090610_776252_p_w_picpath001_327110_30004_0.jpg)
4.2 认证方式
如下图所示,通过增强用户的认证机制来获取上线用户的
IP-MAC
对应关系,并且利用认证的手段来确认当前用户的合法性。从而有效的解决难以获取合法用户的
IP-MAC
对应关系的问题。同时通过事先在认证服务器上配置网关的
IP-MAC
对应关系的方式来集中管理网络中存在的网关的
IP-MAC
信息。当合法用户上线时,可以利用上述的两个关键信息对网络中存在的虚假
ARP
报文以过滤或者绑定合法的
ARP
信息,从而有效的防御
ARP
欺骗行为。
H3C
的防御手段充分的考虑了方案实施的适应性要求,对虚假
ARP
报文加以过滤或者绑定合法
ARP
信息的功能可以根据网络的条件分开使用。具体模式如下图所示:
![20090610_776253_p_w_picpath002_327110_30004_0.jpg](http://www.h3c.com.cn/res/200906/10/20090610_776253_p_w_picpath002_327110_30004_0.jpg)
4.2.1 认证模式之终端防护
如下图所示,在用户进行
802.1X
认证的过程中,通过
iMC
服务器下发预定的网关
IP-MAC
映射到
iNode
客户端,
iNode
客户端在用户
PC
上针对所有网卡查找匹配的网关,并将匹配网关的
IP-MAC
映射关系在
PC
上形成静态
ARP
绑定,从而有效防止针对主机的网关仿冒
ARP
***。如下所示图:
![20090610_776254_p_w_picpath003_327110_30004_0.jpg](http://www.h3c.com.cn/res/200906/10/20090610_776254_p_w_picpath003_327110_30004_0.jpg)
4.2.2 认证模式之接入绑定
如下所示图,在用户进行
802.1X
认证的过程中,通过扩展
802.1X
协议报文,在
eapol
的
response
报文(
code=1
、
type=2
)中携带用户
PC
的
IP
地址(
iNode
客户端需选定“上传
IP
地址”选项,且推荐客户
PC
上手工配置
IP
地址及网关),接入交换机通过监听
802.1X
认证过程的协议报文,将用户
PC
的
IP
地址、
MAC
地址和接入端口形成绑定关系,在接入交换机上建立
IP-MAC-Port
映射表项,并据此对用户发送的
ARP/IP
报文进行检测,从而有效防止用户的非法
ARP/IP
报文进入网络。类似于监控模式,对于某些不能采用认证手段的特殊客户端,如打印机等,也可以采取在接入交换机上手工绑定该终端的合法
IP-MAC
。
![20090610_776255_p_w_picpath004_327110_30004_0.jpg](http://www.h3c.com.cn/res/200906/10/20090610_776255_p_w_picpath004_327110_30004_0.jpg)
图4 认证模式之接入绑定
示意图
转载于:https://blog.51cto.com/netfan/273873