一招绝杀RP病毒.docx

一招绝杀ARP病毒　　信不信由你，对于一般网络来讲，95%以上的问题都是发生在内网。现实中，很难想象外部人员攻破了防火墙，进到内网转了一圈然后扬长而去这样的事情发生。事情往往是这样的，一台电脑因上网或使用U盘中了毒，然后以它为“中心”影响到了公司内网；或有不轨之徒，将未授权的电脑轻松地接入了内网，因为内网没有任何安全策略，导致所有资源一览无余，同时TA还可以进行一些破坏活动，比如ARP攻击。　　如何才能让内网变得更加安全？其实答案非常简单——牢牢管住每台交换机上的每个端口。对交换机端口实施有效的管理，其目的是抑制存在风险的流量进入网络，只要做到这一点，什么ARP攻击，DHCP攻击等等，一切都将是浮云。要知道，在内网中搞破坏其实很简单，所以我们必须具备一定的风险防御手段。飞鱼星防攻击安全联动系统（ASN）　　注解：当路由器发现内网有SYN FLOOD类别的DDoS攻击时，它会将管理指令发给交换机，交换机在相关端口执行命令，关闭攻击源所在的端口，并实施5分钟的断网惩罚，以保护整体网络的安全和稳定。　　今天我们要介绍的不是一款产品，而是一套方案——飞鱼星防攻击安全联动系统（ASN）。ASN系统由路由器和交换机两部分组成，由于引入了交换机，所以这套系统可以将管理策略延伸至网络的末端，也就是交换机的每个端口上。除了“延伸”了可管理性，ASN系统的另一大特点是设备间的联动，只需将交换机接入网络，路由器就可以自动查找并接管交换机。这种设计的一大优势就是简化管理，试想，也许管理1台交换机很容易，但如果是10台交换机，甚至是更大型的网络该怎么办？集中管理手段还是很必要的。飞鱼星 6200图片评测论坛报价网购实价　　我们先来看一下ASN联动系统的核心组件——路由器。本次试用我们拿到的是Volans-6200，这是一款全千兆多WAN防火墙宽带路由器，针对网吧应用进行了大量优化。6200内置了64位处理器，1G主频，内存达到了256M，最高支持40万条网络会话。6200提供2个千兆WAN口，4个千兆LAN口，这样的配置可完全满足网吧核心千兆组网的需求，而且为日后网络扩容提供了足够的性能冗余，典型带机量为400台左右。飞鱼星 VS-5524GA图片系列评测论坛报价网购实价　　VS-5524GA是一款用于汇聚层的二+四层交换机，提供了24个10/100/1000Mbps自适应端口，能彻底防御ARP病毒和DDoS攻击，从而避免路由器遭受攻击，保护DHCP服务器，同时对无盘网络进行了优化。VS-5524GA的具体功能特性包括服务质量（QoS）、组播管理、可实施灵活的安全和管理策略，包括支持基于物理端口、802.1P、COS协议的优先级控制（二层）；支持基于IP和协议的带宽速率限制或优先级控制（三层）；支持基于传输流和协议的带宽速率限制或优先级控制（四层）。　　作为ASN联动系统的一部分，当网络遭受攻击时，系统主控设备（路由器或中心交换机）将安全策略和处理机制自动下发到安全事件发生的网络区域，交换机在物理端口实施安全管制，同时会将该安全策略同步到整个网络中，这样就可以实现安全策略联动和一体化防护。本次试用我们将围绕这部分功能展开，具体包括三点内容，分别是ARP、DHCP攻击防御，以及介绍ANS的集中管理方式网络安全攻防战　　傻瓜型交换机只提供了一个功能——让电脑接入网络，除此之外这类产品就“一无是处”了。如果为了省钱，全网只使用了这类交换机，那么IT对于内网是没有任何控制能力的。比如ARP病毒，它就专门“欺负”那种想省钱的公司。平时天下太平，一但ARP病毒爆发，全网必定瘫痪。　　关于ARP的问题，具体可以参见这个贴子，讲的非常详细。几乎所有路由器产品都提供了IP/MAC绑定功能，也许有人认为，它可以防御ARP攻击，然而不幸的是，绑定IP/MAC其实对于防御ARP攻击毫无帮助，因为路由器无法验证数据流量来自哪台主机（虚假流量可以轻易被伪造并发送至网络中），只要网络中存在虚假的ARP流量，整个网络或者局部网络就会瘫痪。如何才能限制虚假ARP包被发送到网络中？只有一个办法——在交换机端口上做限制。将IP地址、MAC地址和交换机端口三者进行绑定，其目的是：在某一端口只允许一组IP/MAC组合通过。由于MAC地址和IP地址在当前子网中均是唯一的，所以它们不可能同时出现在两个端口上，有了这一机制，虚假ARP流量根本就不会被发送到网络中。没有绑定交换机端口的情况下，一攻击整个网络就瘫痪了　　Mir是一个内网TCP半连接洪水攻击程序，不过Mir的攻击方式不是仅向目标发送SYN包，它会在发起攻击前检索局域网内所有的主机信息，然后冒用其它主机的MAC地址和IP地址向目标发起Flood攻击，导致目标设备IP/MAC表混乱，从而使网络通讯异常。Mir的使用方法非常简单，绿色可直接运行