一招绝杀ARP病毒

一招绝杀ARP病毒

信不信由你，对于一般网络来讲，95%以上的问题都是发生在内网。现实中，很难想象外部人员攻破了防火墙，进到内网转了一圈然后扬长而去这样的事情发生。事情往往是这样的，一台电脑因上网或使用U盘中了毒，然后以它为“中心”影响到了公司内网；或有不轨之徒，将未授权的电脑轻松地接入了内网，因为内网没有任何安全策略，导致所有资源一览无余，同时TA还可以进行一些破坏活动，比如ARP攻击。

如何才能让内网变得更加安全？其实答案非常简单——牢牢管住每台交换机上的每个端口。对交换机端口实施有效的管理，其目的是抑制存在风险的流量进入网络，只要做到这一点，什么ARP攻击，DHCP攻击等等，一切都将是浮云。要知道，在内网中搞破坏其实很简单，所以我们必须具备一定的风险防御手段。

飞鱼星防攻击安全联动系统（ASN）

注解：当路由器发现内网有SYN FLOOD类别的DDoS攻击时，它会将管理指令发给交换机，交换机在相关端口执行命令，关闭攻击源所在的端口，并实施5分钟的断网惩罚，以保护整体网络的安全和稳定。

今天我们要介绍的不是一款产品，而是一套方案——飞鱼星防攻击安全联动系统（ASN）。ASN系统由路由器和交换机两部分组成，由于引入了交换机，所以这套系统可以将管理策略延伸至网络的末端，也就是交换机的每个端口上。除了“延伸”了可管理性，ASN系统的另一大特点是设备间的联动，只需将交换机接入网络，路由器就可以自动查找

并接管交换机。这种设计的一大优势就是简化管理，试想，也许管理1台交换机很容易，但如果是10台交换机，甚至是更大型的网络该怎么办？集中管理手段还是很必要的。

飞鱼星 6200图片评测论坛报价网购实价

我们先来看一下ASN联动系统的核心组件——路由器。本次试用我们拿到的是Volans-6200，这是一款全千兆多WAN防火墙宽带路由器，针对网吧应用进行了大量优化。6200内置了64位处理器，1G主频，内存达到了256M，最高支持40万条网络会话。6200提供2个千兆WAN口，4个千兆LAN口，这样的配置可完全满足网吧核心千兆组网的需求，而且为日后网络扩容提供了足够的性能冗余，典型带机量为400台左右。

飞鱼星 VS-5524GA图片系列评测论坛报价网购实价

VS-5524GA是一款用于汇聚层的二+四层交换机，提供了24个10/100/1000Mbps 自适应端口，能彻底防御ARP病毒和DDoS攻击，从而避免路由器遭受攻击，保护DHCP 服务器，同时对无盘网络进行了优化。VS-5524GA的具体功能特性包括服务质量（QoS）、组播管理、可实施灵活的安全和管理策略，包括支持基于物理端口、802.1P、COS协议的优先级控制（二层）；支持基于IP和协议的带宽速率限制或优先级控制（三层）；支持基于传输流和协议的带宽速率限制或优先级控制（四层）。

作为ASN联动系统的一部分，当网络遭受攻击时，系统主控设备（路由器或中心交换机）将安全策略和处理机制自动下发到安全事件发生的网络区域，交换机在物理端口实施安全管制，同时会将该安全策略同步到整个网络中，这样就可以实现安全策略联动和一体化防护。本次试用我们将围绕这部分功能展开，具体包括三点内容，分别是ARP、DHCP攻击防御，以及介绍ANS的集中管理方式

网络安全攻防战

傻瓜型交换机只提供了一个功能——让电脑接入网络，除此之外这类产品就“一无是处”了。如果为了省钱，全网只使用了这类交换机，那么IT对于内网是没有任何控制能力的。比如ARP病毒，它就专门“欺负”那种想省钱的公司。平时天下太平，一但ARP 病毒爆发，全网必定瘫痪。

关于ARP的问题，具体可以参见这个贴子，讲的非常详细。几乎所有路由器产品都提供了IP/MAC绑定功能，也许有人认为，它可以防御ARP攻击，然而不幸的是，绑定IP/MAC其实对于防御ARP攻击毫无帮助，因为路由器无法验证数据流量来自哪台主机

（虚假流量可以轻易被伪造并发送至网络中），只要网络中存在虚假的ARP流量，整个网络或者局部网络就会瘫痪。

如何才能限制虚假ARP包被发送到网络中？只有一个办法——在交换机端口上做限制。将IP地址、MAC地址和交换机端口三者进行绑定，其目的是：在某一端口只允许一组IP/MAC组合通过。由于MAC地址和IP地址在当前子网中均是唯一的，所以它们不可能同时出现在两个端口上，有了这一机制，虚假ARP流量根本就不会被发送到网络中。

没有绑定交换机端口的情况下，一攻击整个网络就瘫痪了

Mir是一个内网TCP半连接洪水攻击程序，不过Mir的攻击方式不是仅向目标发送SYN包，它会在发起攻击前检索局域网内所有的主机信息，然后冒用其它主机的MAC 地址和IP地址向目标发起Flood攻击，导致目标设备IP/MAC表混乱，从而使网络通讯异常。Mir的使用方法非常简单，绿色可直接运行，使用U盘携带或通过邮件收发都可，试想在网络管理不够严谨的网吧中，瘫痪整个网络是件多么容易的事，而且最要命的事，你根本无法定位攻击源。

被伪造的虚假流量

上面的截图是使用Mir攻击一台PC，并在被攻击PC上使用Wireshark抓得的数据包。可以看到，源地址有很多，但它们其实都来自一台主机，而这些地址是网络中其它主机正在使用的地址，此时被攻击的主机就彻底晕了，ARP病毒正是这样捣乱的。

飞鱼星VS-5524GA的超级绑定功能可以将IP地址，MAC地址和端口三者进行绑定

再次进行同样的攻击测试，网络完全不受影响

在上面的测试中，我们没有开启“联动惩罚”功能，所以，虽然主机在对网络展开攻击行为，但是主机的网络通信并没有被切断，如果想将问题主机自动从网络中隔离出去，“联动惩罚”是个好帮手。

主机尝试SNY攻击，网络被切断

主机尝试UDP Flood攻击，网络被切断 >>

防御DHCP攻击

当电脑数量较多时，正是DHCP服务大大简化了IP分配与管理的工作。但是，如果有人在网络中私自运行了DHCP服务会怎样？你的网络一定会大乱套。DHCP服务的作用是响应主机请求，回应给主机相应的IP地址，但是这一过程基本上是不可控的——任何主机都能收到DHCP请求，任何DHCP服务器都可以回应主机的这一请求。如果网络中存在非法DHCP服务器，而所有主机又使用动态IP分配方式，那么网络就乱套了。解决方法同样很简单——禁止非法DHCP流量进入网络，实现这一点，自然也要从交换机端口下手。