专家会诊：如何切断ARP攻击传播途径

对于SARS等劣性传染病，除治疗以外，最重要的当属切断传播途径，进行隔离。面对ARP攻击，这种方法同样非常有效。

会诊概要：
　　1、通过VLAN阻断ARP病毒
　　病例一：可以给每台PC划分独立VLAN的情况
　　2、通过接入层阻断ARP病毒
　　病例二：可采用防ARP攻击接入交换机的情况
　　病例三：可采用接入和核心交换机联动的情况
　　3、通过核心层阻断ARP病毒
　　病例四：可采用 防ARP攻击核心交换机的情况
　　4、通过出口网管阻断ARP病毒
　　病例五：采用支持防ARP攻击的出口路由器
　　5、其它阻断ARP病毒的方案
　　病例六：短期内无法改变网络设备现状的情况

　　方案一、对网络划分独立VLAN来隔离

如果一个网络部署时，能够要求每台PC被划分在各自独立的VLAN中。例如，在酒店中通常就可以给每个客房的PC配置独立的VLAN ID。这样，即使某台PC终端感染了ARP病毒，那它也无法攻击其它VLAN中的PC和网络设备。下面是H3C相应的详细解决方案。

　　解决方案要点：
　　为每个PC终端或服务器配置独立VLAN ID，隔离相互间的ARP协议。
　　如果VLAN是配置在核心交换机和接入交换机上，可以进一步部署核心层防ARP病毒攻击方案实现全面防御，详见下文相关部分介绍。
　　如果VLAN是配置在路由器和接入交换机上，可以进一步部署路由器防ARP病毒攻击方案实现全面防御，详见下文相关部分介绍。

 

方案局限性：

如果组网能满足这种要求，就可以采用比较低端的交换机，从接入层就全面地防范了ARP病毒攻击。
不过，这种方案对设备支持VLAN的性能要求较高，配置很多VLAN导致多网段管理复杂。另外，除了酒店之外，一般网络出于文件共享、应用程序间通信等客户要求，不可能实现每个PC划分一个VLAN，仅是对主要功能区部署VLAN隔离，因此该方案应用范围有特殊性，是特定应用场景下的完美解决方案。

方案二、部署防ARP攻击接入交换机

对有实力的企业或新建网络的企事业单位，最佳手段是全网部署防ARP攻击接入交换机，可以彻底地解决ARP病毒攻击问题，从接入层就过滤掉各种ARP欺骗报文。下面是H3C相应的详细解决方案。

　　情况一：局域网内PC动态分配IP地址，server静态分配地址

解决方案要点：
每台接入交换机启动DHCP Snooping
每台接入交换机启动ARP Detection
每台接入交换机配置静态ARP绑定表（仅需对服务器、网关的ARP表项进行绑定）

情况二：局域网内PC和server均静态分配地址

解决方案要点：

每台接入交换机配置静态ARP绑定（通过手工方式对每台PC、服务器、网关的ARP表项进行逐条绑定）

对于支持一键绑定的接入交换机，可以在其下挂PC终端都能正常上网时，一键配置将当前ARP绑定表设置为静态不可更改，简化ARP绑定表配置工作量。

方案局限性：

从接入层防范ARP攻击解决方案是一个完美的ARP病毒防御方案。但因为在接入层选用了较高档次的交换机设备，成本相对高些。

在实际组网中，可以根据网络各个区域的不同安全等级，将上述方案有机地结合在一起，从而实现既能完善地防范ARP病毒，又尽可能地节省设备投资。

例如，为了保留接入层防御的完美效果，又期望进一步降低投资，可以采用核心交换机和接入交换机联动防ARP攻击方案，在核心层采用较高档次的交换机设备，在接入层采用可联动防ARP攻击的简单交换机，通过核心交换机和接入交换机之间的联动，来实现防ARP攻击。这样一方面降低了成本，另一方面充分体现了智能网络的特点。下面是H3C相应的详细解决方案。

情况一：局域网内PC动态分配IP地址，server静态分配地址

解决方案要点：

核心交换机启动DHCP Snooping

核心交换机启动授权ARP

核心交换机配置静态ARP绑定（服务器、网关的ARP表）

启动核心交换机和接入交换机的ARP联动功能

每台接入交换机启动ARP攻击防护功能

情况二：局域网内PC和server均静态分配地址

解决方案要点：

核心交换机配置静态ARP绑定（服务器、网关的ARP表）
　　对于支持一键绑定的核心交换机，可以在其下挂PC终端都能正常上网时，一键配置将当前ARP绑定表设置为静态不可更改，简化ARP绑定表配置工作量。
　　启动核心交换机和接入交换机的ARP联动功能
　　每台接入交换机启动ARP攻击防护功能

方案局限性：

该方案也是一种从接入层全面防范ARP病毒攻击的完美方案，方案成本也较低，需要整网实施和部署。

方案三、部署防ARP攻击核心交换机

对于网络预算比较紧张，无法在接入层部署ARP病毒防御的用户，可以部署支持防ARP攻击的核心交换机。下面是H3C相应的详细解决方案。

　　情况一：局域网内PC动态分配IP地址，server静态分配地址

解决方案要点：
　　核心交换机启动DHCP Relay
　　核心交换机启动授权ARP
　　核心交换机配置静态ARP 绑定表（仅针对服务器、网关的ARP表）
　　网关和Server设置定期发送免费ARP，或者在每台PC机上配置网关和Server静态IP/MAC绑定。

 

情况二：局域网内PC和server均静态分配地址

解决方案要点：
　　核心交换机配置静态ARP 绑定表（PC、服务器、网关的ARP表）
　　对于支持一键绑定的核心交换机，可以在其下挂PC终端都能正常上网时，一键配置将当前ARP绑定表设置为静态不可更改，简化ARP绑定表配置工作量。
　　网关和Server设置定期发送免费ARP，或者在每台PC机上配置网关和Server静态IP/MAC绑定。

方案局限性：
　　这种方案能比较好地解决大部分ARP病毒攻击问题，各PC机上网、访问服务器都不会再有问题。 相比较接入层交换机ARP病毒防御方案成本低，但无法消除ARP病毒可　　能造成PC机之间不能通信的问题。

当采用静态分配地址时，相对于授权ARP表项的自动生成方式，静态ARP的表项是要将局域网内所有PC机、server、网关的ARP表项静态配置完成，网络变化时需要修改ARP表，维护工作量比较大。

方案四、部署防ARP攻击出口网关路由器

对于网络预算比较紧张，无法采购防ARP攻击交换机方案进行防御，或者是不愿改变现有的局域网现状，可以部署支持防ARP攻击出口网关路由器，也能简单有效地防御ARP病毒攻击。下面是H3C相应的详细解决方案。

　　　情况一：局域网内PC动态分配IP地址，server静态分配地址
　　解决方案要点：
　　路由器启动DHCP Server（如果局域网内安装了独立的DHCP 服务器，路由器也可以配置DHCP Relay）
　　路由器启动授权ARP
　　路由器配置静态ARP 绑定表（服务器、网关的ARP表）
　　网关和Server设置定期发送免费ARP，或者在每台PC机上配置网关和Server静态IP/MAC绑定。

 

情况二：局域网内PC和server均静态分配地址

解决方案要点：
　　路由器配置静态ARP 绑定表（PC、服务器、网关的ARP表）
　　对于支持一键绑定的路由器，可以在其下挂PC终端都能正常上网时，一键配置将当前ARP表设置为静态不可更改，简化ARP表配置工作量。
　　网关和Server设置定期发送免费ARP，或者在每台PC机上配置网关和Server静态IP/MAC绑定。

方案局限性：

这种方案能比较好地解决大部分ARP病毒攻击问题，各PC机上网、访问服务器都不会再有问题。 相比较接入层交换机ARP病毒防御方案成本低，但无法消除ARP病毒可能造成PC机之间不能通信的问题。

当采用静态分配地址时，相对于授权ARP表项的自动生成方式，静态ARP的表项是要将局域网内所有PC机、server、网关的ARP表项静态配置完成，网络变化时需要修改ARP表，维护工作量比较大。

方案五、应对短期内无法改变网络设备现状的情况

A）对于短期内无法改变网络设备现状，可以参考静态IP情况下的解决方案，进行手工方式全静态ARP绑定。也可以参考下面两种措施：

B）通过PC机上安装ARP防火墙的方案。ARP软件防火墙的原理是在PC机系统内核拦截接收到的虚假ARP数据包，拦截本机外发的ARP攻击数据包，并主动向网关路由器通告正确的MAC地址。可用于小型网络，在用户端比较多的情况下不利于管理和维护。不从网络设备入手其实是很难彻底防御ARP病毒攻击的。

C）抛弃ARP协议组网的方案。显然，如果整个局域网络都不采用ARP协议是能根除ARP病毒攻击的。网上一些文章谈到采用IPX、PPP方式防ARP病毒，这些方法需要改变网络结构，实际上很难实施，此处不做详述。

还有一种PPPOE方案，原理是将出口路由器改变成 PPPOE 服务器的模式带PC客户机器上网。这种方案不使用ARP协议,也就不会有任何ARP病毒的风险,而且PPPOE不会改变原来的局域网拓扑结构,它是在 802.3的基础上的二次封装数据包，实施起来相对简单。在路由器端设置为PPPOE服务器即可。PC客户机Windows操作系统上已经默认带有 PPPOE客户端的拨号方式。可以通过建立脚本的方式，让Windows开机时自动拨号建立上网连接。

由于ARP协议给以太网建设带来了极大的便利性，抛弃ARP协议对大中型网络是不现实，不过对小型网络也是可以尝试这种方案的。H3C系列路由器都支持此种方案，不过考虑到PPPOE对路由器性能要求很高，推荐选用较高性能的路由器。

(本文不涉密)
责任编辑：

转载：感谢您对网站平台的认可，以及对我们原创作品以及文章的青睐，非常欢迎各位朋友分享到个人站长或者朋友圈，但转载请说明文章出处。