網(wǎng)絡(luò)蠕蟲病毒泛濫、ARP攻擊不斷、網(wǎng)絡(luò)資料被耗占,倒致用戶抱怨領(lǐng)導(dǎo)責(zé)難,管理者疲于奔命筋疲力盡,專業(yè)技術(shù)卻依然受到很大質(zhì)疑……面臨這種景況,估計(jì)每一位網(wǎng)絡(luò)管理者都會(huì)長(zhǎng)嘆:如果沒(méi)有這些蠕蟲病毒、沒(méi)有造成網(wǎng)絡(luò)紊亂的ARP程序、所有用戶都能循規(guī)蹈矩正常使用網(wǎng)絡(luò)……那該多好??墒牵谟?jì)算機(jī)網(wǎng)絡(luò)蓬勃發(fā)展的今天,要想主觀消除這些威脅無(wú)疑于天方夜談,唯一有效的方法是利用紐盾科技的NEWDON NDM產(chǎn)品打造一個(gè)銅墻鐵壁的通信網(wǎng)絡(luò),使蠕蟲病毒和ARP威脅無(wú)處遁形。
首先我們了解一下ARP協(xié)議。ARP協(xié)議是“Address Resolution Protocol”(地址解析協(xié)議)的縮寫。在以太網(wǎng)中,一個(gè)主機(jī)要和另一個(gè)主機(jī)進(jìn)行直接通信,必須要知道目標(biāo)主機(jī)的MAC地址。但這個(gè)目標(biāo)MAC地址是如何獲得呢?它就是通過(guò)地址解析協(xié)議獲得的。所謂“地址解析”就是主機(jī)在發(fā)送幀前將目標(biāo)IP地址轉(zhuǎn)換成目標(biāo)MAC地址的過(guò)程。ARP協(xié)議的基本功能就是通過(guò)目標(biāo)設(shè)備的IP地址,查詢目標(biāo)設(shè)備的MAC地址,以保證通信的順利進(jìn)行。
我們?cè)賮?lái)了解一下ARP攻擊與ARP欺騙。ARP攻擊就是通過(guò)偽造IP地址和MAC地址實(shí)現(xiàn)ARP欺騙,能夠在網(wǎng)絡(luò)中產(chǎn)生大量的ARP通信封包使網(wǎng)絡(luò)阻塞,攻擊者只要持續(xù)不斷的發(fā)出偽造的ARP響應(yīng)包就能更改目標(biāo)主機(jī)ARP緩存中的IP-MAC條目,造成網(wǎng)絡(luò)中斷或中間人攻擊。ARP攻擊主要是存在于局域網(wǎng)絡(luò)中,局域網(wǎng)中若有一個(gè)人感染ARP木馬,則感染該ARP木馬的系統(tǒng)將會(huì)試圖通過(guò)“ARP欺騙”手段截獲所在網(wǎng)絡(luò)內(nèi)其它計(jì)算機(jī)的通信信息,并因此造成網(wǎng)內(nèi)其它計(jì)算機(jī)的通信故障。從影響網(wǎng)絡(luò)連接通暢的方式來(lái)看,ARP欺騙分為兩種,一種是對(duì)路由器ARP表的欺騙;另一種是對(duì)內(nèi)網(wǎng)PC的網(wǎng)關(guān)欺騙。第一種ARP欺騙的原理是——截獲網(wǎng)關(guān)數(shù)據(jù)。它通知路由器一系列錯(cuò)誤的內(nèi)網(wǎng)MAC地址,并按照一定的頻率不斷進(jìn)行,使真實(shí)的地址信息無(wú)法通過(guò)更新保存在路由器中,結(jié)果路由器的所有數(shù)據(jù)只能發(fā)送給錯(cuò)誤的MAC地址,造成正常PC無(wú)法收到信息。第二種ARP欺騙的原理是——偽造網(wǎng)關(guān)。它的原理是建立假網(wǎng)關(guān),讓被它欺騙的PC向假網(wǎng)關(guān)發(fā)數(shù)據(jù),而不是通過(guò)正常的路由器途徑上網(wǎng)。在PC看來(lái),就是網(wǎng)絡(luò)掉線了。 一般來(lái)說(shuō),ARP欺騙攻擊的后果非常嚴(yán)重,大多數(shù)情況下會(huì)造成大面積掉線。
通過(guò)對(duì)ARP協(xié)議的了解,與ARP攻擊/欺騙的工作原理的分析,大家可能都很清楚:保持路由器/交換機(jī)及PC的ARP表的正確性,保持正確的ARP信息不被修改,是非常重要的,也是徹底解決ARP問(wèn)題的關(guān)鍵。再次,了解網(wǎng)絡(luò)異常狀態(tài),自動(dòng)隔離感染ARP病毒的PC和惡意的攻擊破壞者,這都是每個(gè)網(wǎng)絡(luò)管理者所期盼的。
針對(duì)于網(wǎng)絡(luò)ARP威脅,我們推薦一款利器:上海紐盾科技的NEWDON NDM網(wǎng)絡(luò)異常檢測(cè)器。NEWDON NDM以實(shí)時(shí)偵測(cè)、即時(shí)通知、自動(dòng)鎖定、治療復(fù)原為設(shè)計(jì)理念,以MAC-IP資料庫(kù)為基本手段,對(duì)網(wǎng)絡(luò)中的廣播、組播及單播封包進(jìn)行檢測(cè),可以解決ARP偵測(cè)、ARP攻擊偵測(cè)、ARP異常偵測(cè)、強(qiáng)制DHCP、主機(jī)服務(wù)管制、DNS釣魚偵測(cè)、廣播風(fēng)暴阻止……等危害網(wǎng)絡(luò)安全的常見問(wèn)題。
NEWDON NDM為一款多功能整合型的網(wǎng)絡(luò)資源暨威脅管理產(chǎn)品,以探針的方式學(xué)習(xí)或探測(cè)或管理內(nèi)網(wǎng)VLAN內(nèi)部廣播異常的封包,它不同于部署在網(wǎng)關(guān)上的安全產(chǎn)品,可廣泛探測(cè)網(wǎng)絡(luò)內(nèi)部各角落(VLAN)的異常網(wǎng)絡(luò)行為,以期盡早偵測(cè)尚未被探測(cè)出特征的病毒或黑客攻擊。NEWDON NDM是可應(yīng)用于任何網(wǎng)絡(luò)環(huán)境的封包檢測(cè)器,檢測(cè)骨干網(wǎng)絡(luò)內(nèi)各個(gè)Layer 2層VLAN內(nèi)網(wǎng)絡(luò)是否有異常ARP攻擊,并可檢查使用者是否有不符合規(guī)定的網(wǎng)絡(luò)行為。
NEWDON NDM主要目的:
MAC/IP 存取安全管理
MAC/IP 存取安全管理 – 自動(dòng)學(xué)習(xí)VLAN內(nèi)MAC、IP及使用者計(jì)算機(jī)名稱,供管理者快速建立網(wǎng)絡(luò)使用者數(shù)據(jù)庫(kù),自動(dòng)偵測(cè)MAC/IP地址的新增、異常及沖突事件功能,并將相關(guān)系統(tǒng)信息儲(chǔ)存于數(shù)據(jù)庫(kù)系統(tǒng)。
?實(shí)施綁定 – MAC、IP綁定的網(wǎng)絡(luò)存取安全策略,以防止使用者私自攥改IP發(fā)生IP沖突的問(wèn)題。避免個(gè)人計(jì)算機(jī)與重要設(shè)備、服務(wù)器的網(wǎng)絡(luò)IP地址沖突,以保障重要設(shè)備或服務(wù)器的服務(wù)。
數(shù)據(jù)管理 – 系統(tǒng)支持單筆數(shù)據(jù)的維護(hù)外并提供整個(gè)數(shù)據(jù)庫(kù)的導(dǎo)入、導(dǎo)出、清除管理。系統(tǒng)也支持SNMP Private MIB提供網(wǎng)管軟件或其它管理軟件的存取接口。
DHCP IP地址管理
DHCP容錯(cuò)服務(wù)器 – 內(nèi)建DHCP服務(wù)器功能,提供授權(quán)與非授權(quán)兩種類型的DHCP服務(wù),并支持兩臺(tái)設(shè)備互為備援機(jī)制的功能。
MAC/IP綁定派送 – DHCP服務(wù)器除支持標(biāo)準(zhǔn)DHCP IP租賃服務(wù),可定義IP Range for multiVLANs,并整合授權(quán)的MAC/IP數(shù)據(jù)庫(kù),提供MAC/IP綁定派送功能,以確定要求路服務(wù)節(jié)點(diǎn)為合法的計(jì)算機(jī)設(shè)備后,由DHCP派發(fā)特定的IP。
派發(fā)記錄與例外管理 – 提供DHCP派發(fā)歷史記錄查詢及導(dǎo)出功能。本系統(tǒng)也可由管理者自定IP派發(fā)政策,可區(qū)分為固定IP用戶及或由系統(tǒng)自行派發(fā)等,可例外管理部份的私設(shè)固定IP??蛻舳薉HCP管理 – (1)私設(shè)DHCP服務(wù)器阻斷 - LAN環(huán)境內(nèi)私自架設(shè)不合法DHCP Server會(huì)被NEWDON NDM阻隔無(wú)效;(2)DHCP強(qiáng)制 - 可限制端點(diǎn)只能使用DHCP方式取得IP,任何私自設(shè)定IP地址的終端設(shè)備無(wú)論所設(shè)定IP地址是否為合法IP皆禁止其使用網(wǎng)絡(luò)。
異常偵測(cè)管理
ARP掃描偵測(cè) –設(shè)定ARP掃描基線值,偵測(cè)用戶執(zhí)行掃描時(shí),累計(jì)值是否超過(guò)基線值,超過(guò)時(shí)可根據(jù)封鎖類型進(jìn)行動(dòng)作。
ARP異常偵測(cè) – 偵測(cè)器提供局域網(wǎng)內(nèi)ARP欺騙攻擊偵測(cè)功能包括:ARP 掃描偵測(cè) – 可偵測(cè)LAN內(nèi)部ARP掃描行為;ARP異常偵測(cè) - 則是偵測(cè)LAN內(nèi)部哪些用戶送一些不合法封包;ARP攻擊偵測(cè) - 主要目的是偵測(cè)出哪些用戶遭受攻擊。
廣播風(fēng)暴偵測(cè) – 可偵測(cè)局域內(nèi)網(wǎng)VLAN是否有超過(guò)異常廣播發(fā)生,并通知管理者。
遠(yuǎn)程防衛(wèi) – NEWDON NDM 可以檢測(cè)非法/入侵地址,或分析Worm蠕蟲、DoS攻擊,這時(shí)NEWDONNDM 可立即啟動(dòng)端點(diǎn)防衛(wèi)功能模塊,來(lái)抑制阻止這些非法入侵。端點(diǎn)防衛(wèi)并非封鎖特定的交換機(jī)端口,而是直接抑制入侵者(非法使用)的終端對(duì)網(wǎng)絡(luò)的使用,因此即使入侵者使用的終端具備移動(dòng)的特性,仍然逃不過(guò)端點(diǎn)防衛(wèi)的封鎖,而且也不需改變?nèi)魏尉W(wǎng)絡(luò)架構(gòu)或作復(fù)雜的設(shè)定。
我們?nèi)媪私庖幌翹EWDON NDM在網(wǎng)絡(luò)中的部署情況及預(yù)期效益:
1、 部署方式。NEWDON NDM單臂旁接在核心交換機(jī),不用更改現(xiàn)有網(wǎng)絡(luò)結(jié)構(gòu),也勿需安裝客戶端。
2、 運(yùn)作模式。NEWDON NDM以探針的形式,自動(dòng)學(xué)習(xí)/維護(hù)VLAN內(nèi)的MAC/IP對(duì)應(yīng)表,維護(hù)MAC/IP數(shù)據(jù)庫(kù),可以由網(wǎng)絡(luò)管理者執(zhí)行綁定、拒絕等策略,不用在交換機(jī)及PC上安裝、執(zhí)行相關(guān)軟件或策略,即可輕松掌握及管理網(wǎng)絡(luò)MAC/IP數(shù)據(jù)庫(kù)。
3、 特色功能:NEWDON NDM不同于市面上一般的IPAM產(chǎn)品;除擁有常見的功能外,NEWDON NDM還具有ARP攻擊偵測(cè)、異常偵測(cè)等功能,根據(jù)預(yù)設(shè)動(dòng)作自動(dòng)以郵件、短信等方式通知網(wǎng)絡(luò)者,并自動(dòng)鎖定攻擊源,切斷其聯(lián)線,將網(wǎng)絡(luò)威脅及風(fēng)險(xiǎn)降到最低。
4、 預(yù)期效益: 24*7的不間斷監(jiān)控,就好像在企業(yè)網(wǎng)絡(luò)植入隱形芯片追蹤,隨時(shí)掌握狀況,化解未知威脅。這樣的做法,能夠在第一時(shí)間內(nèi)主動(dòng)防御隔離,在災(zāi)害未發(fā)生或規(guī)模不大時(shí),就將問(wèn)題解決,協(xié)助網(wǎng)絡(luò)管理者偵測(cè)越來(lái)越多的未知型威脅與病毒。
在SARS疫情逐漸擴(kuò)散期間,各國(guó)各地區(qū)都成功避免SARS成為全球性的災(zāi)難,雖然最后仍然沒(méi)有解毒疫苗,但還是成功采取策略解決危機(jī)。其中最重要的策略就是實(shí)時(shí)檢測(cè)溫度異常病患及有效的隔離措施,使病毒控制在一定的范圍。現(xiàn)在一旦某區(qū)域爆發(fā)變種疫情,世界衛(wèi)生組織會(huì)迅速提出這樣控制疫情、迅速隔離病患改善方案。同樣地,持續(xù)監(jiān)控應(yīng)是IT信息與網(wǎng)絡(luò)安全主要著眼點(diǎn)。
向ARP威脅宣戰(zhàn),像隔離SARS一樣解決你網(wǎng)絡(luò)的ARP問(wèn)題吧!