解決網絡中常見的ARP攻擊行為:Address Resolution Protocol攻擊是一種非常惡劣的網絡攻擊行為,他會造成網絡不穩定,引發用戶無法上網或者企業斷網導致重大生產事故,而且利用Address Resolution Protocol 攻擊還可能會通過進一步實施攻擊來非法獲取游戲、網銀、文件服務等系統的帳號和口令,使被攻擊者造成利益上的重大損失。
所以,怎么樣才能解決網絡中常見的Address Resolution Protocol攻擊行為呢?下面給大家介紹種H3C提出的較為完整的解決方案。
如圖4所示,Address Resolution Protocol攻擊防范技術的思路是以設備角色為線索,通過分析二三層網絡設備可能會面對哪些類型的攻擊,從而提供有效的防范措施。
攻擊源一般來自于主機側,因此接入交換機在Address Resolution Protocol攻擊防范中是一個關鍵的控制點。針對攻擊的特點,接入交換機上的防范主要從兩個方面考慮:
建立正確的 Address Resolution Protocol 映射關系、檢測并過濾偽造的 Address Resolution Protocol 報文,保證經過其轉發的 ARP報文正確合法。
抑制短時間內大量 Address Resolution Protocol報文的沖擊。
由于防范措施部署在接入側,因此無需在網關上部署,可以減輕網關負擔。
如果接入交換機上不支持Address Resolution Protocol攻擊防范功能,或者主機直接接入網關,則需要在網關上部署防范措施,部署思路從兩個方面考慮:
建立正確的 Address Resolution Protocol表項,防止攻擊者修改。
抑制短時間內大量 ARP報文或者需觸發 Address Resolution Protocol解析的 IP報文的沖擊。
直接在網關上進行部署對接入交換機的依賴較小,可以較好的支持現有網絡,有效地保護用戶投資。
