2008年01月07日

网速变得非常慢？

计算机网络出现频繁断线？

计算机连接正常，却无法打开网页？

……

什么是ARP欺骗攻击

ARP欺骗攻击利用网络协议设计上的缺陷：任何人可以发送虚假的ARP报文，而终端和网络设备并不会判断ARP报文的真伪，统统接受、存储，并以此作为报文转发的依据。

ARP欺骗攻击不仅会造成网络不稳定、引发用户无法上网，以及企业断网导致重大生产事故，而且能进一步实施中间人攻击，以此非法获取游戏、网银、文件服务等系统的账号和口令，对被攻击者造成利益上的重大损失。

ARP欺骗攻击已经对各行各业网络造成了巨大威胁，但一直没有得到有效的解决。连我们熟知的杀毒软件、防火墙都挡不住ARP欺骗攻击。分析ARP攻击的特点，结合市场实际需求，H3C公司推出了全面有效的ARP攻击防御解决方案。

“全面防御，模块定制” ——H3C ARP攻击防御解决方案

H3C ARP攻击防御解决方案通过对客户端、接入交换机和网关三个控制点实施自上而下的“全面防御”，并且能够根据不同的网络环境和客户需求进行“模块定制”，为用户提供多样、灵活的ARP攻击防御解决方案。

H3C提供两类ARP攻击防御解决方案：监控方式和认证方式。（见图表）

一、监控方式

监控方式也叫DHCP Snooping方式。通过接入层交换机监控用户动态申请IP地址的全过程，记录用户的IP、MAC和端口信息，并且在接入交换机上做多元素绑定，从而在根本上阻断非法ARP报文的传播。

二、认证方式

实现原理：认证方式是客户端通过认证协议登陆网络，认证服务器识别客户端，并且将事先配置好的用户和网关的IP/MAC绑定信息下发给客户端、接入交换机或者网关，实现了ARP报文在客户端、接入交换机和网关的绑定，使得虚假的ARP报文在网络里无立足之地，从根本上防止ARP病毒泛滥。

另外，结合H3C独有的iMC智能管理中心，可以非常方便、直观的配置网关绑定信息，查看网络用户和设备的安全状况，不仅有效的保障了网络的整体安全，更能快速发现网络中不安全的主机和ARP攻击源，并迅速做出告警。

H3C ARP攻击防御解决方案特点

更灵活：提供监控模式和认证模式两大类方案，认证方案支持IEEE 802.1X和Portal两种认证模式，组网方式多样、灵活。

更彻底：多种方式组合能够全面防御网络ARP攻击，切实保障网络稳定和安全。

保护投资：对接入交换机的依赖较小，可以较好的支持现有网络的利旧，兼容大部分现有网络场景，有效保护投资。

适用性强：解决方案支持动态和静态两种地址分配方式，通过终端、接入交换机、网关多种模块的组合，适用于各种复杂的组网环境。

H3C ARP攻击防御解决方案的推出，为教育、金融、政府、企业等客户网络彻底解决了ARP欺骗攻击的问题，其“全面防御、模块定制”的理念，能够满足新旧网络的不同需要，让ARP欺骗攻击从此远离！

典型案例解析（如图）

东北大学宿舍区网络常因ARP病毒泛滥而导致学生不能正常上网，作为国家创新软件基地，这样的问题亟待解决。在H3C解决方案专家的建议下，校方决定部署H3C DHCP Snooping防御方案。方案实施后，校方反馈效果极佳，实践证明，ARP防御方案在有效解决用户网络问题的同时，极大提升了用户和H3C的品牌形象！