網(wǎng)絡(luò)蠕蟲病毒泛濫、ARP攻擊不斷、網(wǎng)絡(luò)資料被耗占，倒致用戶抱怨領(lǐng)導(dǎo)責(zé)難，管理者疲于奔命筋疲力盡，專業(yè)技術(shù)卻依然受到很大質(zhì)疑……面臨這種景況，估計每一位網(wǎng)絡(luò)管理者都會長嘆：如果沒有這些蠕蟲病毒、沒有造成網(wǎng)絡(luò)紊亂的ARP程序、所有用戶都能循規(guī)蹈矩正常使用網(wǎng)絡(luò)……那該多好。可是，在計算機網(wǎng)絡(luò)蓬勃發(fā)展的今天，要想主觀消除這些威脅無疑于天方夜談，唯一有效的方法是利用紐盾科技的NEWDON NDM產(chǎn)品打造一個銅墻鐵壁的通信網(wǎng)絡(luò)，使蠕蟲病毒和ARP威脅無處遁形。

首先我們了解一下ARP協(xié)議。ARP協(xié)議是“Address Resolution Protocol”(地址解析協(xié)議)的縮寫。在以太網(wǎng)中，一個主機要和另一個主機進行直接通信，必須要知道目標主機的MAC地址。但這個目標MAC地址是如何獲得呢?它就是通過地址解析協(xié)議獲得的。所謂“地址解析”就是主機在發(fā)送幀前將目標IP地址轉(zhuǎn)換成目標MAC地址的過程。ARP協(xié)議的基本功能就是通過目標設(shè)備的IP地址，查詢目標設(shè)備的MAC地址，以保證通信的順利進行。

我們再來了解一下ARP攻擊與ARP欺騙。ARP攻擊就是通過偽造IP地址和MAC地址實現(xiàn)ARP欺騙，能夠在網(wǎng)絡(luò)中產(chǎn)生大量的ARP通信封包使網(wǎng)絡(luò)阻塞，攻擊者只要持續(xù)不斷的發(fā)出偽造的ARP響應(yīng)包就能更改目標主機ARP緩存中的IP-MAC條目，造成網(wǎng)絡(luò)中斷或中間人攻擊。ARP攻擊主要是存在于局域網(wǎng)絡(luò)中，局域網(wǎng)中若有一個人感染ARP木馬，則感染該ARP木馬的系統(tǒng)將會試圖通過“ARP欺騙”手段截獲所在網(wǎng)絡(luò)內(nèi)其它計算機的通信信息，并因此造成網(wǎng)內(nèi)其它計算機的通信故障。從影響網(wǎng)絡(luò)連接通暢的方式來看，ARP欺騙分為兩種，一種是對路由器ARP表的欺騙;另一種是對內(nèi)網(wǎng)PC的網(wǎng)關(guān)欺騙。第一種ARP欺騙的原理是——截獲網(wǎng)關(guān)數(shù)據(jù)。它通知路由器一系列錯誤的內(nèi)網(wǎng)MAC地址，并按照一定的頻率不斷進行，使真實的地址信息無法通過更新保存在路由器中，結(jié)果路由器的所有數(shù)據(jù)只能發(fā)送給錯誤的MAC地址，造成正常PC無法收到信息。第二種ARP欺騙的原理是——偽造網(wǎng)關(guān)。它的原理是建立假網(wǎng)關(guān)，讓被它欺騙的PC向假網(wǎng)關(guān)發(fā)數(shù)據(jù)，而不是通過正常的路由器途徑上網(wǎng)。在PC看來，就是網(wǎng)絡(luò)掉線了。 一般來說，ARP欺騙攻擊的后果非常嚴重，大多數(shù)情況下會造成大面積掉線。

通過對ARP協(xié)議的了解，與ARP攻擊/欺騙的工作原理的分析，大家可能都很清楚：保持路由器/交換機及PC的ARP表的正確性，保持正確的ARP信息不被修改，是非常重要的，也是徹底解決ARP問題的關(guān)鍵。再次，了解網(wǎng)絡(luò)異常狀態(tài)，自動隔離感染ARP病毒的PC和惡意的攻擊破壞者，這都是每個網(wǎng)絡(luò)管理者所期盼的。

針對于網(wǎng)絡(luò)ARP威脅，我們推薦一款利器：上海紐盾科技的NEWDON NDM網(wǎng)絡(luò)異常檢測器。NEWDON NDM以實時偵測、即時通知、自動鎖定、治療復(fù)原為設(shè)計理念，以MAC-IP資料庫為基本手段，對網(wǎng)絡(luò)中的廣播、組播及單播封包進行檢測，可以解決ARP偵測、ARP攻擊偵測、ARP異常偵測、強制DHCP、主機服務(wù)管制、DNS釣魚偵測、廣播風(fēng)暴阻止……等危害網(wǎng)絡(luò)安全的常見問題。

NEWDON NDM為一款多功能整合型的網(wǎng)絡(luò)資源暨威脅管理產(chǎn)品，以探針的方式學(xué)習(xí)或探測或管理內(nèi)網(wǎng)VLAN內(nèi)部廣播異常的封包，它不同于部署在網(wǎng)關(guān)上的安全產(chǎn)品，可廣泛探測網(wǎng)絡(luò)內(nèi)部各角落(VLAN)的異常網(wǎng)絡(luò)行為，以期盡早偵測尚未被探測出特征的病毒或黑客攻擊。NEWDON NDM是可應(yīng)用于任何網(wǎng)絡(luò)環(huán)境的封包檢測器，檢測骨干網(wǎng)絡(luò)內(nèi)各個Layer 2層VLAN內(nèi)網(wǎng)絡(luò)是否有異常ARP攻擊，并可檢查使用者是否有不符合規(guī)定的網(wǎng)絡(luò)行為。

NEWDON NDM主要目的：

MAC/IP 存取安全管理

MAC/IP 存取安全管理 – 自動學(xué)習(xí)VLAN內(nèi)MAC、IP及使用者計算機名稱，供管理者快速建立網(wǎng)絡(luò)使用者數(shù)據(jù)庫，自動偵測MAC/IP地址的新增、異常及沖突事件功能，并將相關(guān)系統(tǒng)信息儲存于數(shù)據(jù)庫系統(tǒng)。

?實施綁定 – MAC、IP綁定的網(wǎng)絡(luò)存取安全策略，以防止使用者私自攥改IP發(fā)生IP沖突的問題。避免個人計算機與重要設(shè)備、服務(wù)器的網(wǎng)絡(luò)IP地址沖突，以保障重要設(shè)備或服務(wù)器的服務(wù)。

數(shù)據(jù)管理 – 系統(tǒng)支持單筆數(shù)據(jù)的維護外并提供整個數(shù)據(jù)庫的導(dǎo)入、導(dǎo)出、清除管理。系統(tǒng)也支持SNMP Private MIB提供網(wǎng)管軟件或其它管理軟件的存取接口。

DHCP IP地址管理

DHCP容錯服務(wù)器 – 內(nèi)建DHCP服務(wù)器功能，提供授權(quán)與非授權(quán)兩種類型的DHCP服務(wù)，并支持兩臺設(shè)備互為備援機制的功能。

MAC/IP綁定派送 – DHCP服務(wù)器除支持標準DHCP IP租賃服務(wù)，可定義IP Range for multiVLANs，并整合授權(quán)的MAC/IP數(shù)據(jù)庫，提供MAC/IP綁定派送功能，以確定要求路服務(wù)節(jié)點為合法的計算機設(shè)備后，由DHCP派發(fā)特定的IP。

派發(fā)記錄與例外管理 – 提供DHCP派發(fā)歷史記錄查詢及導(dǎo)出功能。本系統(tǒng)也可由管理者自定IP派發(fā)政策，可區(qū)分為固定IP用戶及或由系統(tǒng)自行派發(fā)等，可例外管理部份的私設(shè)固定IP。客戶端DHCP管理 – (1)私設(shè)DHCP服務(wù)器阻斷 - LAN環(huán)境內(nèi)私自架設(shè)不合法DHCP Server會被NEWDON NDM阻隔無效;(2)DHCP強制 - 可限制端點只能使用DHCP方式取得IP，任何私自設(shè)定IP地址的終端設(shè)備無論所設(shè)定IP地址是否為合法IP皆禁止其使用網(wǎng)絡(luò)。

異常偵測管理

ARP掃描偵測 –設(shè)定ARP掃描基線值，偵測用戶執(zhí)行掃描時，累計值是否超過基線值，超過時可根據(jù)封鎖類型進行動作。

ARP異常偵測 – 偵測器提供局域網(wǎng)內(nèi)ARP欺騙攻擊偵測功能包括：ARP 掃描偵測 – 可偵測LAN內(nèi)部ARP掃描行為;ARP異常偵測 - 則是偵測LAN內(nèi)部哪些用戶送一些不合法封包;ARP攻擊偵測 - 主要目的是偵測出哪些用戶遭受攻擊。

廣播風(fēng)暴偵測 – 可偵測局域內(nèi)網(wǎng)VLAN是否有超過異常廣播發(fā)生，并通知管理者。

遠程防衛(wèi) – NEWDON NDM 可以檢測非法/入侵地址，或分析Worm蠕蟲、DoS攻擊，這時NEWDONNDM 可立即啟動端點防衛(wèi)功能模塊，來抑制阻止這些非法入侵。端點防衛(wèi)并非封鎖特定的交換機端口，而是直接抑制入侵者(非法使用)的終端對網(wǎng)絡(luò)的使用，因此即使入侵者使用的終端具備移動的特性，仍然逃不過端點防衛(wèi)的封鎖，而且也不需改變?nèi)魏尉W(wǎng)絡(luò)架構(gòu)或作復(fù)雜的設(shè)定。

　　我們?nèi)媪私庖幌翹EWDON NDM在網(wǎng)絡(luò)中的部署情況及預(yù)期效益：

1、 部署方式。NEWDON NDM單臂旁接在核心交換機，不用更改現(xiàn)有網(wǎng)絡(luò)結(jié)構(gòu)，也勿需安裝客戶端。

2、 運作模式。NEWDON NDM以探針的形式，自動學(xué)習(xí)/維護VLAN內(nèi)的MAC/IP對應(yīng)表，維護MAC/IP數(shù)據(jù)庫，可以由網(wǎng)絡(luò)管理者執(zhí)行綁定、拒絕等策略，不用在交換機及PC上安裝、執(zhí)行相關(guān)軟件或策略，即可輕松掌握及管理網(wǎng)絡(luò)MAC/IP數(shù)據(jù)庫。

3、 特色功能：NEWDON NDM不同于市面上一般的IPAM產(chǎn)品;除擁有常見的功能外，NEWDON NDM還具有ARP攻擊偵測、異常偵測等功能，根據(jù)預(yù)設(shè)動作自動以郵件、短信等方式通知網(wǎng)絡(luò)者，并自動鎖定攻擊源，切斷其聯(lián)線，將網(wǎng)絡(luò)威脅及風(fēng)險降到最低。

4、 預(yù)期效益： 24*7的不間斷監(jiān)控，就好像在企業(yè)網(wǎng)絡(luò)植入隱形芯片追蹤，隨時掌握狀況，化解未知威脅。這樣的做法，能夠在第一時間內(nèi)主動防御隔離，在災(zāi)害未發(fā)生或規(guī)模不大時，就將問題解決，協(xié)助網(wǎng)絡(luò)管理者偵測越來越多的未知型威脅與病毒。

在SARS疫情逐漸擴散期間，各國各地區(qū)都成功避免SARS成為全球性的災(zāi)難，雖然最后仍然沒有解毒疫苗，但還是成功采取策略解決危機。其中最重要的策略就是實時檢測溫度異常病患及有效的隔離措施，使病毒控制在一定的范圍。現(xiàn)在一旦某區(qū)域爆發(fā)變種疫情，世界衛(wèi)生組織會迅速提出這樣控制疫情、迅速隔離病患改善方案。同樣地，持續(xù)監(jiān)控應(yīng)是IT信息與網(wǎng)絡(luò)安全主要著眼點。

向ARP威脅宣戰(zhàn)，像隔離SARS一樣解決你網(wǎng)絡(luò)的ARP問題吧!