广大系统集成朋友还在为这些问题头痛吗？赶快参加投票吧？

workers2 · 发表于 2009-11-26 11:16:52

你们说的那个巡路免疫技术是什么呀？可以解决什么问题？

菜黑3389 · 发表于 2009-11-26 21:42:09

投了

workers2 · 发表于 2009-12-1 11:50:18

通过上面的投票可以看到在ARP这块的东西现在还是令人头痛的，那么今天我就充当一次专家给大家分析一下ARP这块东西到底该怎么去做才可以彻底的防。
arp在目前看来可以分为7中之多。
1、arp欺骗（网关、pc）
2、arp攻击
3、arp残缺
4、海量arp
5、二代arp（假ip、假mac)
因为二代的arp最难解决，现在我就分析一下二代arp的问题。
现象 ARP出现了新变种，二代ARP攻击已经具有自动传播能力，已有的宏文件绑定方式已经被破，网络有面临新一轮的掉线和卡滞盗号的影响！

原理二代ARP主要表现在病毒通过网络访问或是主机间的访问互相传播。由于病毒已经感染到电脑主机，可以轻而易举的清除掉客户机电脑上的ARP静态绑定（首先执行的是arp -d然后在执行的是arp -s ，此时绑定的是一个错误的MAC)伴随着绑定的取消，错误的网关IP和MAC的对应并可以顺利的写到客户机电脑，ARP的攻击又畅通无阻了。
解决办法（1）部分用户采用的“双/单项绑定”后，ARP攻击得到了一定的控制。
面临问题双绑和单绑都需要在客户机上绑定。二代ARP攻击会清除电脑上的绑定，使得电脑静态绑定的方式无效。
（2）部分用户采用一种叫作“循环绑定”的办法，就是每过一段“时间”客户端自动绑定一个“IP/MAC”。
面临问题如果我们“循环绑定”的时间较长（比arp清除的时间长）就是说在“循环绑定”进行第二次绑定之前就被清除了，这样对arp的防范仍然无效。如果“循环绑定”的时间过短（比arp清除时间短）这块就会暂用更多的系统资源，这样就是“得不偿失”
（3）部分用户采用一种叫作“arp防护”，就是网关每过一段时间按照一定的“频率”在内网发送正确网关“IP/MAC”面临问题如果发送的“频率”过快（每秒发送的ARP多）就会严重的消耗内网的资源（容易造成内网的堵塞），如果发送“频率”太慢（没有arp协议攻击发出来频率高）在arp防范上面没有丝毫的作用。
（4）部分用户采用一种叫作“看守式绑定”就是在路由器做NAT的时候不是按照传统路由那样根据“MAC/IP”映射表来转发数据，而“看守式绑定”是根据他们在NAT表中的MAC来确定（这样就会是只要数据可以转发出去就一定可以回来）就算ARP大规模的爆发，arp表也混乱了但是并不会给我们的网络造成任何影响。（我们按照的是NAT建立时候的IP/MAC来确定）这种方法在现在控制ARP是最有效的。

[ 本帖最后由 workers2 于 2009-12-3 10:01 编辑 ]

workers2 · 发表于 2009-12-11 17:30:07

由于最近没有太多的时间来回复我们的论坛活动，现在我在冒充一次专家给大家分析一下网络掉线问题。
第一点：出现这类掉线频繁的情况，先检查硬件设施，如：路由器，交换机，光猫，网线等是否出现故障，同时跟ISP确认一下外网接入是否正常。正常则进行下一步，有故障则进行更换。
现在，如果在硬件，ISP等都没有问题，或者更换了故障设备，还是出现全网掉线的情况。可以判断是内网有攻击造成的。

第二点：这先提出一个应急的解决方案。如果是急需使用网络的朋友可以试试：
1. 拔网线，通过逐步排查，把攻击点从网络隔离。
2. 所有电脑重启，目的同上。
这样可以暂时缓解该问题，属于治本不只根。

第三点：通过技术手段解决问题。
通过使用Sniffer，Wireshark等抓包工具对内网进行分析。
这个方法就需要读者了解各种协议的通信过程，具备很强的分析能力，还得耐心多多。找出发攻击的终端，进行处理。是一个很考验人的过程。

第四点：传统解决方案
既然出现了掉线的问题，那就不能抱着“这次搞定了，就高枕无忧”的心态。必须采取一些措施来防范。
现在比较传统的方案是购买防火墙，防毒墙，IPS，UTM等安全设备架设在网络中，等待下一次攻击出现，大家拼个你死我活。有攻击，我上墙，攻击更高，我上高墙，造成单一的砌高墙防范。
优势：架设简单，只需要直接在现有网络结构上直接部署。
劣势：价格贵，X科X为等知名品牌，动则XXXXX元。
针对性不强，现有的安全产品大多位于网络边缘，内网的问题很少涉及。

第五点：彻底解决方案
据统计，现今的网络攻击，有80%来自于内网。笔者认为，针对内网的攻击网络边缘型的安全产品根本解决不了问题，因为网络的底层——以太网，自身就是一个大窟窿。大多安全产品都没有针对底层协议来进行控制，导致现在的传统网络总是出现卡滞，ping内网延时大，甚至全网掉线等问题。笔者不惭，认为应该采取一些特殊的对应方式，因为内网面对的是大规模的终端，终端才是整个内网的源头，从源头进行攻击拦截，靠每个源头实施群防群控，将攻击点传达给监控中心，监控中心能对攻击点进行报警，以便相关人员进行处理。这样才能彻底解决内网的攻击问题。
这类具有源头抑制，群防群控特性的网络，先如今只有免疫网络具备。
笔者也曾经在网上找到过X科，X为提出的免疫网络。但是寻到产品化的，也就出现了一个“巡路免疫网络解决方案”。

总结：现今网络问题越来越多，攻击手段更是层出不穷，像楼主这样的掉线问题，不知道各企业网管每天有多少人正在面临。作为同行，笔者也是深感痛苦，发此文，希望能为广大同行进一点绵薄之力。

zzasdsun · 发表于 2010-9-16 11:51:07

看看顶楼主的谁谁谁谁...........

maxdos001 · 发表于 2011-2-16 13:52:19

版主都被你给弄糊涂了。

esmond · 发表于 2012-2-10 16:03:31

嗯，支持下，

SVS-罗杰 · 发表于 2012-7-19 17:11:38

支持

		自动登录	找回密码
密码			注册通行证