纽盾科技 针对ARP攻击的解决之道

　　如何解决ARP问题的困扰？可行方法是使用可防止ARP攻击的安全交换机，如上海纽盾公司的NBAD防病毒攻击交换机；NBAD安全交换机检查每一个ARP包所封装地址，发现地址异常即自动丢弃，籍此可解决绝大部分ARP问题。但是，对于多数已建置的网络来说，这需要替换现有的接入交换机，会造成前期网络投资的浪费。如何既保护现有投资，又能解决ARP攻击的困扰？

　　纽盾科技研发的NDM网络异常检测系统，可以协助检测ARP封包异常，防止ARP攻击。

　　众所周知，ARP攻击的理论基础是利用ARP/RARP协议漏洞，因此使用特征侦测工具如杀毒软件等无法彻底有效解决，这也是ARP病毒无法避免，倒致网络变慢、大面积掉线、全网瘫痪、中间人攻击…等网络故障的原因所在。

　　基于ARP攻击方式，我们可以简单划分为ARP欺骗攻击和ARP泛洪攻击，ARP泛洪攻击较不常见，基原理是随机发送大量ARP封包使网络阻塞，造成交换机/路由器设备性能下降、或交换机CAM表溢出而无法学习正确主机地址。这种方式我们一般在交换机上限制广播速率，或限制端口MAC数量即可解决。

　　而ARP欺骗又可以分为针对终端主机的网关地址欺骗和针对网关的终端地址欺骗。现有的终端防御工具如360安全助手，可协助防范针对终端的网关地址欺骗，而对于针对网关的终端欺骗封包，则无能为力。这不能怪罪于360安全助手，因为它无法捕获和阻止发送给网关的欺骗封包。此外，根据封包类型，ARP欺骗包又分为request请求封包和reply回应封包，我们另立篇幅研究。

　　纽盾科技研发的NDM网络异常检测系统，可以协助检测ARP封包异常，防止ARP攻击。其工作原理详析如下：

　　NDM异常行为检测系统，是基于统计学原理，旁接在核心交换机上，动态监听各终端主机的通讯封包。当检测到ARP异常，如ARP扫描、ARP泛洪、ARP欺骗…等行为，自动开启封锁机制，将异常主机隔离起来，避免对网络正常运行产生影响；同时，NDM可以短信、邮件等多种方式，提醒管理者留意网络事件。下图说明NDM检测ARP欺骗的流程：

　　纽盾NDM异常检测器，除检测ARP封包异常外，还可以检测端口扫描、分布式拒绝服务攻击、蠕虫病毒传播……等异常流量，以及网络设备运行状态、广播风暴、VLAN串接等网络运行事件警示，为企业内网构建全方位的安全防御体系。