向内网ARP威胁宣战 Newdon打造安全网络

　　网络蠕虫病毒泛滥、ARP攻击不断、网络资料被耗占，倒致用户抱怨领导责难，管理者疲于奔命筋疲力尽，专业技术却依然受到很大质疑……面临这种景况，估计每一位网络管理者都会长叹：如果没有这些蠕虫病毒、没有造成网络紊乱的ARP程序、所有用户都能循规蹈矩正常使用网络……那该多好。可是，在计算机网络蓬勃发展的今天，要想主观消除这些威胁无疑于天方夜谈，唯一有效的方法是利用纽盾科技的NEWDON NDM产品打造一个铜墙铁壁的通信网络，使蠕虫病毒和ARP威胁无处遁形。

　　首先我们了解一下ARP协议。ARP协议是“Address Resolution Protocol”(地址解析协议)的缩写。在以太网中，一个主机要和另一个主机进行直接通信，必须要知道目标主机的MAC地址。但这个目标MAC地址是如何获得呢？它就是通过地址解析协议获得的。所谓“地址解析”就是主机在发送帧前将目标IP地址转换成目标MAC地址的过程。ARP协议的基本功能就是通过目标设备的IP地址，查询目标设备的MAC地址，以保证通信的顺利进行。

　　我们再来了解一下ARP攻击与ARP欺骗。ARP攻击就是通过伪造IP地址和MAC地址实现ARP欺骗，能够在网络中产生大量的ARP通信封包使网络阻塞，攻击者只要持续不断的发出伪造的ARP响应包就能更改目标主机ARP缓存中的IP-MAC条目，造成网络中断或中间人攻击。ARP攻击主要是存在于局域网络中，局域网中若有一个人感染ARP木马，则感染该ARP木马的系统将会试图通过“ARP欺骗”手段截获所在网络内其它计算机的通信信息，并因此造成网内其它计算机的通信故障。从影响网络连接通畅的方式来看，ARP欺骗分为两种，一种是对路由器ARP表的欺骗；另一种是对内网PC的网关欺骗。第一种ARP欺骗的原理是——截获网关数据。它通知路由器一系列错误的内网MAC地址，并按照一定的频率不断进行，使真实的地址信息无法通过更新保存在路由器中，结果路由器的所有数据只能发送给错误的MAC地址，造成正常PC无法收到信息。第二种ARP欺骗的原理是——伪造网关。它的原理是建立假网关，让被它欺骗的PC向假网关发数据，而不是通过正常的路由器途径上网。在PC看来，就是网络掉线了。 一般来说，ARP欺骗攻击的后果非常严重，大多数情况下会造成大面积掉线。

　　通过对ARP协议的了解，与ARP攻击/欺骗的工作原理的分析，大家可能都很清楚：保持路由器/交换机及PC的ARP表的正确性，保持正确的ARP信息不被修改，是非常重要的，也是彻底解决ARP问题的关键。再次，了解网络异常状态，自动隔离感染ARP病毒的PC和恶意的攻击破坏者，这都是每个网络管理者所期盼的。

　　针对于网络ARP威胁，我们推荐一款利器：上海纽盾科技的NEWDON NDM网络异常检测器。NEWDON NDM以实时侦测、即时通知、自动锁定、治疗复原为设计理念，以MAC-IP资料库为基本手段，对网络中的广播、组播及单播封包进行检测，可以解决ARP侦测、ARP攻击侦测、ARP异常侦测、强制DHCP、主机服务管制、DNS钓鱼侦测、广播风暴阻止……等危害网络安全的常见问题。

　　NEWDON NDM为一款多功能整合型的网络资源暨威胁管理产品，以探针的方式学习或探测或管理内网VLAN内部广播异常的封包，它不同于部署在网关上的安全产品，可广泛探测网络内部各角落(VLAN)的异常网络行为，以期尽早侦测尚未被探测出特征的病毒或黑客攻击。NEWDON NDM是可应用于任何网络环境的封包检测器，检测骨干网络内各个Layer 2层VLAN内网络是否有异常ARP攻击，并可检查使用者是否有不符合规定的网络行为。

　　NEWDON NDM主要目的：

　　MAC/IP 存取安全管理

　　MAC/IP 存取安全管理 – 自动学习VLAN内MAC、IP及使用者计算机名称，供管理者快速建立网络使用者数据库，自动侦测MAC/IP地址的新增、异常及冲突事件功能，并将相关系统信息储存于数据库系统。

　　？实施绑定 – MAC、IP绑定的网络存取安全策略，以防止使用者私自攥改IP发生IP冲突的问题。避免个人计算机与重要设备、服务器的网络IP地址冲突，以保障重要设备或服务器的服务。

　　数据管理 – 系统支持单笔数据的维护外并提供整个数据库的导入、导出、清除管理。系统也支持SNMP Private MIB提供网管软件或其它管理软件的存取接口。

　　DHCP IP地址管理

　　DHCP容错服务器 – 内建DHCP服务器功能，提供授权与非授权两种类型的DHCP服务，并支持两台设备互为备援机制的功能。

　　MAC/IP绑定派送 – DHCP服务器除支持标准DHCP IP租赁服务，可定义IP Range for multiVLANs，并整合授权的MAC/IP数据库，提供MAC/IP绑定派送功能，以确定要求路服务节点为合法的计算机设备后，由DHCP派发特定的IP。

　　派发记录与例外管理 – 提供DHCP派发历史记录查询及导出功能。本系统也可由管理者自定IP派发政策，可区分为固定IP用户及或由系统自行派发等，可例外管理部份的私设固定IP。客户端DHCP管理 – (1)私设DHCP服务器阻断 – LAN环境内私自架设不合法DHCP Server会被NEWDON NDM阻隔无效；(2)DHCP强制 – 可限制端点只能使用DHCP方式取得IP，任何私自设定IP地址的终端设备无论所设定IP地址是否为合法IP皆禁止其使用网络。

　　异常侦测管理

　　ARP扫描侦测 –设定ARP扫描基线值，侦测用户执行扫描时，累计值是否超过基线值，超过时可根据封锁类型进行动作。

　　ARP异常侦测 – 侦测器提供局域网内ARP欺骗攻击侦测功能包括：ARP 扫描侦测 – 可侦测LAN内部ARP扫描行为；ARP异常侦测 – 则是侦测LAN内部哪些用户送一些不合法封包；ARP攻击侦测 – 主要目的是侦测出哪些用户遭受攻击。

　　广播风暴侦测 – 可侦测局域内网VLAN是否有超过异常广播发生，并通知管理者。

　　远程防卫 – NEWDON NDM 可以检测非法/入侵地址，或分析Worm蠕虫、DoS攻击，这时NEWDONNDM 可立即启动端点防卫功能模块，来抑制阻止这些非法入侵。端点防卫并非封锁特定的交换机端口，而是直接抑制入侵者(非法使用)的终端对网络的使用，因此即使入侵者使用的终端具备移动的特性，仍然逃不过端点防卫的封锁，而且也不需改变任何网络架构或作复杂的设定。

　　我们全面了解一下NEWDON NDM在网络中的部署情况及预期效益：

　　1、 部署方式。NEWDON NDM单臂旁接在核心交换机，不用更改现有网络结构，也勿需安装客户端。

　　2、 运作模式。NEWDON NDM以探针的形式，自动学习/维护VLAN内的MAC/IP对应表，维护MAC/IP数据库，可以由网络管理者执行绑定、拒绝等策略，不用在交换机及PC上安装、执行相关软件或策略，即可轻松掌握及管理网络MAC/IP数据库。

　　3、 特色功能：NEWDON NDM不同于市面上一般的IPAM产品；除拥有常见的功能外，NEWDON NDM还具有ARP攻击侦测、异常侦测等功能，根据预设动作自动以邮件、短信等方式通知网络者，并自动锁定攻击源，切断其联线，将网络威胁及风险降到最低。

　　4、 预期效益： 24*7的不间断监控，就好像在企业网络植入隐形芯片追踪，随时掌握状况，化解未知威胁。这样的做法，能够在第一时间内主动防御隔离，在灾害未发生或规模不大时，就将问题解决，协助网络管理者侦测越来越多的未知型威胁与病毒。

　　在SARS疫情逐渐扩散期间，各国各地区都成功避免SARS成为全球性的灾难，虽然最后仍然没有解毒疫苗，但还是成功采取策略解决危机。其中最重要的策略就是实时检测温度异常病患及有效的隔离措施，使病毒控制在一定的范围。现在一旦某区域爆发变种疫情，世界卫生组织会迅速提出这样控制疫情、迅速隔离病患改善方案。同样地，持续监控应是IT信息与网络安全主要着眼点。

　　向ARP威胁宣战，像隔离SARS一样解决你网络的ARP问题吧！