【文本版|topic】 标题 全文 高级搜索    名人堂 帮助 论坛制度 意见反馈 | 首页 博客 周新贴 招聘 专题 新闻

	社区导航: 专家门诊   门诊点播 申请专家 意见建议 嘉宾访谈 网络技术   网络管理  >>VPN管理  >>网络流量管理  >>网络设备管理  >>网络解决方案 网管软件 网络工程  >>综合布线  >>系统集成 思科技术 华为技术 网络安全  >>病毒木马  >>流氓软件  >>ISA 存储备份 服务器硬件 操作系统   Windows Linux & Advanced Application Unix & BSD & Solaris 数据库   微软SQL Server专区  >>SQL Server 2008  >>SQL Server数据库管理  >>SQL Server数据库开发  >>微软商务智能 Oracle 10g / 9i MySQL & PostgreSQL & Sybase DB2 程序设计   C/C++ .Net Java Php Web PowerBuilder 系统应用   Web及应用服务器 Mail服务器  >>Exchange 其他常用服务器软件 考试认证   软考论坛  >>网络管理员  >>网络工程师 主流IT厂商认证 ITAA实验室 CIO及信息化   管理软件 信息化咨询 站长交流   建站经验交流 网站运营推广 网页设计美化 IDC技术交流 综合交流   PC应用  >>软件应用  >>硬件应用 英语天地 新闻评论 职场人生 生活日记 体坛奥运 开心灌水 士兵突击 吃喝玩乐 下载基地  技术文档 工具软件 课件试题 方案案例 源代码 影视天地 原创视频 技术白皮书  >>存储管理  >>Cisco  >>Linux  >>Solaris  >>Oracle  >>更多... 51CTO产品服务 活动专区 产品与服务  >>IT技术自测  >>技术黄皮书  >>微软MVP专区  >>商务竞拍  >>特色功能介绍  >>论坛小技巧 站务交流  >>论坛公告  >>斑竹申请  >>意见建议  >>市场合作 斑竹茶馆 【设为首页 | 收藏本站】

51CTO技术论坛» 华为技术 » H3C ARP攻击防御解决方案       [ 打印]  [ 订阅]  [ 收藏]  [ 推荐给朋友]   [ 本帖文本页]

论坛跳转: →IT综合区←  > 技能交换  > 项目外包  > 产品采购  > 求职招聘 →专家门诊←  > 专家门诊      > 嘉宾访谈  > 原创网络技术视频      > 视频讨论专区  > 微软SQL Server专区 → 网络技术←  > 网络管理      > VPN管理      > 网络流量管理      > 网络设备管理      > 网络解决方案  > 网管软件  > 网络工程      > 综合布线      > 系统集成  > 思科技术  > 华为技术  > 锐捷技术  > 网络安全      > 赛门铁克      > 病毒木马      > 流氓软件      > ISA  > 存储备份  > 服务器硬件 →操作系统←  > Windows  > Linux & Advanced Application  > Solaris & BSD & Unix → 数据库←  > 微软SQL Server专区      > SQL Server 2008      > SQL Server数据库管理      > SQL Server应用开发      > 微软商务智能  > Oracle 10g / 9i  > MySQL & PostgreSQL & Sybase  > DB2 →程序设计←  > C/C++  > .Net  > Java  > Php  > Web开发  > PowerBuilder →系统应用←  > Web及应用服务器  > Mail服务器      > Exchange  > 其他常用服务器软件 →考试认证←  > 软考论坛      > 网络管理员      > 网络工程师  > 北大青鸟  > 主流IT厂商认证 →CIO与信息化←  > 管理软件  > 信息化咨询 →站长交流←  > 建站经验交流  > 网站运营推广  > 网页设计美化  > IDC技术交流 →娱乐休闲←  > PC 应用      > 软件应用      > 硬件维护  > 英语天地  > 新闻评论  > 职场人生  > 体坛奥运  > 升级版生活日记  > 贴图灌水beta版  > 51cto版士兵突击  > 吃喝玩乐FB生活 →下载基地←  > 技术文档  > 工具软件  > 课件试题  > 方案案例  > 源代码  > 影视天地  > 技术白皮书      > Cisco      > Windows      > Linux      > Unix      > Solaris      > BSD      > Oracle      > My SQL      > MS SQL      > MPLS      > Sybex      > Programe      > WEB      > 存储硬件      > 存储管理      > 存储概念 →51CTO产品与服务←  > 活动专区  > 产品与服务      > IT技术自测      > 技术黄皮书      > Most Valuable Professional      > 商务竞拍      > 特色功能介绍      > 论坛小技巧  > 站务交流      > 论坛公告      > 斑竹申请      > 意见建议      > 市场合作 →信息发布←  > 信息发布

标题: H3C ARP攻击防御解决方案  ( 查看:325  回复:3 )    全文标题 本版搜索全坛搜索
panyifu 初级工程师  帖子 1317 精华 0 无忧币 14121 积分 3469 阅读权限 50 注册日期 2006-5-4 最后登录 2008-7-7 离线 [查看资料]  [发短消息]  [Blog]  [个人主页]	发表于:2008-3-28 10:45　 　标题：H3C ARP攻击防御解决方案 ＜上一帖 | 下一帖＞ 1  前言 当计算机连接正常，却无法打开网页；或者计算机网络出现频繁断线，同时网速变得非常慢，这些都可能是网络中存在ARP欺骗攻击所表现出来的网络现象。 ARP欺骗攻击不仅会造成联网不稳定，引发用户无法上网，或者企业断网导致重大生产事故，而且利用ARP欺骗攻击可进一步实施中间人攻击，以此非法获取到游戏、网银、文件服务等系统的帐号和口令，对被攻击者造成利益上的重大损失。因此ARP欺骗攻击是一种非常恶劣的网络攻击行为。 ARP攻击已经对各行各业网络造成了巨大威胁，但一直没有得到有效的解决。连我们熟知的杀毒软件、防火墙都挡不住ARP 欺骗攻击。主要由于ARP欺骗攻击的木马程序，通常会伪装成常用软件的一部分被下载并被激活，或者作为网页的一部分自动传送到浏览者的电脑上并被激活，或者通过U盘、移动硬盘等方式进入网络。由于木马程序的形态特征都在不断变化和升级，杀毒软件常常会失去作用。 2  方案概述 分析ARP攻击的特点，结合市场实际需求，H3C公司推出了全面有效的ARP攻击防御解决方案。 “全面防御，模块定制” H3C ARP攻击防御解决方案 H3C ARP攻击防御解决方案通过对客户端、接入交换机和网关三个控制点实施自上而下的“全面防御”，并且能够根据不同的网络环境和客户需求进行“模块定制”，为用户提供多样、灵活的ARP攻击防御解决方案。 H3C提供两类ARP攻击防御解决方案：监控方式，认证方式。监控方式主要适用于动态接入用户居多的网络环境，认证方式主要适用于认证方式接入的网络环境；实际部署时，建议分析网络的实际场景，选择合适的攻击防御解决方案。另外，结合H3C独有的iMC智能管理中心，可以非常方便、直观的配置网关绑定信息，查看网络用户和设备的安全状况，不仅有效的保障了网络的整体安全，更能快速发现网络中不安全的主机和ARP攻击源，并迅速做出反映。 3  功能特点 u       更灵活。提供监控模式和认证模式两大类方案，认证方案支持IEEE 802.1X和Portal两种认证模式，组网方式多样、灵活。 u       更彻底。多种方式组合能够全面防御新建网络ARP攻击，切实保障网络稳定和安全。 u       保护投资。对接入交换机的依赖较小，可以较好的支持现有网络的利旧，兼容大部分现有网络场景，有效保护投资。 u       适用性强。解决方案适应动态和静态两种地址分配方式，通过终端、接入交换机、网关多种模块的组合，适用于各种复杂的组网环境。 H3C ARP攻击防御解决方案的推出，为教育、金融、政府、企业等客户网络彻底解决了ARP欺骗攻击的问题，其“全面防御 模块定制”的理念，能够满足新旧网络的不同需要，让ARP欺骗攻击从此不再困扰！ 4  典型应用 一、监控方式 监控方式也即DHCP Snooping方式，适合大部分主机为动态分配IP地址的网络场景。实现原理：接入层交换机监控用户动态申请IP地址的全过程，记录用户的IP、MAC和端口信息，并且在接入交换机上做多元素绑定，从而在根本上阻断非法ARP报文的传播。 另外，ARP泛洪攻击会产生大量的ARP报文，消耗网络带宽资源和交换机CPU资源，造成网络速度急剧降低。因此可以在接入交换机部署ARP报文限速，对每个端口单位时间内接收到的ARP报文数量进行限制，避免ARP泛洪攻击，保护网络资源。 二、认证方式 认证方式适合网络中采用认证登陆的场景，通过H3C CAMS服务器、H3C iNode智能客户端与接入交换机和网关的联动，全方面的防御ARP攻击。 实现原理：认证方式是客户端通过认证协议登陆网络，认证服务器识别客户端，并且将事先配置好的网关IP/MAC绑定信息下发给客户端，实现了ARP报文在客户端、接入交换机和网关的绑定，使得虚假的ARP报文在网络里无立足之地，从根本上防止ARP病毒泛滥。 H3C认证方式包括IEEE802.1X和Portal两种方案，充分考虑了新建和利旧网络的不同网络场景，方案全面有效。 1）IEEE802.1X方案 IEEE802.1X方案通过客户端发起认证，H3C CAMS把事先配置好的网关的IP和MAC绑定信息下发给客户端做绑定，防止客户端遭遇网关仿冒类型的攻击； 客户端发起认证的报文需要经过接入交换机，接入交换机记录客户端的IP和MAC信息并且做绑定，可以防止网关仿冒、网关欺骗、欺骗终端用户和ARP泛洪攻击； 客户端、接入交换机和网关绑定可以选择实现，方案可裁剪。 图示 PC生成网关绑定表项 2）Portal方案是通过客户端发起portal认证，CAMS把事先配置好的网关IP和MAC绑定信息下发给客户端做绑定，网关记录用户的IP和MAC做绑定，防止网关欺骗。 网络工程师到底该不该去考CCIE认证？
2008-3-28 10:45 1楼	[ 顶部 ]
dancer.tan 新新人类  帖子 145 精华 0 无忧币 13 积分 145 阅读权限 20 注册日期 2008-3-26 最后登录 2008-6-3 离线 [查看资料]  [发短消息]  [Blog]	发表于:2008-3-29 11:00　 ding 网络工程师到底该不该去考CCIE认证？
2008-3-29 11:00 2楼	[ 顶部 ]
jiamin 技术员  帖子 158 精华 0 无忧币 633 积分 339 阅读权限 30 注册日期 2006-11-9 最后登录 2008-6-20 离线 [查看资料]  [发短消息]  [Blog]	发表于:2008-3-31 07:51　 　标题：bangdingle keyicaiqu bangding de fangshi 网络工程师到底该不该去考CCIE认证？
2008-3-31 07:51 3楼	[ 顶部 ]
pyj2007 新新人类  帖子 30 精华 0 无忧币 0 积分 38 阅读权限 20 注册日期 2007-9-22 最后登录 2008-6-1 离线 [查看资料]  [发短消息]  [Blog]	发表于:2008-4-1 16:36　 　标题：好东西 可惜没列出具体操作步骤 网络工程师到底该不该去考CCIE认证？
2008-4-1 16:36 4楼	[ 顶部 ]

论坛跳转: →IT综合区←  > 技能交换  > 项目外包  > 产品采购  > 求职招聘 →专家门诊←  > 专家门诊      > 嘉宾访谈  > 原创网络技术视频      > 视频讨论专区  > 微软SQL Server专区 → 网络技术←  > 网络管理      > VPN管理      > 网络流量管理      > 网络设备管理      > 网络解决方案  > 网管软件  > 网络工程      > 综合布线      > 系统集成  > 思科技术  > 华为技术  > 锐捷技术  > 网络安全      > 赛门铁克      > 病毒木马      > 流氓软件      > ISA  > 存储备份  > 服务器硬件 →操作系统←  > Windows  > Linux & Advanced Application  > Solaris & BSD & Unix → 数据库←  > 微软SQL Server专区      > SQL Server 2008      > SQL Server数据库管理      > SQL Server应用开发      > 微软商务智能  > Oracle 10g / 9i  > MySQL & PostgreSQL & Sybase  > DB2 →程序设计←  > C/C++  > .Net  > Java  > Php  > Web开发  > PowerBuilder →系统应用←  > Web及应用服务器  > Mail服务器      > Exchange  > 其他常用服务器软件 →考试认证←  > 软考论坛      > 网络管理员      > 网络工程师  > 北大青鸟  > 主流IT厂商认证 →CIO与信息化←  > 管理软件  > 信息化咨询 →站长交流←  > 建站经验交流  > 网站运营推广  > 网页设计美化  > IDC技术交流 →娱乐休闲←  > PC 应用      > 软件应用      > 硬件维护  > 英语天地  > 新闻评论  > 职场人生  > 体坛奥运  > 升级版生活日记  > 贴图灌水beta版  > 51cto版士兵突击  > 吃喝玩乐FB生活 →下载基地←  > 技术文档  > 工具软件  > 课件试题  > 方案案例  > 源代码  > 影视天地  > 技术白皮书      > Cisco      > Windows      > Linux      > Unix      > Solaris      > BSD      > Oracle      > My SQL      > MS SQL      > MPLS      > Sybex      > Programe      > WEB      > 存储硬件      > 存储管理      > 存储概念 →51CTO产品与服务←  > 活动专区  > 产品与服务      > IT技术自测      > 技术黄皮书      > Most Valuable Professional      > 商务竞拍      > 特色功能介绍      > 论坛小技巧  > 站务交流      > 论坛公告      > 斑竹申请      > 意见建议      > 市场合作 →信息发布←  > 信息发布

| | |

---

| | |

---

| | |

---

标记已读 · 删除论坛Cookies · 文本版 · WAP

 

| 诚征版主 | 版主堂 | 意见建议 | 大史记 | 论坛地图

Copyright©2005-2008 51CTO.COM  Powered by Discuz!

本论坛言论纯属发布者个人意见，不代表51CTO网站立场！如有疑义，请与管理员联系。

京ICP备05051492号