关于三层交换防ARP攻击的误区

parphy

1、在百度上搜索“华为 ARP欺骗”就可以找到了L2交换机防ARP攻击的，虽然大部分L2交换机不能防ARP，但通过底层过滤的手段还是可以实现的，其他厂家的L2交换机也有类似功能，只是比较少见

2、同样道理，并不是所有的L3交换机可以设置ARP的学习模式的，那时候就只能一台机器一个网段，虽然可以防，但代价很高。
同时，基于同样道理，不管采用哪种花哨手段，只要起三层功能，代价都小不了，这个我最后解释（如果不起三层，那就不属于三层方案了）

3、还有人声称可以在ros上做三层交换，送他两个字——胡说八道！ROS可以在一定程度上防ARP，但根本不是通过三层交换，这里有两个最大的误区，A、三层不等于三层交换
B、虽然ROS既有一些很弱的二层功能，也有较强的三层功能，但，到现在最新版本为止，ROS从来都不支持它自己做三层交换！从来没有，不用狡辩，先搞清楚什么叫三层交换再说，三层交换同样不等于三层+交换。

4、二层交换机根本防不了ARP，这是一个最大的误区，坚持这样的想法的人，大多是那些懂得一定网络知识，但学得不够扎实的人。
这种观点的人坚持的理由是根据OSI七层模型的基本常识，L2的交换机根本由于没有三层功能，根本看不懂属于三层的ARP包！这一点说的没错，但这些人忘记了另外一个OSI七层模型的基本常识————任何三层的通讯要想真正实现，必须经过二层处理，它们最终是要转换成16进制或二进制，只要二层交换机具备这样的二层过滤功能，一样可以防好ARP，只是稍微复杂点而已，华为或其他厂家的二层交换机防ARP的原理基本就是这样的


注释：
真正的三层交换防ARP代价高的原因
同厂家的L3价格一定比其对应的L2高，如果有的L3的价格比L2的还低，勉强实现了，其路由性能通常很差，到那时，ARP防住了，各种其他内网攻击会让L3交换机死无葬身之地，而大多数L2交换机是不太害怕病毒攻击的，我见过的低端L3交换机通常在每秒只有3000个包的SYN下就完蛋了，连1000PPS/S也顶不住的不在少数！甚至还有许多鱼目混珠的技术员或JS，给客户买了L3交换机，根本没起三层，把L3交换机当二层的使，这些人更黑，就知道鼓捣人家多花钱！
总之，为了一种攻击，而放弃对其他成百上千种其他攻击的抵抗是不明智的


因此，L3的交换机防ARP的方案只有在下面的条件下才可以考虑实施：
“根本不在乎花钱！”
原因很简单，既便宜，L3性能又好的交换机，现在还没有生产


稍微有钱点的地方可以通过部署智能二层交换机的方法进行成本稍微高点


最省成本的方案还是用ROS+客户机双、多向绑定，想省钱就要多花工夫，天经地义！而且这种方法绝对有效！
同样很多人在叫嚣绑定无效，原因只有一个，不称职、工作没做到位，具体技术原因如下：
1、没绑对，怎么绑是对的，网上太多了，自己查吧，这些管理员，该骂
2、没绑全，纯属偷懒，或者只绑了一端未绑另一端，或有的绑，有的不绑，这些管理员，该打，知道怎么做还不做
3、绑对了，也绑全了，还是中招，尤其是那种每五分钟绑一次都中招的，这种情况，可以教给一下，但你首先必须明确一点，除了ARP欺骗，没有其他原因
原因是MS的新操作系统的程序员犯了最基本的网络常识错误————ARP表的静态值，运行级别一定高于动态值，而且不能被动态值覆盖！这个问题怎么解决？————当然是打补丁呗

尤其是网吧老板，要注意喽，只要再中ARP，打网管的屁股，打不错的！

==========================================

[ 本帖最后由 parphy 于 2007-2-4 12:56 编辑 ]

parphy

简单举个直观的例子，

某国际名牌L3交换机，跑二层的时候流量600M，CPU占用率为8%-11%
起三层的时候50M流量，CPU到了75%
我没写错，你也没看错，一个是600M，一个是50M，前者是11%，后者是75%

[ 本帖最后由 parphy 于 2007-2-4 13:04 编辑 ]

专卖精品

ARP似乎可以攻击交换机的MAC表

楼主用意是好的，不过似乎言语比较激烈

everest79

最后一句没看懂？我给2k打补丁就是因为静态值被动态取代，怎么又出现一个回溯补丁？
二层交换是可以端口绑定MAC来防止吧？

host2318

只要是 以太网 就避免不了。

webjump

三层也防不了，华为5624，华为工程师来调的，一个OK病毒就完了。
最后把我的OK病毒测试软件带走了，说是回去给研发看看。
搞到现在我还是用ROS绑定的。做的是2层，3层做不了。
等于白买了3层。
真郁闷。

[ 本帖最后由 webjump 于 2007-2-4 20:36 编辑 ]

9939781

原帖由 webjump 于 2007-2-4 20:30 发表
三层也防不了，华为5624，华为工程师来调的，一个OK病毒就完了。
最后把我的OK病毒测试软件带走了，说是回去给研发看看。
搞到现在我还是用ROS绑定的。做的是2层，3层做不了。
等于白买了3层。
真郁闷。

这么牛的毒啊

parphy

原帖由 专卖精品 于 2007-2-4 13:33 发表
ARP似乎可以攻击交换机的MAC表

楼主用意是好的，不过似乎言语比较激烈

既然知道ARP的原理了，还把计算机的管理地址配置成和普通客户机同一网段的，那只能认为是不称职了（我从来都是把管理的地址单独列出来分地址，从来不跟普通客户端混用地址池，这是一个安全习惯问题，出事多了就不奇怪了，哪怕那时候还没有ARP病毒，稳妥点总是好的，一般的ROS用户，完全可以通过WINBOX自带的TELNET工具来管理下面的交换机，也是比较方便的）


至于我的态度问题，我承认。但你也不得不考虑到，被骗上当的用户态度肯定比我的还激烈
（当然，也有很多不明就里的人，本身并不想骗别人，而实际上他自己就是受骗者，看人家说的头头是道，自己又不太明白，只能人云亦云，不自觉地成为谎言的传播者了）

我还是要补充一下，从原理上讲，三层交换目前的确是可以解决ARP的方案之一！
它的问题是在于综合后的网络成本高得让一般用户无法承受，而廉价的方案则弊端更大

这就是理想和现实之间的差距

parphy

原帖由 webjump 于 2007-2-4 20:30 发表
三层也防不了，华为5624，华为工程师来调的，一个OK病毒就完了。
最后把我的OK病毒测试软件带走了，说是回去给研发看看。
搞到现在我还是用ROS绑定的。做的是2层，3层做不了。
等于白买了3层。
真郁闷。

我觉得你没必要郁闷，三层交换机的三层是弱了些，但作为二层通常是很强大的，从你的言谈，你所在的是个单位，虽然也不愿意多花钱，但也不在乎这点，而不像是网吧、个体户那种在网络上希望拼命省钱的
用三层跑二层的好处，至少可以让你在网络下次升级前省好多心，除非硬件发生损坏，否则几乎可以不必考虑这个设备在性能上出问题的可能性，说这个，并不想安慰你，我给有钱的单位推荐的方案总是类似这样留较大空间余地的

cj4025

系统打补丁就是因为静态值被动态取代，怎么又出现一个回溯补丁

parphy

原帖由 cj4025 于 2007-2-5 09:47 发表
系统打补丁就是因为静态值被动态取代，怎么又出现一个回溯补丁

打过了就不用打了，KB891861，这个是补丁号，你所说的“回溯补丁”是指哪个号的？

naboo

ARP欺骗、ARP请求，这样的病毒都可以在交换机上防御。

1、作MAC+IP+PORT的绑定
2、关掉交换机动态MAC，设置静态MAC表。
3、还可以根据每台机器使用情况，分配端口PPS、带宽等。

至于划不划VLAN要跟据实际生产环境。

everest79

原帖由 parphy 于 2007-2-5 09:00 发表



既然知道ARP的原理了，还把计算机的管理地址配置成和普通客户机同一网段的，那只能认为是不称职了（我从来都是把管理的地址单独列出来分地址，从来不跟普通客户端混用地址池，这是一个安全习惯问题，出事 ...

这个方法也不是很可行，ARP软件现在都可以实现在某个接口(网卡)搭载不同的网络段来进行扫描与攻击，同时网络设备因为都有着集群管理协议，所以在不同网段内被软件识别出来也很正常，所以这个..........

everest79

原帖由 parphy 于 2007-2-5 09:55 发表

打过了就不用打了，KB891861，这个是补丁号，你所说的“回溯补丁”是指哪个号的？

有其他原因
原因是MS的新操作系统的程序员犯了最基本的网络常识错误————ARP表的静态值，运行级别一定高于动态值，而且不能被动态值覆盖！这个问题怎么解决？————当然是打补丁呗

不好意思，可能是我误解，你说新操作系统犯了错误，而我所知的新操作系统恰好都修正了这个问题，所以认为静态高动动态是错误的，呵呵