某天早上,尤局长大喊:我的360狂闪,显示遭受到ARP攻击,又上不去网了,一个月两回了。
很快小张、小王、小赵、小N等同学发现,他们也断网了,……我的360在嘟,我的文件还未保存,这ARP是啥?
半小时后,同学们的网络开始陆续恢复正常。小网与小官对小张说,你的笔记本有问题,是“毒源”。
不会吧,我也没干什么啊,小张同学一脸无辜状。
这是啥?小官问。
筱雨章的写真啊,昨晚上找到的,小张说。
小官:无语中……,发我一份,我研究研究。
半小时后,同学们的360又开始嘟嘟不停。嗯……找到问题所在了,小官自云到,还是回家再继续研究吧。
大黄!上低俗网站真的很危险!
如果您从事过网络维护工作,相信您也遇到过下图中所描述的问题。慢!这个慢字背后有太多原因,想要搞清它们有时几乎是不可能的。首先,可能的原因有很多;其次,您面前也许有50台电脑需要检查。
网络慢,您有何良方?
比较有效的也是最基本的网络管理手段是对所有终端电脑应用“最小权限策略(Users)”,从某种角度讲,对用户应用“最小权限策略”是系统安全的基础,也是网络安全的基础,因为每台终端都是整个网络的“入口”。但现实情况是,小型企业不像大型企业,后者有完善的IT系统策略,有专门的IT支持团队,相比之下,小企业就显得“一穷二白”了。在小企业中,系统权限基本上是开放给用户的(其实是处于无管理状态),并且用户可以随意将私人电脑接入网络,所以通过管理终端来管理网络这条路基本是行不通的。
应用最小权限策略对操作系统来讲意味着什么?我们可以通过一个比喻来说明。相信很多人都有iPhone,未破解的iPhone是不可以随意安装APP的,破解以后这一限制就不存在了,但同时病毒也开始趁虚而入,流行的开放平台似乎都无法摆脱病毒的困扰,iPhone自然也不例外。苹果有个APP STORE,仅使用其上的资源可以保障iPhone的安全,这点与对系统应用最小权限策略是一样的——将用户的操作行为限制在一定范围内,但如果绕过这一安全“屏障”,对于个人用户来讲最多只是多装几回WINDOWS而已,但对于企业用户,这时企业网络的安全将完全处于失控状态!
说了这么多,无非仅想说明一点,从使用层面来讲,WINDOWS其实是非常安全的,你可以安装世界上最强大的杀毒软件,但效果可能并没有对系统应用最小权限策略来得好,之所以您会感觉WINDWOS总爱出毛病,其实是我们的使用方法存在问题。不过,现实是,在中小企业中操作系统安全处于失控状态,导致网络安全也处于失控状态。当安全变成“无法完成的任务时”,退而求其次,从务实的角度出发,也许我们该将网络(工作)稳定作为“奋斗的目标”。
在这种恶劣的环境中,如何能让网络保持工作稳定?要做到这点,首先我们需要了解一下目前以太网的“软肋”是什么。ARP协议,没错,就是这个东西,把ARP协议看作是以太网的死穴似乎更恰当些。由于接收端口无法甄别收到的ARP数据的合法性,“照单全收”的工作方式使其成为安全上的一个盲点,而且是无法绕开、无法解决的盲点。
ARP协议的作用是将IP地址翻译为MAC地址,因为在以太网中(OSI模型第二层),实际上是通过MAC地址标识设备并进行通信。当PCa打算与PCb通信时,PCa会向本地网络中发送一个ARP广播,询问PCb的MAC地址是什么,PCb收到这个广播后会向PCa回复一个ARP应答,PCa收到应答后知道了PCb的MAC地址,然后就可以开始通信了。但是问题就出在PCa接受PCb应答这个环节上——这一过程没有任何安全机制相扶佐,就是说,这个应答数据可以被随意伪造,但PCa都会“信以为真”,相信谎言的结果必然导致PCa找不到正确的目标主机。
很多像贾君鹏一样的同学回不了家是因为他们迷路了
ARP病毒发威了,整个网络瘫痪,有办法可以避免这一漏洞吗?基本没有!如果网络中有ARP病毒在搞破坏,我能确定是哪台PC出了问题吗?很难,真的很难!
说了这么多,主角还未登场,主角就是PPPoE,专杀ARP,欲知详情,请翻页!>>
先来介绍一下本文的“特约模特”,艾泰HiPER 841,它是艾泰科技“小精灵”系列产品中的一款,提供了4个WAN口、1个LAN口,接口规格为10/100Mbps。它个子虽小,但硬件配置不俗,采用了Intel IXP 533MHz CPU,性能表现出色,官方推荐带机量50台(实际应该比这高),PPPoE带机量也是50台,目前官方指导价1600元左右。功能方面,HiPER 841提供了上网行为管理功能及常规的网络管理功能,当然还有本文的主角,PPPoE服务器功能。
PPPoE设置界面
IP地址不必与路由器LAN口同在一个子网中,至于DNS信息,推荐用户询问一下ISP,直接填写ISP提供的DNS地址。“只允许PPPoE用户上网”功能建议开启,这样非PPPoE用户将无法访问网络,但“一刀切”也会出现问题,比如在安装网络打印机或网络存储时你会发现,这些设备都不具备PPPoE拨号功能。所以最好的办法就是允许一部分IP地址可以通过非PPPoE方式访问网络,这些IP地址专供打印机,网络存储(NAS)等设备使用,同时关闭路由器中的DHCP服务,并将这些IP地址与指定设备的MAC地址进行绑定,这样做都是为了防止用户偷用这些IP地址。
添加PPPoE用户
用户配置很好理解,不再赘述,仅提一点,同一PPPoE帐号可以供多人同时进行登录,当然为了让管理更加有效,限定同一时间仅能一人使用也很容易实现,仅需将“帐号最大会话数”设置为1即可,另外,HiPER 841还支持基于帐号的流量管理及时段拨号受理。
对于本地网络设置(电脑的物理网卡),我们可以将所有“功能模块”取消选择
使用Ipconfig查看IP设置没有任何信息显示
没有IP/MAC对应表
路由器端设置好之后,我们在PC端进行拨号并做一些日常操作,随后查看PC端的ARP记录,如上图所示,ARP记录为空。
抓包结果
我们开启Wireshark抓包工具,在使用PPPoE拔号上网的时间内我们过滤被抓到的ARP包,结果为零,网络中不存在ARP包。这对于我们来讲是件好事——PPPoE在工作时不依赖ARP协议,自然所有基于ARP协议的恶意软件也就失效了。
正如在前面所讲的,我们有时确实无法将网络维护成一个“铁桶”,其实在一些环境中并不需要“铁桶网络”,比如小区宽带接入,对于这些环境,稳定是第一位的,安全似乎并不是那么重要。ISP一定会说,电脑中毒与我何干?!我只保障你可以随时上网。>>
PPPoE拨号方式有什么不足?在写这篇文章时,我们发现,如果两台电脑都使用PPPoE接入网络,它们之间虽然可以Ping通,但不可以共享资源,比如我们使用最多的“文件及打印机共享”,对于办公环境来讲,这确实是个问题。即使我们在拨号属性中选中相关(下图中后两项)功能,依然无法通过 "\\xxx.xxx.xxx.xxx" 方式访问对端的共享资源。关于这一问题,请知道真相的围观群众进行一下说明,先谢过。
PPPoE拨号属性设置
不过对于解决打印、扫描、文件共享我们有其它的方式。为了说明打印与扫描,我们请来的“特约模特”是联想出品的M7250N,这是一款多功能一体机,价格在2600元左右,它支持网络打印功能(这一功能是必须有的)。首先,为打印机分配一个固定IP地址,要求必须与路由器LAN口同在一个子网中,然后在使用PPPoE拨号的PC上安装驱动就可以了,就这么简单。其实对于稍大一些的工作组,我们推荐使用网络打印机,不仅稳定高效,最主要的是不会出现打印拥塞的问题(WINDOWS XP共享打印方式同一时间最多仅允许10个用户访问打印机)。
我们打印的测试页并将其扫描为图片,证明网络打印与扫描功能均工作正常
关于文件存储与共享。NAS价格近两年持续走低,使得易用且具备高安全性的存储产品走进了越来越多的中小企业中。NAS的作用主要是用于存放重要数据,它可以提供RAID级的数据安全防护,另一个功能就是可以用它来进行数据共享。由于在PPPoE中,似乎无法使用 "\\192.168.x.x" 方式访问共享资源,但我们可以使用FTP方式。现在的NAS产品基本都会内置FTP服务器功能,只要进行简单设置就可以很好的发挥数据存储功能。
FTP服务器(NAS)采用非PPPoE方式,客户端采用PPPoE方式
对于小型企业,比如50用户以内, 在这样的环境中可能有1-2台打印机和服务器,看到这里我想您心里也大概有了规划方案。现在市场上具有PPPoE服务器功能的宽带路由器价格已经比较实在了,比如本文中的艾泰HiPER 841,价格在1600元左右,但艾泰HiPER 841的网络端口是固定的(4个WAN口、1个LAN口),稍显不够灵活,我们再来看一款支持自定义端口的上网行为管理路由器,飞鱼星4600GP,价格在1480元左右。
飞鱼星 4600GP 图 库 评 测 论 坛 报 价 网购实价
飞鱼星Volans-4600GP是专为小型网吧、企业、经济型酒店、出租屋等场所而设计的经济型宽带接入产品,带机量在60台左右(官方数据),支持ADSL、小区宽带等种接入方式,配备2-4个10/100Mbps自适应WAN口,1-3个10/100Mbps自适应LAN口,最高支持四条外线接入,支持IP分组管理、聊天软件过滤、P2P软件过滤等功能,当然它也具备内网PPPoE服务器功能。产品具体评测在这里。
在实际的应用环境中,连接交换机与路由器之间的那根网线变得异常重要,它是整个网络的绝对核心,网络中任意两台主机之间进行通信时都要经过路由器的那个“核心端口”,此时至少会产生两个问题,一、单点失效将导致整个网络无法工作;二、在“核心端口”处可能会产生流量拥塞,因为在小型企业网络中,员工除了上网可能还会从NAS中存取数据,大量此类操作会导致产生流量拥塞。
哪类用户适合使用PPPoE网络呢?显然小企业网络比较适合,不过中型企业及大型企业并不适用,但并不是说PPPoE不适合组建大型网络,相反,有时使用PPPoE恰恰是最好的方案,比如为小区用户提供上网接入服务时,使用PPPoE网络就再合适不过了,因为用户仅是用来上网,且总出口带宽一般不会很高,所以此时并不会出现流量拥塞,另外,小区中的每台电脑是完全不可控的,使用传统的以太网,网络将会变得非常不稳定,此时PPPoE网络的优点就得到了最大的发挥。
最后再多说一下组建大型PPPoE网络时该怎样选择路由器,你可以仅使用一台性能超强的路由器,比如艾泰UTT 5830G、飞鱼星6300,工作在PPPoE模式下它们的带机量都可以达到500台左右;你也可以使用多台性能中等的路由器,比如艾泰HiPER 4240G、飞鱼星6200,它们的PPPoE带机量基本在200-300台之间,哪种更好?显然是后者,综合来看,后者在成本、灵活性、稳定性上都要优于前者,而且一定程度上也可以减小“单点失效”所波及的范围。[返回频道首页]
