GSN新功能：ARP立體防御方案介紹課件

GSN重拳出擊：ARP立體防御方案介紹產(chǎn)品部沈世海2007年4月GSN重拳出擊：GSN：ARP立體防御ARP攻擊原理與常見(jiàn)防御手段1ARP立體防御技術(shù)原理2實(shí)地測(cè)試效果3ARP立體防御技術(shù)優(yōu)勢(shì)總結(jié)4GSN：ARP立體防御ARP攻擊原理與常見(jiàn)防御手段1ARP立ARP欺騙攻擊原理ARP攻擊原理簡(jiǎn)介通過(guò)偽造虛假源IP、源MAC地址的ARP報(bào)文，導(dǎo)致網(wǎng)關(guān)或主機(jī)無(wú)法找到正確的通信對(duì)象。ARP攻擊利用了ARP協(xié)議本身的缺陷，在IPv4的網(wǎng)絡(luò)大環(huán)境中難以徹底根除。用戶(hù)攻擊者我是網(wǎng)關(guān)，把數(shù)據(jù)都發(fā)給我OK，馬上照辦！欺騙攻擊ARP欺騙攻擊原理ARP攻擊原理簡(jiǎn)介用戶(hù)攻擊者我是網(wǎng)關(guān)，把數(shù)常見(jiàn)ARP攻擊類(lèi)型以盜取數(shù)據(jù)為目的：ARP欺騙攻擊冒充網(wǎng)關(guān)欺騙主機(jī)冒充主機(jī)欺騙網(wǎng)關(guān)冒充主機(jī)欺騙其它主機(jī)以搗亂破壞為目的：ARP泛洪攻擊攻擊局域網(wǎng)主機(jī)攻擊網(wǎng)關(guān)常見(jiàn)ARP攻擊類(lèi)型以盜取數(shù)據(jù)為目的：ARP欺騙攻擊ARP欺騙攻擊冒充網(wǎng)關(guān)欺騙主機(jī)攻擊者以網(wǎng)關(guān)的身份偽造虛假的ARP回應(yīng)報(bào)文，欺騙局域網(wǎng)內(nèi)的其它主機(jī)主機(jī)所有流向外網(wǎng)的流量全部被攻擊者截取正常用戶(hù)網(wǎng)關(guān)我是網(wǎng)關(guān)知道了欺騙攻擊用戶(hù)數(shù)據(jù)攻擊者ARP欺騙攻擊冒充網(wǎng)關(guān)欺騙主機(jī)正常用戶(hù)網(wǎng)關(guān)我是網(wǎng)關(guān)知道了欺騙ARP欺騙攻擊冒充主機(jī)欺騙網(wǎng)關(guān)攻擊者以正常用戶(hù)的身份偽造虛假的ARP回應(yīng)報(bào)文，欺騙網(wǎng)關(guān)網(wǎng)關(guān)發(fā)給該用戶(hù)的所有數(shù)據(jù)全部被攻擊者截取正常用戶(hù)網(wǎng)關(guān)我是小白知道了欺騙攻擊用戶(hù)數(shù)據(jù)攻擊者ARP欺騙攻擊冒充主機(jī)欺騙網(wǎng)關(guān)正常用戶(hù)網(wǎng)關(guān)我是小白知道了欺騙ARP欺騙攻擊ARP欺騙攻擊行為ARP欺騙攻擊一般都會(huì)結(jié)合網(wǎng)關(guān)欺騙和主機(jī)欺騙兩種方式，進(jìn)行中間人（ManInTheMiddle）欺騙。用戶(hù)的所有正常流量都會(huì)被攻擊者截取，導(dǎo)致用戶(hù)重要數(shù)據(jù)被盜。常見(jiàn)的有網(wǎng)游盜號(hào)工具、惡意木馬、病毒等等……ARP欺騙攻擊ARP欺騙攻擊行為ARP泛洪攻擊搗亂破壞型：ARP泛洪攻擊攻擊者偽造大量虛假源MAC和源IP信息的報(bào)文，對(duì)局域網(wǎng)內(nèi)的所有主機(jī)和網(wǎng)關(guān)進(jìn)行廣播，干擾正常通信。正常用戶(hù)網(wǎng)關(guān)我是小白我是網(wǎng)關(guān)我是……小白在哪？泛洪攻擊攻擊者網(wǎng)關(guān)在哪？ARP泛洪攻擊搗亂破壞型：ARP泛洪攻擊正常用戶(hù)網(wǎng)關(guān)我是小白ARP欺騙攻擊ARP泛洪攻擊行為ARP泛洪攻擊的對(duì)象可以是單個(gè)主機(jī)或網(wǎng)關(guān)，也可以是局域網(wǎng)所有機(jī)器。目的在于令局域網(wǎng)內(nèi)部的主機(jī)或網(wǎng)關(guān)找不到正確的通信對(duì)象，甚至用虛假地址信息直接占滿(mǎn)網(wǎng)關(guān)ARP緩存空間，造成用戶(hù)無(wú)法正常上網(wǎng)，屬于損人不利己的搗亂攻擊行為。常見(jiàn)的有網(wǎng)絡(luò)執(zhí)法官、WinARPAttacker等等……ARP欺騙攻擊ARP泛洪攻擊行為常見(jiàn)防御手段主機(jī)端靜態(tài)綁定在主機(jī)上用“arp-s”命令靜態(tài)綁定正確的網(wǎng)關(guān)ARP信息效果可以防御攻擊者冒充網(wǎng)關(guān)對(duì)主機(jī)進(jìn)行欺騙的攻擊行為缺陷每次系統(tǒng)重啟后需要重新靜態(tài)綁定需要對(duì)每一臺(tái)主機(jī)單獨(dú)進(jìn)行手動(dòng)配置，工作量巨大且可操作性不高只能進(jìn)行主機(jī)端的防御，如果網(wǎng)關(guān)遭到欺騙攻擊，該方法無(wú)能為力常見(jiàn)防御手段主機(jī)端靜態(tài)綁定常見(jiàn)防御手段網(wǎng)關(guān)靜態(tài)綁定在網(wǎng)關(guān)上靜態(tài)綁定局域網(wǎng)主機(jī)正確的ARP信息效果可以防御攻擊者冒充主機(jī)對(duì)網(wǎng)關(guān)進(jìn)行欺騙的攻擊行為缺陷只能適用于靜態(tài)IP地址的網(wǎng)絡(luò)環(huán)境局域網(wǎng)主機(jī)數(shù)量越多，管理維護(hù)工作量越大只能進(jìn)行單向的被動(dòng)防御，不能防止主機(jī)受欺騙常見(jiàn)防御手段網(wǎng)關(guān)靜態(tài)綁定常見(jiàn)防御手段網(wǎng)關(guān)定期發(fā)送免費(fèi)ARP網(wǎng)關(guān)定期向局域網(wǎng)廣播自己的ARP信息，幫助受欺騙攻擊的主機(jī)找到正確的網(wǎng)關(guān)。效果可以防御攻擊者冒充主機(jī)對(duì)網(wǎng)關(guān)進(jìn)行欺騙的攻擊行為缺陷網(wǎng)關(guān)需要定期廣播免費(fèi)ARP報(bào)文，占用CPU資源，耗費(fèi)網(wǎng)絡(luò)帶寬。網(wǎng)關(guān)廣播的速度永遠(yuǎn)也趕不上欺騙報(bào)文的發(fā)送速度，收效甚微。常見(jiàn)防御手段網(wǎng)關(guān)定期發(fā)送免費(fèi)ARP常見(jiàn)防御手段交換機(jī)進(jìn)行ARP檢查由交換機(jī)對(duì)接收到的每一個(gè)ARP報(bào)文進(jìn)行檢查，發(fā)現(xiàn)偽造虛假網(wǎng)關(guān)地址的報(bào)文則丟棄處理。效果可以防御攻擊者冒充網(wǎng)關(guān)對(duì)主機(jī)進(jìn)行欺騙的攻擊行為。缺陷不能防御攻擊者冒充主機(jī)欺騙網(wǎng)關(guān)或其它主機(jī)的攻擊行為。常見(jiàn)防御手段交換機(jī)進(jìn)行ARP檢查GSN：ARP立體防御ARP攻擊原理與常見(jiàn)防御手段1ARP立體防御技術(shù)原理2實(shí)地測(cè)試效果3ARP立體防御技術(shù)優(yōu)勢(shì)總結(jié)4GSN：ARP立體防御ARP攻擊原理與常見(jiàn)防御手段1ARP立ARP立體防御技術(shù)原理網(wǎng)關(guān)防御接入層防御用戶(hù)端防御三重工事，縱深防御ARP立體防御技術(shù)原理網(wǎng)關(guān)防御接入層防御用戶(hù)端防御三重工事，三重工事，縱深防御第一重：網(wǎng)關(guān)防御SMP通過(guò)SAM學(xué)習(xí)已通過(guò)認(rèn)證的合法用戶(hù)的IP-MAC對(duì)應(yīng)關(guān)系SMP將用戶(hù)的ARP信息通知相應(yīng)網(wǎng)關(guān)網(wǎng)關(guān)生成對(duì)應(yīng)用戶(hù)的可信任ARP表項(xiàng)用戶(hù)ARP信息RG-SMPRG-SU網(wǎng)關(guān)S21XX生成可信任ARP表項(xiàng)：用戶(hù)A：MAC—IP—端口用戶(hù)A三重工事，縱深防御第一重：網(wǎng)關(guān)防御用戶(hù)ARP信息RG-SMP三重工事，縱深防御第一重：網(wǎng)關(guān)防御攻擊者冒充用戶(hù)IP對(duì)網(wǎng)關(guān)進(jìn)行欺騙真正的用戶(hù)已經(jīng)在網(wǎng)關(guān)的可信任ARP表項(xiàng)中，欺騙行為失敗RG-SMPRG-SU網(wǎng)關(guān)S21XX攻擊者可信任ARP表項(xiàng)：用戶(hù)A：MAC—IP—端口用戶(hù)A我是用戶(hù)A三重工事，縱深防御第一重：網(wǎng)關(guān)防御RG-SMPRG-SU網(wǎng)關(guān)三重工事，縱深防御Tips：什么是可信任ARP？可信任ARP是GSN功能專(zhuān)署的表項(xiàng)通過(guò)聯(lián)動(dòng)SMP，動(dòng)態(tài)學(xué)習(xí)已通過(guò)認(rèn)證的用戶(hù)ARP，保障合法用戶(hù)的上網(wǎng)質(zhì)量?？尚湃蜛RP是一種介于靜態(tài)和動(dòng)態(tài)ARP之間的地址表項(xiàng)與靜態(tài)ARP不同，可信任ARP也有老化機(jī)制，過(guò)期自動(dòng)刪除；可信任ARP有專(zhuān)門(mén)預(yù)留的地址空間，不會(huì)被動(dòng)態(tài)ARP所修改。能夠自動(dòng)檢測(cè)用戶(hù)是否在線(xiàn)可信任ARP老化時(shí)，會(huì)自動(dòng)檢測(cè)用戶(hù)在線(xiàn)情況，如果用戶(hù)在線(xiàn)，會(huì)自動(dòng)恢復(fù)生存周期三重工事，縱深防御Tips：什么是可信任ARP？三重工事，縱深防御第二重：用戶(hù)端防御在SMP上設(shè)置網(wǎng)關(guān)的正確IP－MAC對(duì)應(yīng)信息用戶(hù)認(rèn)證通過(guò)，SMP將網(wǎng)關(guān)的ARP信息下傳至SUSU靜態(tài)綁定網(wǎng)關(guān)的ARPRG-SMPRG-SU網(wǎng)關(guān)S21XX設(shè)置網(wǎng)關(guān)ARP信息IP—MAC網(wǎng)關(guān)信息下傳至用戶(hù)靜態(tài)綁定網(wǎng)關(guān)ARP三重工事，縱深防御第二重：用戶(hù)端防御RG-SMPRG-SU網(wǎng)三重工事，縱深防御第二重：用戶(hù)端防御攻擊者冒充網(wǎng)關(guān)欺騙合法用戶(hù)用戶(hù)已經(jīng)靜態(tài)綁定網(wǎng)關(guān)地址，欺騙攻擊無(wú)效RG-SMPRG-SU網(wǎng)關(guān)S21XX靜態(tài)綁定網(wǎng)關(guān)ARP我是網(wǎng)關(guān)三重工事，縱深防御第二重：用戶(hù)端防御RG-SMPRG-SU網(wǎng)三重工事，縱深防御第三重：交換機(jī)非法報(bào)文過(guò)濾用戶(hù)認(rèn)證通過(guò)后，21交換機(jī)會(huì)在接入端口上綁定用戶(hù)的IP－MAC對(duì)應(yīng)信息。21對(duì)報(bào)文的源地址進(jìn)行檢查，對(duì)非法的攻擊報(bào)文一律丟棄處理。該操作不占用交換機(jī)CPU資源，直接由端口芯片處理。RG-SMPRG-SU網(wǎng)關(guān)S21XX綁定用戶(hù)的IP—MAC信息三重工事，縱深防御第三重：交換機(jī)非法報(bào)文過(guò)濾RG-SMPRG三重工事，縱深防御第三重：交換機(jī)非法報(bào)文過(guò)濾攻擊者偽造源IP和MAC地址發(fā)起攻擊報(bào)文不符合綁定規(guī)則，被交換機(jī)丟棄。RG-SMPRG-SU網(wǎng)關(guān)S21XX靜態(tài)綁定網(wǎng)關(guān)ARP我是網(wǎng)關(guān)三重工事，縱深防御第三重：交換機(jī)非法報(bào)文過(guò)濾RG-SMPRGGSN：ARP立體防御ARP攻擊原理與常見(jiàn)防御手段1ARP立體防御技術(shù)原理2實(shí)地測(cè)試效果3ARP立體防御技術(shù)優(yōu)勢(shì)總結(jié)4GSN：ARP立體防御ARP攻擊原理與常見(jiàn)防御手段1ARP立測(cè)試方案一：模擬攻擊測(cè)試環(huán)境某校學(xué)生宿舍5號(hào)、8號(hào)樓總?cè)藬?shù)600人，高峰期在線(xiàn)400~500人250人左右已升級(jí)至SU3.04（支持ARP防御功能）網(wǎng)關(guān)和SMP都已啟用防ARP欺騙功能測(cè)試方案從使用3.0版和3.04版SU的主機(jī)中分別隨機(jī)抽取一臺(tái)，使用WinARPAttacker軟件假冒網(wǎng)關(guān)對(duì)兩臺(tái)主機(jī)發(fā)起攻擊，通過(guò)ping測(cè)試驗(yàn)證攻擊效果。測(cè)試方案一：模擬攻擊測(cè)試環(huán)境模擬攻擊測(cè)試將測(cè)試用PC接入5號(hào)樓學(xué)生所在網(wǎng)段網(wǎng)段地址：172.22.9.0/24網(wǎng)關(guān)地址：172.22.9.1模擬攻擊測(cè)試將測(cè)試用PC接入5號(hào)樓學(xué)生所在網(wǎng)段網(wǎng)段地址：17模擬攻擊測(cè)試確認(rèn)攻擊目標(biāo)在線(xiàn)并且未升級(jí)SU的肉雞：172.22.9.49模擬攻擊測(cè)試確認(rèn)攻擊目標(biāo)模擬攻擊測(cè)試攻擊目標(biāo)機(jī)器使用WinARPAttacker偽造網(wǎng)關(guān)對(duì)目標(biāo)進(jìn)行攻擊模擬攻擊測(cè)試攻擊目標(biāo)機(jī)器模擬攻擊測(cè)試驗(yàn)證測(cè)試效果模擬攻擊測(cè)試驗(yàn)證測(cè)試效果模擬攻擊測(cè)試確定對(duì)比測(cè)試目標(biāo)另找一臺(tái)已升級(jí)到SU3.04的肉雞：172.22.9.25模擬攻擊測(cè)試確定對(duì)比測(cè)試目標(biāo)模擬攻擊測(cè)試?yán)^續(xù)對(duì)目標(biāo)機(jī)器進(jìn)行攻擊模擬攻擊測(cè)試?yán)^續(xù)對(duì)目標(biāo)機(jī)器進(jìn)行攻擊模擬攻擊測(cè)試驗(yàn)證對(duì)比測(cè)試效果百試不爽的攻擊手段失效了！模擬攻擊測(cè)試驗(yàn)證對(duì)比測(cè)試效果百試不爽的測(cè)試方案二：實(shí)地測(cè)試效果測(cè)試環(huán)境網(wǎng)絡(luò)中心機(jī)房，300多臺(tái)學(xué)生用機(jī)，病毒木馬泛濫機(jī)房老師反映網(wǎng)絡(luò)頻繁掉線(xiàn)，存在大量ARP攻擊事件測(cè)試方案使用測(cè)試主機(jī)接入機(jī)房網(wǎng)絡(luò)，運(yùn)行ARP防火墻軟件觀察網(wǎng)絡(luò)中存在的ARP攻擊狀況，并在實(shí)際使用中觀察GSN防ARP攻擊功能啟用前和啟用后的情況測(cè)試方案二：實(shí)地測(cè)試效果測(cè)試環(huán)境實(shí)際環(huán)境測(cè)試將待測(cè)主機(jī)接入機(jī)房網(wǎng)絡(luò)網(wǎng)段地址：210.34.136.0/24網(wǎng)關(guān)地址：210.34.136.1實(shí)際環(huán)境測(cè)試將待測(cè)主機(jī)接入機(jī)房網(wǎng)絡(luò)網(wǎng)段地址：210.34.1實(shí)際環(huán)境測(cè)試網(wǎng)絡(luò)環(huán)境中ARP欺騙攻擊泛濫300多臺(tái)學(xué)生用機(jī)缺乏管理，成了病毒、木馬的動(dòng)物園使用ARP防火墻，在一分鐘內(nèi)便觀察到海量攻擊事件實(shí)際環(huán)境測(cè)試網(wǎng)絡(luò)環(huán)境中ARP欺騙攻擊泛濫實(shí)際環(huán)境測(cè)試實(shí)際使用情況：平均每5分鐘掉線(xiàn)一次實(shí)際環(huán)境測(cè)試實(shí)際使用情況：實(shí)際環(huán)境測(cè)試攻擊行為分析本地ARP緩存中網(wǎng)關(guān)對(duì)應(yīng)表項(xiàng)信息正確，但ping網(wǎng)關(guān)失去響應(yīng)，通過(guò)抓包判斷網(wǎng)關(guān)受到ARP欺騙攻擊，導(dǎo)致測(cè)試PC斷網(wǎng)實(shí)際環(huán)境測(cè)試攻擊行為分析實(shí)際環(huán)境測(cè)試啟用GSN防ARP攻擊功能實(shí)際環(huán)境測(cè)試啟用GSN防ARP攻擊功能實(shí)際環(huán)境測(cè)試啟用防ARP功能后的試運(yùn)行觀察試用兩個(gè)小時(shí)，網(wǎng)絡(luò)正常，沒(méi)有受到任何影響！風(fēng)大浪大，依然屹立不倒！實(shí)際環(huán)境測(cè)試啟用防ARP功能后的試運(yùn)行觀察風(fēng)大浪大，GSN：ARP立體防御ARP攻擊原理與常見(jiàn)防御手段1ARP立體防御技術(shù)原理2實(shí)地測(cè)試效果3ARP立體防御技術(shù)優(yōu)勢(shì)總結(jié)4GSN：ARP立體防御ARP攻擊原理與常見(jiàn)防御手段1ARP立技術(shù)優(yōu)勢(shì)總結(jié)防御欺騙攻擊效果顯著對(duì)各種ARP欺騙攻擊軟件和病毒、木馬能夠進(jìn)行有效的防御，確保網(wǎng)絡(luò)通信的可靠網(wǎng)絡(luò)執(zhí)法官、WinARPAttacker、盜號(hào)木馬、惡性網(wǎng)絡(luò)病毒、網(wǎng)絡(luò)嗅探軟件……零網(wǎng)絡(luò)負(fù)荷無(wú)需大量廣播免費(fèi)ARP報(bào)文，不會(huì)對(duì)網(wǎng)絡(luò)造成額外負(fù)荷操作簡(jiǎn)單，配置方便只需要簡(jiǎn)單的配置，便可實(shí)現(xiàn)全網(wǎng)ARP的立體防御學(xué)生注冊(cè)IP、MAC，老師手動(dòng)添加靜態(tài)ARP地址的時(shí)代一去不復(fù)返了，上萬(wàn)用戶(hù)的ARP管理成為現(xiàn)實(shí)。技術(shù)優(yōu)勢(shì)總結(jié)防御欺騙攻擊效果顯著技術(shù)優(yōu)勢(shì)總結(jié)業(yè)界領(lǐng)先防ARP攻擊方案依托于現(xiàn)有的GSN方案的強(qiáng)大數(shù)據(jù)源和聯(lián)動(dòng)能力，尚沒(méi)有其它廠(chǎng)商能夠?qū)崿F(xiàn)類(lèi)似的防ARP欺騙解決方案。從各個(gè)源頭徹底阻斷攻擊行為的產(chǎn)生，干凈利落不留后患。效果絕非“ARP防火墻”等小軟件可輕易實(shí)現(xiàn)?？蛻?hù)反饋良好集美大學(xué)李主任：“這個(gè)功能非常好，我們?cè)缇托枰耍SN解了我們?nèi)济贾卑??！盙SN又學(xué)到了一招獨(dú)門(mén)必殺技技術(shù)優(yōu)勢(shì)總結(jié)業(yè)界領(lǐng)先GSN又學(xué)到了產(chǎn)品信息軟件版本支持情況：RG-SMP：1.42臨時(shí)版及以上版本RG-SU：3.04以上版本（不包括3.05）交換機(jī)支持情況：交換機(jī)產(chǎn)品將在RGNOS10.1正式版中支持（支持RGNOS的交換機(jī)產(chǎn)品均提供此功能）之前如有項(xiàng)目測(cè)試需求，可視情況發(fā)行相應(yīng)的臨時(shí)版本使用。更深入的技術(shù)細(xì)節(jié)，請(qǐng)參考《ARP立體防御解決方案原理》產(chǎn)品信息軟件版本支持情況：謝謝!謝謝!GSN重拳出擊：ARP立體防御方案介紹產(chǎn)品部沈世海2007年4月GSN重拳出擊：GSN：ARP立體防御ARP攻擊原理與常見(jiàn)防御手段1ARP立體防御技術(shù)原理2實(shí)地測(cè)試效果3ARP立體防御技術(shù)優(yōu)勢(shì)總結(jié)4GSN：ARP立體防御ARP攻擊原理與常見(jiàn)防御手段1ARP立ARP欺騙攻擊原理ARP攻擊原理簡(jiǎn)介通過(guò)偽造虛假源IP、源MAC地址的ARP報(bào)文，導(dǎo)致網(wǎng)關(guān)或主機(jī)無(wú)法找到正確的通信對(duì)象。ARP攻擊利用了ARP協(xié)議本身的缺陷，在IPv4的網(wǎng)絡(luò)大環(huán)境中難以徹底根除。用戶(hù)攻擊者我是網(wǎng)關(guān)，把數(shù)據(jù)都發(fā)給我OK，馬上照辦！欺騙攻擊ARP欺騙攻擊原理ARP攻擊原理簡(jiǎn)介用戶(hù)攻擊者我是網(wǎng)關(guān)，把數(shù)常見(jiàn)ARP攻擊類(lèi)型以盜取數(shù)據(jù)為目的：ARP欺騙攻擊冒充網(wǎng)關(guān)欺騙主機(jī)冒充主機(jī)欺騙網(wǎng)關(guān)冒充主機(jī)欺騙其它主機(jī)以搗亂破壞為目的：ARP泛洪攻擊攻擊局域網(wǎng)主機(jī)攻擊網(wǎng)關(guān)常見(jiàn)ARP攻擊類(lèi)型以盜取數(shù)據(jù)為目的：ARP欺騙攻擊ARP欺騙攻擊冒充網(wǎng)關(guān)欺騙主機(jī)攻擊者以網(wǎng)關(guān)的身份偽造虛假的ARP回應(yīng)報(bào)文，欺騙局域網(wǎng)內(nèi)的其它主機(jī)主機(jī)所有流向外網(wǎng)的流量全部被攻擊者截取正常用戶(hù)網(wǎng)關(guān)我是網(wǎng)關(guān)知道了欺騙攻擊用戶(hù)數(shù)據(jù)攻擊者ARP欺騙攻擊冒充網(wǎng)關(guān)欺騙主機(jī)正常用戶(hù)網(wǎng)關(guān)我是網(wǎng)關(guān)知道了欺騙ARP欺騙攻擊冒充主機(jī)欺騙網(wǎng)關(guān)攻擊者以正常用戶(hù)的身份偽造虛假的ARP回應(yīng)報(bào)文，欺騙網(wǎng)關(guān)網(wǎng)關(guān)發(fā)給該用戶(hù)的所有數(shù)據(jù)全部被攻擊者截取正常用戶(hù)網(wǎng)關(guān)我是小白知道了欺騙攻擊用戶(hù)數(shù)據(jù)攻擊者ARP欺騙攻擊冒充主機(jī)欺騙網(wǎng)關(guān)正常用戶(hù)網(wǎng)關(guān)我是小白知道了欺騙ARP欺騙攻擊ARP欺騙攻擊行為ARP欺騙攻擊一般都會(huì)結(jié)合網(wǎng)關(guān)欺騙和主機(jī)欺騙兩種方式，進(jìn)行中間人（ManInTheMiddle）欺騙。用戶(hù)的所有正常流量都會(huì)被攻擊者截取，導(dǎo)致用戶(hù)重要數(shù)據(jù)被盜。常見(jiàn)的有網(wǎng)游盜號(hào)工具、惡意木馬、病毒等等……ARP欺騙攻擊ARP欺騙攻擊行為ARP泛洪攻擊搗亂破壞型：ARP泛洪攻擊攻擊者偽造大量虛假源MAC和源IP信息的報(bào)文，對(duì)局域網(wǎng)內(nèi)的所有主機(jī)和網(wǎng)關(guān)進(jìn)行廣播，干擾正常通信。正常用戶(hù)網(wǎng)關(guān)我是小白我是網(wǎng)關(guān)我是……小白在哪？泛洪攻擊攻擊者網(wǎng)關(guān)在哪？ARP泛洪攻擊搗亂破壞型：ARP泛洪攻擊正常用戶(hù)網(wǎng)關(guān)我是小白ARP欺騙攻擊ARP泛洪攻擊行為ARP泛洪攻擊的對(duì)象可以是單個(gè)主機(jī)或網(wǎng)關(guān)，也可以是局域網(wǎng)所有機(jī)器。目的在于令局域網(wǎng)內(nèi)部的主機(jī)或網(wǎng)關(guān)找不到正確的通信對(duì)象，甚至用虛假地址信息直接占滿(mǎn)網(wǎng)關(guān)ARP緩存空間，造成用戶(hù)無(wú)法正常上網(wǎng)，屬于損人不利己的搗亂攻擊行為。常見(jiàn)的有網(wǎng)絡(luò)執(zhí)法官、WinARPAttacker等等……ARP欺騙攻擊ARP泛洪攻擊行為常見(jiàn)防御手段主機(jī)端靜態(tài)綁定在主機(jī)上用“arp-s”命令靜態(tài)綁定正確的網(wǎng)關(guān)ARP信息效果可以防御攻擊者冒充網(wǎng)關(guān)對(duì)主機(jī)進(jìn)行欺騙的攻擊行為缺陷每次系統(tǒng)重啟后需要重新靜態(tài)綁定需要對(duì)每一臺(tái)主機(jī)單獨(dú)進(jìn)行手動(dòng)配置，工作量巨大且可操作性不高只能進(jìn)行主機(jī)端的防御，如果網(wǎng)關(guān)遭到欺騙攻擊，該方法無(wú)能為力常見(jiàn)防御手段主機(jī)端靜態(tài)綁定常見(jiàn)防御手段網(wǎng)關(guān)靜態(tài)綁定在網(wǎng)關(guān)上靜態(tài)綁定局域網(wǎng)主機(jī)正確的ARP信息效果可以防御攻擊者冒充主機(jī)對(duì)網(wǎng)關(guān)進(jìn)行欺騙的攻擊行為缺陷只能適用于靜態(tài)IP地址的網(wǎng)絡(luò)環(huán)境局域網(wǎng)主機(jī)數(shù)量越多，管理維護(hù)工作量越大只能進(jìn)行單向的被動(dòng)防御，不能防止主機(jī)受欺騙常見(jiàn)防御手段網(wǎng)關(guān)靜態(tài)綁定常見(jiàn)防御手段網(wǎng)關(guān)定期發(fā)送免費(fèi)ARP網(wǎng)關(guān)定期向局域網(wǎng)廣播自己的ARP信息，幫助受欺騙攻擊的主機(jī)找到正確的網(wǎng)關(guān)。效果可以防御攻擊者冒充主機(jī)對(duì)網(wǎng)關(guān)進(jìn)行欺騙的攻擊行為缺陷網(wǎng)關(guān)需要定期廣播免費(fèi)ARP報(bào)文，占用CPU資源，耗費(fèi)網(wǎng)絡(luò)帶寬。網(wǎng)關(guān)廣播的速度永遠(yuǎn)也趕不上欺騙報(bào)文的發(fā)送速度，收效甚微。常見(jiàn)防御手段網(wǎng)關(guān)定期發(fā)送免費(fèi)ARP常見(jiàn)防御手段交換機(jī)進(jìn)行ARP檢查由交換機(jī)對(duì)接收到的每一個(gè)ARP報(bào)文進(jìn)行檢查，發(fā)現(xiàn)偽造虛假網(wǎng)關(guān)地址的報(bào)文則丟棄處理。效果可以防御攻擊者冒充網(wǎng)關(guān)對(duì)主機(jī)進(jìn)行欺騙的攻擊行為。缺陷不能防御攻擊者冒充主機(jī)欺騙網(wǎng)關(guān)或其它主機(jī)的攻擊行為。常見(jiàn)防御手段交換機(jī)進(jìn)行ARP檢查GSN：ARP立體防御ARP攻擊原理與常見(jiàn)防御手段1ARP立體防御技術(shù)原理2實(shí)地測(cè)試效果3ARP立體防御技術(shù)優(yōu)勢(shì)總結(jié)4GSN：ARP立體防御ARP攻擊原理與常見(jiàn)防御手段1ARP立ARP立體防御技術(shù)原理網(wǎng)關(guān)防御接入層防御用戶(hù)端防御三重工事，縱深防御ARP立體防御技術(shù)原理網(wǎng)關(guān)防御接入層防御用戶(hù)端防御三重工事，三重工事，縱深防御第一重：網(wǎng)關(guān)防御SMP通過(guò)SAM學(xué)習(xí)已通過(guò)認(rèn)證的合法用戶(hù)的IP-MAC對(duì)應(yīng)關(guān)系SMP將用戶(hù)的ARP信息通知相應(yīng)網(wǎng)關(guān)網(wǎng)關(guān)生成對(duì)應(yīng)用戶(hù)的可信任ARP表項(xiàng)用戶(hù)ARP信息RG-SMPRG-SU網(wǎng)關(guān)S21XX生成可信任ARP表項(xiàng)：用戶(hù)A：MAC—IP—端口用戶(hù)A三重工事，縱深防御第一重：網(wǎng)關(guān)防御用戶(hù)ARP信息RG-SMP三重工事，縱深防御第一重：網(wǎng)關(guān)防御攻擊者冒充用戶(hù)IP對(duì)網(wǎng)關(guān)進(jìn)行欺騙真正的用戶(hù)已經(jīng)在網(wǎng)關(guān)的可信任ARP表項(xiàng)中，欺騙行為失敗RG-SMPRG-SU網(wǎng)關(guān)S21XX攻擊者可信任ARP表項(xiàng)：用戶(hù)A：MAC—IP—端口用戶(hù)A我是用戶(hù)A三重工事，縱深防御第一重：網(wǎng)關(guān)防御RG-SMPRG-SU網(wǎng)關(guān)三重工事，縱深防御Tips：什么是可信任ARP？可信任ARP是GSN功能專(zhuān)署的表項(xiàng)通過(guò)聯(lián)動(dòng)SMP，動(dòng)態(tài)學(xué)習(xí)已通過(guò)認(rèn)證的用戶(hù)ARP，保障合法用戶(hù)的上網(wǎng)質(zhì)量。可信任ARP是一種介于靜態(tài)和動(dòng)態(tài)ARP之間的地址表項(xiàng)與靜態(tài)ARP不同，可信任ARP也有老化機(jī)制，過(guò)期自動(dòng)刪除；可信任ARP有專(zhuān)門(mén)預(yù)留的地址空間，不會(huì)被動(dòng)態(tài)ARP所修改。能夠自動(dòng)檢測(cè)用戶(hù)是否在線(xiàn)可信任ARP老化時(shí)，會(huì)自動(dòng)檢測(cè)用戶(hù)在線(xiàn)情況，如果用戶(hù)在線(xiàn)，會(huì)自動(dòng)恢復(fù)生存周期三重工事，縱深防御Tips：什么是可信任ARP？三重工事，縱深防御第二重：用戶(hù)端防御在SMP上設(shè)置網(wǎng)關(guān)的正確IP－MAC對(duì)應(yīng)信息用戶(hù)認(rèn)證通過(guò)，SMP將網(wǎng)關(guān)的ARP信息下傳至SUSU靜態(tài)綁定網(wǎng)關(guān)的ARPRG-SMPRG-SU網(wǎng)關(guān)S21XX設(shè)置網(wǎng)關(guān)ARP信息IP—MAC網(wǎng)關(guān)信息下傳至用戶(hù)靜態(tài)綁定網(wǎng)關(guān)ARP三重工事，縱深防御第二重：用戶(hù)端防御RG-SMPRG-SU網(wǎng)三重工事，縱深防御第二重：用戶(hù)端防御攻擊者冒充網(wǎng)關(guān)欺騙合法用戶(hù)用戶(hù)已經(jīng)靜態(tài)綁定網(wǎng)關(guān)地址，欺騙攻擊無(wú)效RG-SMPRG-SU網(wǎng)關(guān)S21XX靜態(tài)綁定網(wǎng)關(guān)ARP我是網(wǎng)關(guān)三重工事，縱深防御第二重：用戶(hù)端防御RG-SMPRG-SU網(wǎng)三重工事，縱深防御第三重：交換機(jī)非法報(bào)文過(guò)濾用戶(hù)認(rèn)證通過(guò)后，21交換機(jī)會(huì)在接入端口上綁定用戶(hù)的IP－MAC對(duì)應(yīng)信息。21對(duì)報(bào)文的源地址進(jìn)行檢查，對(duì)非法的攻擊報(bào)文一律丟棄處理。該操作不占用交換機(jī)CPU資源，直接由端口芯片處理。RG-SMPRG-SU網(wǎng)關(guān)S21XX綁定用戶(hù)的IP—MAC信息三重工事，縱深防御第三重：交換機(jī)非法報(bào)文過(guò)濾RG-SMPRG三重工事，縱深防御第三重：交換機(jī)非法報(bào)文過(guò)濾攻擊者偽造源IP和MAC地址發(fā)起攻擊報(bào)文不符合綁定規(guī)則，被交換機(jī)丟棄。RG-SMPRG-SU網(wǎng)關(guān)S21XX靜態(tài)綁定網(wǎng)關(guān)ARP我是網(wǎng)關(guān)三重工事，縱深防御第三重：交換機(jī)非法報(bào)文過(guò)濾RG-SMPRGGSN：ARP立體防御ARP攻擊原理與常見(jiàn)防御手段1ARP立體防御技術(shù)原理2實(shí)地測(cè)試效果3ARP立體防御技術(shù)優(yōu)勢(shì)總結(jié)4GSN：ARP立體防御ARP攻擊原理與常見(jiàn)防御手段1ARP立測(cè)試方案一：模擬攻擊測(cè)試環(huán)境某校學(xué)生宿舍5號(hào)、8號(hào)樓總?cè)藬?shù)600人，高峰期在線(xiàn)400~500人250人左右已升級(jí)至SU3.04（支持ARP防御功能）網(wǎng)關(guān)和SMP都已啟用防ARP欺騙功能測(cè)試方案從使用3.0版和3.04版SU的主機(jī)中分別隨機(jī)抽取一臺(tái)，使用WinARPAttacker軟件假冒網(wǎng)關(guān)對(duì)兩臺(tái)主機(jī)發(fā)起攻擊，通過(guò)ping測(cè)試驗(yàn)證攻擊效果。測(cè)試方案一：模擬攻擊測(cè)試環(huán)境模擬攻擊測(cè)試將測(cè)試用PC接入5號(hào)樓學(xué)生所在網(wǎng)段網(wǎng)段地址：172.22.9.0/24網(wǎng)關(guān)地址：172.22.9.1模擬攻擊測(cè)試將測(cè)試用PC接入5號(hào)樓學(xué)生所在網(wǎng)段網(wǎng)段地址：17模擬攻擊測(cè)試確認(rèn)攻擊目標(biāo)在線(xiàn)并且未升級(jí)SU的肉雞：172.22.9.49模擬攻擊測(cè)試確認(rèn)攻擊目標(biāo)模擬攻擊測(cè)試攻擊目標(biāo)機(jī)器使用WinARPAttacker偽造網(wǎng)關(guān)對(duì)目標(biāo)進(jìn)行攻擊模擬攻擊測(cè)試攻擊目標(biāo)機(jī)器模擬攻擊測(cè)試驗(yàn)證測(cè)試效果模擬攻擊測(cè)試驗(yàn)證測(cè)試效果模擬攻擊測(cè)試確定對(duì)比測(cè)試目標(biāo)另找一臺(tái)已升級(jí)到SU3.04的肉雞：172.22.9.25模擬攻擊測(cè)試確定對(duì)比測(cè)試目標(biāo)模擬攻擊測(cè)試?yán)^續(xù)對(duì)目標(biāo)機(jī)器進(jìn)行攻擊模擬攻擊測(cè)試?yán)^續(xù)對(duì)目標(biāo)機(jī)器進(jìn)行攻擊模擬攻擊測(cè)試驗(yàn)證對(duì)比測(cè)試效果百試不爽的攻擊手段失效了！模擬攻擊測(cè)試驗(yàn)證對(duì)比測(cè)試效果百試不爽的測(cè)試方案二：實(shí)地測(cè)試效果測(cè)試環(huán)境網(wǎng)絡(luò)中心機(jī)房，300多臺(tái)學(xué)生用機(jī)，病毒木馬泛濫機(jī)房老師反映網(wǎng)絡(luò)頻繁掉線(xiàn)，存在大量ARP攻擊事件測(cè)試方案使用測(cè)試主機(jī)接入機(jī)房網(wǎng)絡(luò)，運(yùn)行ARP防火墻軟件觀察網(wǎng)絡(luò)中存在的ARP攻擊狀況，并在實(shí)際使用中觀察GSN防ARP攻擊功能啟用前和啟用后的情況測(cè)試方案二：實(shí)地測(cè)試效果測(cè)試環(huán)境實(shí)際環(huán)境測(cè)試將待測(cè)主機(jī)接入機(jī)房網(wǎng)絡(luò)網(wǎng)段地址：210.34.136.0/24網(wǎng)關(guān)地址：210.34.136.1實(shí)際環(huán)境測(cè)試將待測(cè)主機(jī)接入機(jī)房網(wǎng)絡(luò)網(wǎng)段地址：210.34.1實(shí)際環(huán)境測(cè)試網(wǎng)絡(luò)環(huán)境中ARP欺騙攻擊泛濫300多臺(tái)學(xué)生用機(jī)缺乏管理，成了病毒、木馬的動(dòng)物園使用A