《【办公资料】ARP攻击防御解决方案.ppt》由会员分享,可在线阅读,更多相关《【办公资料】ARP攻击防御解决方案.ppt(23页珍藏版)》请在三一办公上搜索。
1、ARP攻击分析ARP攻击防御解决方案,ARP病毒工作原理,正常的局域网络运作方式,校园网,网关,个人计算机,个人计算机,个人计算机,个人计算机,ARP病毒工作原理,有计算机感染ARP病毒后的局域网,校园网,网关,个人计算机,个人计算机,个人计算机,感染病毒的个人计算机,病毒在局域网中向正常的计算机发送伪造的网关ARP信息,使得其它计算机将它当成网关进行数据通信,从而窃取其它用户个人信息,账号密码等数据资料,或者在用户浏览的网页中插入恶意代码.由于部分ARP病毒编写人员的水平有限,病毒工作不正常时就导致其它计算机不能正常使用或完全无法使用网络.,ARP病毒检测,局域网内有ARP病毒的现象上网时断
2、时续,网速变慢,可能连内网主页也无法打开浏览网页时出现与网页内容无关的弹出窗口ARP检查使用nbtscan工具,配合arp a 命令,ARP协议介绍,ARPAddress Resolution Protocol地址解释协议,帧类型0 x0806,ARP欺骗都是通过填写错误的源MAC-IP对应关系来实现的,ARP攻击利用ARP协议本身的缺陷来实现!,可以利用帧类型来识别ARP报文,ARP欺骗攻击仿冒网关,攻击者发送伪造的网关ARP报文,欺骗同网段内的其它主机。主机访问网关的流量,被重定向到一个错误的MAC地址,导致该用户无法正常访问外网。,正常用户A,网关G,网关MAC更新了,已更新,发送伪造A
3、RP信息,攻击者B,网关的 MAC is 2-2-2,ARP表项更新为,数据流被中断,这种攻击为ARP攻击中最为常见的攻击,ARP欺骗攻击欺骗网关,攻击者伪造虚假的ARP报文,欺骗网关网关发给该用户的所有数据全部重定向到一个错误的MAC地址,导致该用户无法正常访问外网,正常用户A,网关G,用户A的MAC更新了,已更新,发送伪造ARP信息,攻击者B,用户A的MAC is 2-2-2,ARP表项更新为,数据流被中断,ARP欺骗攻击欺骗终端用户,攻击者伪造虚假的ARP报文,欺骗相同网段内的其他主机。网段内的其他主机发给该用户的所有数据都被重定向到错误的MAC地址,同网段内的用户无法正常互访。,正常用
4、户A,网关G,用户C的MAC更新了,知道了,发送伪造ARP信息,攻击者B,用户C的MAC is 2-2-2,ARP表项更新为,数据流被中断,ARP泛洪攻击,攻击者伪造大量不同ARP报文在同网段内进行广播,导致网关ARP表项被占满,合法用户的ARP表项无法正常学习,导致合法用户无法正常访问外网,正常用户A,网关G,用户A、A1、A2、A3的MAC更新了,已更新,发送大量伪造ARP信息,攻击者B,1.1.0.2 MAC is 2-2-2,ARP表项被占满,ARP表项无法学习,1.1.0.3 MAC is 2-2-3,1.1.0.4 MAC is 2-2-4,1.1.1.103 MAC is 3-3
5、-3,ARP攻击防御的三个控制点,网关G,用户,接入设备,网关防御 合法ARP绑定,防御网关被欺骗 ARP数量限制,防御ARP泛洪攻击,1,接入设备防御 网关IP/MAC绑定,过滤掉仿冒网关的报文 合法用户IP/MAC绑定,过滤掉终端仿冒报文 ARP限速,2,防御ARP攻击的关键,H3C ARP防范方案DHCP 监控模式,监控DHCP交互报文获取合法用户的IP-MAC-port关系在接入交换机上绑定,实现对ARP报文的检查,过滤掉所有非法报文。,网关,接入设备,DHCP,DHCP响应,DHCP请求,终端,监控DHCP报文实现用户的IP和MAC绑定配置实现网关的IP和MAC绑定ARP限速,DHC
6、P Snooping模式,方案适合场景全网采用动态分配IP地址方式接入交换机采用H3C支持DHCP Snooping的产品,比如E126A,E152解决方案第一步:接入交换机通过DHCP Snooping监控用户动态申请IP的过程,获取用户的IP-MAC对应关系第二步:接入交换机将用户的IP-MAC-PORT对应关系进行绑定。接入交换机形成保护屏障,过滤掉所有ARP攻击报文。,配置命令全局模式:dhcpsnooping(全局开关)VLAN模式:ARP detection enable:(使能ARP detection enable检测,限制ARP报文数量)上行接口:ARP detection
7、trust(将上行口配置为信任接口不检查ARP),H3C ARP防范方案认证模式,利用认证客户端在终端上绑定网关ARP表项。,网关,接入设备,CAMS,终端,监控认证报文实现用户的IP和MAC绑定配置实现网关的IP和MAC绑定ARP线速,CAMS下发实现用户和重要服务器的IP和MAC绑定,CAMS下发实现网关的IP和MAC绑定,网关防御,接入设备防御,客户端防御,认证绑定 Vs.DHCP SNOOPING,对网络设备的依赖小,对接入交换机和网关的绑定可以根据网络状况分别使用。适应静态IP地址的环境使用,适合目前多数现状。,认证绑定模式,优点,局限性,需要安装客户端需要采用H3C认证方式,可以保
8、证网络无非法ARP报文传播,从根本防御ARP攻击 纯网络层面实现,不需要用户安装客户端。对用户应用没有影响,要求用户采用DHCP动态获取IP的方式以过滤非法报文为防御措施,要求同网段全网部署 对接入交换机的型号、版本有很强的依赖,优点,局限性,网关,S3600-28P-EI,DHCP,DHCP响应,DHCP请求,终端,监控DHCP报文实现用户的IP和MAC绑定配置实现网关的IP和MAC绑定ARP限速,东北大学宿舍网,S3600-28P-EI,H3C ARP防御案例,网络已经运行一段时间,老师反映效果非常好,经过改造的网络没有再次出现因为ARP病毒导致无法上网的问题。,网关,S3900-EI/S
9、I/E026,DHCP,DHCP响应,DHCP请求,终端,监控DHCP报文实现用户的IP和MAC绑定配置实现网关的IP和MAC绑定ARP限速,南京师范大学园区网,H3C ARP防御案例,S3900-EI/SI/E026,ARP病毒自我防护,编辑批处理文件myarp.bat,建立快键方式放到启动组中或安装ARP病毒防火墙,echo off:Find Local Macif exist ipconfig.txt del ipconfig.txtipconfig/all ipconfig.txtif exist LocalMac.txt del LocalMac.txtfind Physical A
10、ddress ipconfig.txt LocalMac.txtfor/f skip=2 tokens=12%M in(LocalMac.txt)do set LocalMac=%M:Find Local IPif exist LocalIP.txt del LocalIP.txtfind IP Address ipconfig.txt LocalIP.txtfor/f skip=2 tokens=15%I in(LocalIP.txt)do set LocalIP=%I:Find Gateway IPif exist GatewayIP.txt del GatewayIP.txtfind D
11、efault Gateway ipconfig.txt GatewayIP.txtfor/f skip=2 tokens=13%G in(GatewayIP.txt)do set GatewayIP=%G:Find Gateway Macif exist GatewayMac.txt del GatewayMac.txtarp-dping-n 1%GatewayIP%arp-a%GatewayIP%GatewayMac.txtfor/f skip=3 tokens=2%H in(GatewayMac.txt)do set GatewayMac=%H:Bind Gateway IP&Macarp
12、-s%LocalIP%LocalMac%arp-s%GatewayIP%GatewayMac%exit,Symantec Endpoint Protection,Symantec Endpoint Protection 提供了高级威胁防护功能,可保护您的端点(笔记本电脑、台式计算机和服务器)不受已知威胁和未知威胁的攻击。Symantec Endpoint Protection 可防范恶意软件,如病毒、蠕虫、特洛伊木马、间谍软件和广告软件。它甚至可防范能避开传统安全措施的最复杂的攻击,如 Rootkit、零时差攻击和变种的间谍软件。Symantec Endpoint Protection 为您的端点计算设备提供了多层防护。,Symantec端点安全解决方案,Symantec Endpoint Protection,及时进行系统补丁更新每日升级病毒库邮件的附件,QQ或MSN上传递的文件先杀毒再打开移动存储如U盘,MP3,MP4等使用前先扫描病毒浏览网页时不要随便安装Active插件定期对硬盘进行全盘扫描,查杀病毒不要轻易点击网页上及弹出窗口的中奖广告,客户端安全:,
