GSN新功能：ARP立體防御方案介紹

1、GSNGSN：ARPARP立體防御立體防御ARPARP攻擊原理與常見(jiàn)防御手段攻擊原理與常見(jiàn)防御手段1 1ARPARP立體防御技術(shù)原理立體防御技術(shù)原理2 2實(shí)地測(cè)試效果實(shí)地測(cè)試效果3 3ARPARP立體防御技術(shù)優(yōu)勢(shì)總結(jié)立體防御技術(shù)優(yōu)勢(shì)總結(jié)4 4ARP欺騙攻擊原理ARP攻擊原理簡(jiǎn)介l 通過(guò)偽造虛假源IP、源MAC地址的ARP報(bào)文，導(dǎo)致網(wǎng)關(guān)或主機(jī)無(wú)法找到正確的通信對(duì)象。l ARP攻擊利用了ARP協(xié)議本身的缺陷，在IPv4的網(wǎng)絡(luò)大環(huán)境中難以徹底根除。用戶攻擊者我是網(wǎng)關(guān)，把數(shù)據(jù)都發(fā)給我OK，馬上照辦！欺騙攻擊常見(jiàn)ARP攻擊類型以盜取數(shù)據(jù)為目的：ARP欺騙攻擊l 冒充網(wǎng)關(guān)欺騙主機(jī)l 冒充主機(jī)欺騙網(wǎng)關(guān)l 冒

2、充主機(jī)欺騙其它主機(jī)以搗亂破壞為目的：ARP泛洪攻擊l 攻擊局域網(wǎng)主機(jī)l 攻擊網(wǎng)關(guān)ARP欺騙攻擊冒充網(wǎng)關(guān)欺騙主機(jī)l 攻擊者以網(wǎng)關(guān)的身份偽造虛假的ARP回應(yīng)報(bào)文，欺騙局域網(wǎng)內(nèi)的其它主機(jī)l 主機(jī)所有流向外網(wǎng)的流量全部被攻擊者截取正常用戶網(wǎng)關(guān)我是網(wǎng)關(guān)知道了欺騙攻擊用戶數(shù)據(jù)攻擊者ARP欺騙攻擊冒充主機(jī)欺騙網(wǎng)關(guān)l 攻擊者以正常用戶的身份偽造虛假的ARP回應(yīng)報(bào)文，欺騙網(wǎng)關(guān)l 網(wǎng)關(guān)發(fā)給該用戶的所有數(shù)據(jù)全部被攻擊者截取正常用戶網(wǎng)關(guān)我是小白知道了欺騙攻擊用戶數(shù)據(jù)攻擊者ARP欺騙攻擊ARP欺騙攻擊行為l ARP欺騙攻擊一般都會(huì)結(jié)合網(wǎng)關(guān)欺騙和主機(jī)欺騙兩種方式，進(jìn)行中間人（Man In The Middle）欺騙。l

3、用戶的所有正常流量都會(huì)被攻擊者截取，導(dǎo)致用戶重要數(shù)據(jù)被盜。l 常見(jiàn)的有網(wǎng)游盜號(hào)工具、惡意木馬、病毒等等ARP泛洪攻擊搗亂破壞型：ARP泛洪攻擊l 攻擊者偽造大量虛假源MAC和源IP信息的報(bào)文，對(duì)局域網(wǎng)內(nèi)的所有主機(jī)和網(wǎng)關(guān)進(jìn)行廣播，干擾正常通信。正常用戶網(wǎng)關(guān)我是小白我是網(wǎng)關(guān)我是小白在哪？泛洪攻擊攻擊者網(wǎng)關(guān)在哪？ARP欺騙攻擊ARP泛洪攻擊行為l ARP泛洪攻擊的對(duì)象可以是單個(gè)主機(jī)或網(wǎng)關(guān)，也可以是局域網(wǎng)所有機(jī)器。l 目的在于令局域網(wǎng)內(nèi)部的主機(jī)或網(wǎng)關(guān)找不到正確的通信對(duì)象，甚至用虛假地址信息直接占滿網(wǎng)關(guān)ARP緩存空間，造成用戶無(wú)法正常上網(wǎng)，屬于損人不利己的搗亂攻擊行為。l 常見(jiàn)的有網(wǎng)絡(luò)執(zhí)法官、WinAR

4、P Attacker等等常見(jiàn)防御手段主機(jī)端靜態(tài)綁定l 在主機(jī)上用“arp -s”命令靜態(tài)綁定正確的網(wǎng)關(guān)ARP信息效果l 可以防御攻擊者冒充網(wǎng)關(guān)對(duì)主機(jī)進(jìn)行欺騙的攻擊行為缺陷l 每次系統(tǒng)重啟后需要重新靜態(tài)綁定l 需要對(duì)每一臺(tái)主機(jī)單獨(dú)進(jìn)行手動(dòng)配置，工作量巨大且可操作性不高l 只能進(jìn)行主機(jī)端的防御，如果網(wǎng)關(guān)遭到欺騙攻擊，該方法無(wú)能為力常見(jiàn)防御手段網(wǎng)關(guān)靜態(tài)綁定l 在網(wǎng)關(guān)上靜態(tài)綁定局域網(wǎng)主機(jī)正確的ARP信息效果l 可以防御攻擊者冒充主機(jī)對(duì)網(wǎng)關(guān)進(jìn)行欺騙的攻擊行為缺陷l 只能適用于靜態(tài)IP地址的網(wǎng)絡(luò)環(huán)境l 局域網(wǎng)主機(jī)數(shù)量越多，管理維護(hù)工作量越大l 只能進(jìn)行單向的被動(dòng)防御，不能防止主機(jī)受欺騙常見(jiàn)防御手段網(wǎng)關(guān)定期

5、發(fā)送免費(fèi)ARPl 網(wǎng)關(guān)定期向局域網(wǎng)廣播自己的ARP信息，幫助受欺騙攻擊的主機(jī)找到正確的網(wǎng)關(guān)。效果l 可以防御攻擊者冒充主機(jī)對(duì)網(wǎng)關(guān)進(jìn)行欺騙的攻擊行為缺陷l 網(wǎng)關(guān)需要定期廣播免費(fèi)ARP報(bào)文，占用CPU資源，耗費(fèi)網(wǎng)絡(luò)帶寬。l 網(wǎng)關(guān)廣播的速度永遠(yuǎn)也趕不上欺騙報(bào)文的發(fā)送速度，收效甚微。常見(jiàn)防御手段交換機(jī)進(jìn)行ARP檢查l 由交換機(jī)對(duì)接收到的每一個(gè)ARP報(bào)文進(jìn)行檢查，發(fā)現(xiàn)偽造虛假網(wǎng)關(guān)地址的報(bào)文則丟棄處理。效果l 可以防御攻擊者冒充網(wǎng)關(guān)對(duì)主機(jī)進(jìn)行欺騙的攻擊行為。缺陷l 不能防御攻擊者冒充主機(jī)欺騙網(wǎng)關(guān)或其它主機(jī)的攻擊行為。GSNGSN：ARPARP立體防御立體防御ARPARP攻擊原理與常見(jiàn)防御手段攻擊原理與常見(jiàn)

6、防御手段1 1ARPARP立體防御技術(shù)原理立體防御技術(shù)原理2 2實(shí)地測(cè)試效果實(shí)地測(cè)試效果3 3ARPARP立體防御技術(shù)優(yōu)勢(shì)總結(jié)立體防御技術(shù)優(yōu)勢(shì)總結(jié)4 4ARP立體防御技術(shù)原理網(wǎng)網(wǎng)關(guān)關(guān)防防御御接接入入層層防防御御用用戶戶端端防防御御三重工事，縱深防御三重工事，縱深防御第一重：網(wǎng)關(guān)防御l SMP通過(guò)SAM學(xué)習(xí)已通過(guò)認(rèn)證的合法用戶的IP-MAC對(duì)應(yīng)關(guān)系l SMP將用戶的ARP信息通知相應(yīng)網(wǎng)關(guān)l 網(wǎng)關(guān)生成對(duì)應(yīng)用戶的可信任ARP表項(xiàng)用戶ARP信息RG-SMPRG-SU網(wǎng)關(guān)S21XX生成可信任ARP表項(xiàng)：用戶A：MACIP端口用戶A三重工事，縱深防御第一重：網(wǎng)關(guān)防御l 攻擊者冒充用戶IP對(duì)網(wǎng)關(guān)進(jìn)行欺騙l

7、真正的用戶已經(jīng)在網(wǎng)關(guān)的可信任ARP表項(xiàng)中，欺騙行為失敗RG-SMPRG-SU網(wǎng)關(guān)S21XX攻擊者可信任ARP表項(xiàng)：用戶A：MACIP端口用戶A我是用戶A三重工事，縱深防御Tips：什么是可信任ARP？l 可信任可信任ARP是是GSN功能專署的表項(xiàng)功能專署的表項(xiàng)l 通過(guò)聯(lián)動(dòng)SMP，動(dòng)態(tài)學(xué)習(xí)已通過(guò)認(rèn)證的用戶ARP，保障合法用戶的上網(wǎng)質(zhì)量。l 可信任可信任ARP是是一種介于靜態(tài)和動(dòng)態(tài)一種介于靜態(tài)和動(dòng)態(tài)ARP之間的地址表項(xiàng)之間的地址表項(xiàng)l 與靜態(tài)ARP不同，可信任ARP也有老化機(jī)制，過(guò)期自動(dòng)刪除；l 可信任ARP有專門(mén)預(yù)留的地址空間，不會(huì)被動(dòng)態(tài)ARP所修改。l 能夠自動(dòng)檢測(cè)用戶是否在線能夠自動(dòng)檢測(cè)用戶

8、是否在線l 可信任ARP老化時(shí)，會(huì)自動(dòng)檢測(cè)用戶在線情況，如果用戶在線，會(huì)自動(dòng)恢復(fù)生存周期三重工事，縱深防御第二重：用戶端防御l 在SMP上設(shè)置網(wǎng)關(guān)的正確IPMAC對(duì)應(yīng)信息l 用戶認(rèn)證通過(guò)，SMP將網(wǎng)關(guān)的ARP信息下傳至SUl SU靜態(tài)綁定網(wǎng)關(guān)的ARPRG-SMPRG-SU網(wǎng)關(guān)S21XX設(shè)置網(wǎng)關(guān)ARP信息IPMAC網(wǎng)關(guān)信息下傳至用戶靜態(tài)綁定網(wǎng)關(guān)ARP三重工事，縱深防御第二重：用戶端防御l 攻擊者冒充網(wǎng)關(guān)欺騙合法用戶l 用戶已經(jīng)靜態(tài)綁定網(wǎng)關(guān)地址，欺騙攻擊無(wú)效RG-SMPRG-SU網(wǎng)關(guān)S21XX靜態(tài)綁定網(wǎng)關(guān)ARP我是網(wǎng)關(guān)三重工事，縱深防御第三重：交換機(jī)非法報(bào)文過(guò)濾l 用戶認(rèn)證通過(guò)后，21交換機(jī)會(huì)在接

9、入端口上綁定用戶的IPMAC對(duì)應(yīng)信息。l 21對(duì)報(bào)文的源地址進(jìn)行檢查，對(duì)非法的攻擊報(bào)文一律丟棄處理。l 該操作不占用交換機(jī)CPU資源，直接由端口芯片處理。RG-SMPRG-SU網(wǎng)關(guān)S21XX綁定用戶的IPMAC信息三重工事，縱深防御第三重：交換機(jī)非法報(bào)文過(guò)濾l 攻擊者偽造源IP和MAC地址發(fā)起攻擊l 報(bào)文不符合綁定規(guī)則，被交換機(jī)丟棄。RG-SMPRG-SU網(wǎng)關(guān)S21XX靜態(tài)綁定網(wǎng)關(guān)ARP我是網(wǎng)關(guān)GSNGSN：ARPARP立體防御立體防御ARPARP攻擊原理與常見(jiàn)防御手段攻擊原理與常見(jiàn)防御手段1 1ARPARP立體防御技術(shù)原理立體防御技術(shù)原理2 2實(shí)地測(cè)試效果實(shí)地測(cè)試效果3 3ARPARP立體防

10、御技術(shù)優(yōu)勢(shì)總結(jié)立體防御技術(shù)優(yōu)勢(shì)總結(jié)4 4測(cè)試方案一：模擬攻擊測(cè)試環(huán)境l 某校學(xué)生宿舍5號(hào)、8號(hào)樓l 總?cè)藬?shù)600人，高峰期在線400500人l 250人左右已升級(jí)至SU3.04（支持ARP防御功能）l 網(wǎng)關(guān)和SMP都已啟用防ARP欺騙功能測(cè)試方案l 從使用3.0版和3.04版SU的主機(jī)中分別隨機(jī)抽取一臺(tái)，使用Win ARP Attacker軟件假冒網(wǎng)關(guān)對(duì)兩臺(tái)主機(jī)發(fā)起攻擊，通過(guò)ping測(cè)試驗(yàn)證攻擊效果。模擬攻擊測(cè)試將測(cè)試用PC接入5號(hào)樓學(xué)生所在網(wǎng)段網(wǎng)段地址：172.22.9.0/24網(wǎng)關(guān)地址：172.22.9.1模擬攻擊測(cè)試確認(rèn)攻擊目標(biāo)l 在線并且未升級(jí)SU的肉雞：172.22.9.49模擬攻擊

11、測(cè)試攻擊目標(biāo)機(jī)器l 使用Win ARP Attacker偽造網(wǎng)關(guān)對(duì)目標(biāo)進(jìn)行攻擊模擬攻擊測(cè)試驗(yàn)證測(cè)試效果模擬攻擊測(cè)試確定對(duì)比測(cè)試目標(biāo)l 另找一臺(tái)已升級(jí)到SU 3.04的肉雞：172.22.9.25模擬攻擊測(cè)試?yán)^續(xù)對(duì)目標(biāo)機(jī)器進(jìn)行攻擊模擬攻擊測(cè)試驗(yàn)證對(duì)比測(cè)試效果百試不爽的攻擊手段失效了！測(cè)試方案二：實(shí)地測(cè)試效果測(cè)試環(huán)境l 網(wǎng)絡(luò)中心機(jī)房，300多臺(tái)學(xué)生用機(jī)，病毒木馬泛濫l 機(jī)房老師反映網(wǎng)絡(luò)頻繁掉線，存在大量ARP攻擊事件測(cè)試方案l 使用測(cè)試主機(jī)接入機(jī)房網(wǎng)絡(luò)，運(yùn)行ARP防火墻軟件觀察網(wǎng)絡(luò)中存在的ARP攻擊狀況，并在實(shí)際使用中觀察GSN防ARP攻擊功能啟用前和啟用后的情況實(shí)際環(huán)境測(cè)試將待測(cè)主機(jī)接入機(jī)房網(wǎng)絡(luò)

12、網(wǎng)段地址：210.34.136.0/24網(wǎng)關(guān)地址：210.34.136.1實(shí)際環(huán)境測(cè)試網(wǎng)絡(luò)環(huán)境中ARP欺騙攻擊泛濫l 300多臺(tái)學(xué)生用機(jī)缺乏管理，成了病毒、木馬的動(dòng)物園l 使用ARP防火墻，在一分鐘內(nèi)便觀察到海量攻擊事件實(shí)際環(huán)境測(cè)試實(shí)際使用情況：l 平均每5分鐘掉線一次實(shí)際環(huán)境測(cè)試攻擊行為分析l 本地ARP緩存中網(wǎng)關(guān)對(duì)應(yīng)表項(xiàng)信息正確，但ping網(wǎng)關(guān)失去響應(yīng)，通過(guò)抓包判斷網(wǎng)關(guān)受到ARP欺騙攻擊，導(dǎo)致測(cè)試PC斷網(wǎng)實(shí)際環(huán)境測(cè)試啟用GSN防ARP攻擊功能實(shí)際環(huán)境測(cè)試啟用防ARP功能后的試運(yùn)行觀察l 試用兩個(gè)小時(shí)，網(wǎng)絡(luò)正常，沒(méi)有受到任何影響！風(fēng)大浪大，依然屹立不倒！GSNGSN：ARPARP立體防御立體

13、防御ARPARP攻擊原理與常見(jiàn)防御手段攻擊原理與常見(jiàn)防御手段1 1ARPARP立體防御技術(shù)原理立體防御技術(shù)原理2 2實(shí)地測(cè)試效果實(shí)地測(cè)試效果3 3ARPARP立體防御技術(shù)優(yōu)勢(shì)總結(jié)立體防御技術(shù)優(yōu)勢(shì)總結(jié)4 4技術(shù)優(yōu)勢(shì)總結(jié)防御欺騙攻擊效果顯著l 對(duì)各種ARP欺騙攻擊軟件和病毒、木馬能夠進(jìn)行有效的防御，確保網(wǎng)絡(luò)通信的可靠l 網(wǎng)絡(luò)執(zhí)法官、WinARP Attacker、盜號(hào)木馬、惡性網(wǎng)絡(luò)病毒、網(wǎng)絡(luò)嗅探軟件零網(wǎng)絡(luò)負(fù)荷l 無(wú)需大量廣播免費(fèi)ARP報(bào)文，不會(huì)對(duì)網(wǎng)絡(luò)造成額外負(fù)荷操作簡(jiǎn)單，配置方便l 只需要簡(jiǎn)單的配置，便可實(shí)現(xiàn)全網(wǎng)ARP的立體防御l 學(xué)生注冊(cè)IP、MAC，老師手動(dòng)添加靜態(tài)ARP地址的時(shí)代一去不復(fù)返了，上萬(wàn)用戶的ARP管理成為現(xiàn)實(shí)。技術(shù)優(yōu)勢(shì)總結(jié)業(yè)界領(lǐng)先l 防ARP攻擊方案依托于現(xiàn)有的GSN方案的強(qiáng)大數(shù)據(jù)源和聯(lián)動(dòng)能力，尚沒(méi)有其它廠商能夠?qū)崿F(xiàn)類似的防ARP欺騙解決方案。l 從各個(gè)源頭徹底阻斷攻擊行為的產(chǎn)生，干凈利落不留后患。l 效果絕非“ARP防火墻”等小軟件可輕易實(shí)現(xiàn)?？蛻舴答伭己胠 集美大學(xué)李主任