GSN新功能：ARP立體防御方案介紹課件

GSN重拳出擊：ARP立體防御方案介紹產(chǎn)品部沈世海2007年4月GSN重拳出擊：GSN：ARP立體防御ARP攻擊原理與常見防御手段1ARP立體防御技術(shù)原理2實(shí)地測試效果3ARP立體防御技術(shù)優(yōu)勢總結(jié)4GSN：ARP立體防御ARP攻擊原理與常見防御手段1ARP立ARP欺騙攻擊原理ARP攻擊原理簡介通過偽造虛假源IP、源MAC地址的ARP報文，導(dǎo)致網(wǎng)關(guān)或主機(jī)無法找到正確的通信對象。ARP攻擊利用了ARP協(xié)議本身的缺陷，在IPv4的網(wǎng)絡(luò)大環(huán)境中難以徹底根除。用戶攻擊者我是網(wǎng)關(guān)，把數(shù)據(jù)都發(fā)給我OK，馬上照辦！欺騙攻擊ARP欺騙攻擊原理ARP攻擊原理簡介用戶攻擊者我是網(wǎng)關(guān)，把數(shù)常見ARP攻擊類型以盜取數(shù)據(jù)為目的：ARP欺騙攻擊冒充網(wǎng)關(guān)欺騙主機(jī)冒充主機(jī)欺騙網(wǎng)關(guān)冒充主機(jī)欺騙其它主機(jī)以搗亂破壞為目的：ARP泛洪攻擊攻擊局域網(wǎng)主機(jī)攻擊網(wǎng)關(guān)常見ARP攻擊類型以盜取數(shù)據(jù)為目的：ARP欺騙攻擊ARP欺騙攻擊冒充網(wǎng)關(guān)欺騙主機(jī)攻擊者以網(wǎng)關(guān)的身份偽造虛假的ARP回應(yīng)報文，欺騙局域網(wǎng)內(nèi)的其它主機(jī)主機(jī)所有流向外網(wǎng)的流量全部被攻擊者截取正常用戶網(wǎng)關(guān)我是網(wǎng)關(guān)知道了欺騙攻擊用戶數(shù)據(jù)攻擊者ARP欺騙攻擊冒充網(wǎng)關(guān)欺騙主機(jī)正常用戶網(wǎng)關(guān)我是網(wǎng)關(guān)知道了欺騙ARP欺騙攻擊冒充主機(jī)欺騙網(wǎng)關(guān)攻擊者以正常用戶的身份偽造虛假的ARP回應(yīng)報文，欺騙網(wǎng)關(guān)網(wǎng)關(guān)發(fā)給該用戶的所有數(shù)據(jù)全部被攻擊者截取正常用戶網(wǎng)關(guān)我是小白知道了欺騙攻擊用戶數(shù)據(jù)攻擊者ARP欺騙攻擊冒充主機(jī)欺騙網(wǎng)關(guān)正常用戶網(wǎng)關(guān)我是小白知道了欺騙ARP欺騙攻擊ARP欺騙攻擊行為ARP欺騙攻擊一般都會結(jié)合網(wǎng)關(guān)欺騙和主機(jī)欺騙兩種方式，進(jìn)行中間人（ManInTheMiddle）欺騙。用戶的所有正常流量都會被攻擊者截取，導(dǎo)致用戶重要數(shù)據(jù)被盜。常見的有網(wǎng)游盜號工具、惡意木馬、病毒等等……ARP欺騙攻擊ARP欺騙攻擊行為ARP泛洪攻擊搗亂破壞型：ARP泛洪攻擊攻擊者偽造大量虛假源MAC和源IP信息的報文，對局域網(wǎng)內(nèi)的所有主機(jī)和網(wǎng)關(guān)進(jìn)行廣播，干擾正常通信。正常用戶網(wǎng)關(guān)我是小白我是網(wǎng)關(guān)我是……小白在哪？泛洪攻擊攻擊者網(wǎng)關(guān)在哪？ARP泛洪攻擊搗亂破壞型：ARP泛洪攻擊正常用戶網(wǎng)關(guān)我是小白ARP欺騙攻擊ARP泛洪攻擊行為ARP泛洪攻擊的對象可以是單個主機(jī)或網(wǎng)關(guān)，也可以是局域網(wǎng)所有機(jī)器。目的在于令局域網(wǎng)內(nèi)部的主機(jī)或網(wǎng)關(guān)找不到正確的通信對象，甚至用虛假地址信息直接占滿網(wǎng)關(guān)ARP緩存空間，造成用戶無法正常上網(wǎng)，屬于損人不利己的搗亂攻擊行為。常見的有網(wǎng)絡(luò)執(zhí)法官、WinARPAttacker等等……ARP欺騙攻擊ARP泛洪攻擊行為常見防御手段主機(jī)端靜態(tài)綁定在主機(jī)上用“arp-s”命令靜態(tài)綁定正確的網(wǎng)關(guān)ARP信息效果可以防御攻擊者冒充網(wǎng)關(guān)對主機(jī)進(jìn)行欺騙的攻擊行為缺陷每次系統(tǒng)重啟后需要重新靜態(tài)綁定需要對每一臺主機(jī)單獨(dú)進(jìn)行手動配置，工作量巨大且可操作性不高只能進(jìn)行主機(jī)端的防御，如果網(wǎng)關(guān)遭到欺騙攻擊，該方法無能為力常見防御手段主機(jī)端靜態(tài)綁定常見防御手段網(wǎng)關(guān)靜態(tài)綁定在網(wǎng)關(guān)上靜態(tài)綁定局域網(wǎng)主機(jī)正確的ARP信息效果可以防御攻擊者冒充主機(jī)對網(wǎng)關(guān)進(jìn)行欺騙的攻擊行為缺陷只能適用于靜態(tài)IP地址的網(wǎng)絡(luò)環(huán)境局域網(wǎng)主機(jī)數(shù)量越多，管理維護(hù)工作量越大只能進(jìn)行單向的被動防御，不能防止主機(jī)受欺騙常見防御手段網(wǎng)關(guān)靜態(tài)綁定常見防御手段網(wǎng)關(guān)定期發(fā)送免費(fèi)ARP網(wǎng)關(guān)定期向局域網(wǎng)廣播自己的ARP信息，幫助受欺騙攻擊的主機(jī)找到正確的網(wǎng)關(guān)。效果可以防御攻擊者冒充主機(jī)對網(wǎng)關(guān)進(jìn)行欺騙的攻擊行為缺陷網(wǎng)關(guān)需要定期廣播免費(fèi)ARP報文，占用CPU資源，耗費(fèi)網(wǎng)絡(luò)帶寬。網(wǎng)關(guān)廣播的速度永遠(yuǎn)也趕不上欺騙報文的發(fā)送速度，收效甚微。常見防御手段網(wǎng)關(guān)定期發(fā)送免費(fèi)ARP常見防御手段交換機(jī)進(jìn)行ARP檢查由交換機(jī)對接收到的每一個ARP報文進(jìn)行檢查，發(fā)現(xiàn)偽造虛假網(wǎng)關(guān)地址的報文則丟棄處理。效果可以防御攻擊者冒充網(wǎng)關(guān)對主機(jī)進(jìn)行欺騙的攻擊行為。缺陷不能防御攻擊者冒充主機(jī)欺騙網(wǎng)關(guān)或其它主機(jī)的攻擊行為。常見防御手段交換機(jī)進(jìn)行ARP檢查GSN：ARP立體防御ARP攻擊原理與常見防御手段1ARP立體防御技術(shù)原理2實(shí)地測試效果3ARP立體防御技術(shù)優(yōu)勢總結(jié)4GSN：ARP立體防御ARP攻擊原理與常見防御手段1ARP立ARP立體防御技術(shù)原理網(wǎng)關(guān)防御接入層防御用戶端防御三重工事，縱深防御ARP立體防御技術(shù)原理網(wǎng)關(guān)防御接入層防御用戶端防御三重工事，三重工事，縱深防御第一重：網(wǎng)關(guān)防御SMP通過SAM學(xué)習(xí)已通過認(rèn)證的合法用戶的IP-MAC對應(yīng)關(guān)系SMP將用戶的ARP信息通知相應(yīng)網(wǎng)關(guān)網(wǎng)關(guān)生成對應(yīng)用戶的可信任ARP表項(xiàng)用戶ARP信息RG-SMPRG-SU網(wǎng)關(guān)S21XX生成可信任ARP表項(xiàng)：用戶A：MAC—IP—端口用戶A三重工事，縱深防御第一重：網(wǎng)關(guān)防御用戶ARP信息RG-SMP三重工事，縱深防御第一重：網(wǎng)關(guān)防御攻擊者冒充用戶IP對網(wǎng)關(guān)進(jìn)行欺騙真正的用戶已經(jīng)在網(wǎng)關(guān)的可信任ARP表項(xiàng)中，欺騙行為失敗RG-SMPRG-SU網(wǎng)關(guān)S21XX攻擊者可信任ARP表項(xiàng)：用戶A：MAC—IP—端口用戶A我是用戶A三重工事，縱深防御第一重：網(wǎng)關(guān)防御RG-SMPRG-SU網(wǎng)關(guān)三重工事，縱深防御Tips：什么是可信任ARP？可信任ARP是GSN功能專署的表項(xiàng)通過聯(lián)動SMP，動態(tài)學(xué)習(xí)已通過認(rèn)證的用戶ARP，保障合法用戶的上網(wǎng)質(zhì)量?？尚湃蜛RP是一種介于靜態(tài)和動態(tài)ARP之間的地址表項(xiàng)與靜態(tài)ARP不同，可信任ARP也有老化機(jī)制，過期自動刪除；可信任ARP有專門預(yù)留的地址空間，不會被動態(tài)ARP所修改。能夠自動檢測用戶是否在線可信任ARP老化時，會自動檢測用戶在線情況，如果用戶在線，會自動恢復(fù)生存周期三重工事，縱深防御Tips：什么是可信任ARP？三重工事，縱深防御第二重：用戶端防御在SMP上設(shè)置網(wǎng)關(guān)的正確IP－MAC對應(yīng)信息用戶認(rèn)證通過，SMP將網(wǎng)關(guān)的ARP信息下傳至SUSU靜態(tài)綁定網(wǎng)關(guān)的ARPRG-SMPRG-SU網(wǎng)關(guān)S21XX設(shè)置網(wǎng)關(guān)ARP信息IP—MAC網(wǎng)關(guān)信息下傳至用戶靜態(tài)綁定網(wǎng)關(guān)ARP三重工事，縱深防御第二重：用戶端防御RG-SMPRG-SU網(wǎng)三重工事，縱深防御第二重：用戶端防御攻擊者冒充網(wǎng)關(guān)欺騙合法用戶用戶已經(jīng)靜態(tài)綁定網(wǎng)關(guān)地址，欺騙攻擊無效RG-SMPRG-SU網(wǎng)關(guān)S21XX靜態(tài)綁定網(wǎng)關(guān)ARP我是網(wǎng)關(guān)三重工事，縱深防御第二重：用戶端防御RG-SMPRG-SU網(wǎng)三重工事，縱深防御第三重：交換機(jī)非法報文過濾用戶認(rèn)證通過后，21交換機(jī)會在接入端口上綁定用戶的IP－MAC對應(yīng)信息。21對報文的源地址進(jìn)行檢查，對非法的攻擊報文一律丟棄處理。該操作不占用交換機(jī)CPU資源，直接由端口芯片處理。RG-SMPRG-SU網(wǎng)關(guān)S21XX綁定用戶的IP—MAC信息三重工事，縱深防御第三重：交換機(jī)非法報文過濾RG-SMPRG三重工事，縱深防御第三重：交換機(jī)非法報文過濾攻擊者偽造源IP和MAC地址發(fā)起攻擊報文不符合綁定規(guī)則，被交換機(jī)丟棄。RG-SMPRG-SU網(wǎng)關(guān)S21XX靜態(tài)綁定網(wǎng)關(guān)ARP我是網(wǎng)關(guān)三重工事，縱深防御第三重：交換機(jī)非法報文過濾RG-SMPRGGSN：ARP立體防御ARP攻擊原理與常見防御手段1ARP立體防御技術(shù)原理2實(shí)地測試效果3ARP立體防御技術(shù)優(yōu)勢總結(jié)4GSN：ARP立體防御ARP攻擊原理與常見防御手段1ARP立測試方案一：模擬攻擊測試環(huán)境某校學(xué)生宿舍5號、8號樓總?cè)藬?shù)600人，高峰期在線400~500人250人左右已升級至SU3.04（支持ARP防御功能）網(wǎng)關(guān)和SMP都已啟用防ARP欺騙功能測試方案從使用3.0版和3.04版SU的主機(jī)中分別隨機(jī)抽取一臺，使用WinARPAttacker軟件假冒網(wǎng)關(guān)對兩臺主機(jī)發(fā)起攻擊，通過ping測試驗(yàn)證攻擊效果。測試方案一：模擬攻擊測試環(huán)境模擬攻擊測試將測試用PC接入5號樓學(xué)生所在網(wǎng)段網(wǎng)段地址：172.22.9.0/24網(wǎng)關(guān)地址：172.22.9.1模擬攻擊測試將測試用PC接入5號樓學(xué)生所在網(wǎng)段網(wǎng)段地址：17模擬攻擊測試確認(rèn)攻擊目標(biāo)在線并且未升級SU的肉雞：172.22.9.49模擬攻擊測試確認(rèn)攻擊目標(biāo)模擬攻擊測試攻擊目標(biāo)機(jī)器使用WinARPAttacker偽造網(wǎng)關(guān)對目標(biāo)進(jìn)行攻擊模擬攻擊測試攻擊目標(biāo)機(jī)器模擬攻擊測試驗(yàn)證測試效果模擬攻擊測試驗(yàn)證測試效果模擬攻擊測試確定對比測試目標(biāo)另找一臺已升級到SU3.04的肉雞：172.22.9.25模擬攻擊測試確定對比測試目標(biāo)模擬攻擊測試?yán)^續(xù)對目標(biāo)機(jī)器進(jìn)行攻擊模擬攻擊測試?yán)^續(xù)對目標(biāo)機(jī)器進(jìn)行攻擊模擬攻擊測試驗(yàn)證對比測試效果百試不爽的攻擊手段失效了！模擬攻擊測試驗(yàn)證對比測試效果百試不爽的測試方案二：實(shí)地測試效果測試環(huán)境網(wǎng)絡(luò)中心機(jī)房，300多臺學(xué)生用機(jī)，病毒木馬泛濫機(jī)房老師反映網(wǎng)絡(luò)頻繁掉線，存在大量ARP攻擊事件測試方案使用測試主機(jī)接入機(jī)房網(wǎng)絡(luò)，運(yùn)行ARP防火墻軟件觀察網(wǎng)絡(luò)中存在的ARP攻擊狀況，并在實(shí)際使用中觀察GSN防ARP攻擊功能啟用前和啟用后的情況測試方案二：實(shí)地測試效果測試環(huán)境實(shí)際環(huán)境測試將待測主機(jī)接入機(jī)房網(wǎng)絡(luò)網(wǎng)段地址：210.34.136.0/24網(wǎng)關(guān)地址：210.34.136.1實(shí)際環(huán)境測試將待測主機(jī)接入機(jī)房網(wǎng)絡(luò)網(wǎng)段地址：210.34.1實(shí)際環(huán)境測試網(wǎng)絡(luò)環(huán)境中ARP欺騙攻擊泛濫300多臺學(xué)生用機(jī)缺乏管理，成了病毒、木馬的動物園使用ARP防火墻，在一分鐘內(nèi)便觀察到海量攻擊事件實(shí)際環(huán)境測試網(wǎng)絡(luò)環(huán)境中ARP欺騙攻擊泛濫實(shí)際環(huán)境測試實(shí)際使用情況：平均每5分鐘掉線一次實(shí)際環(huán)境測試實(shí)際使用情況：實(shí)際環(huán)境測試攻擊行為分析本地ARP緩存中網(wǎng)關(guān)對應(yīng)表項(xiàng)信息正確，但ping網(wǎng)關(guān)失去響應(yīng)，通過抓包判斷網(wǎng)關(guān)受到ARP欺騙攻擊，導(dǎo)致測試PC斷網(wǎng)實(shí)際環(huán)境測試攻擊行為分析實(shí)際環(huán)境測試啟用GSN防ARP攻擊功能實(shí)際環(huán)境測試啟用GSN防ARP攻擊功能實(shí)際環(huán)境測試啟用防ARP功能后的試運(yùn)行觀察試用兩個小時，網(wǎng)絡(luò)正常，沒有受到任何影響！風(fēng)大浪大，依然屹立不倒！實(shí)際環(huán)境測試啟用防ARP功能后的試運(yùn)行觀察風(fēng)大浪大，GSN：ARP立體防御ARP攻擊原理與常見防御手段1ARP立體防御技術(shù)原理2實(shí)地測試效果3ARP立體防御技術(shù)優(yōu)勢總結(jié)4GSN：ARP立體防御ARP攻擊原理與常見防御手段1ARP立技術(shù)優(yōu)勢總結(jié)防御欺騙攻擊效果顯著對各種ARP欺騙攻擊軟件和病毒、木馬能夠進(jìn)行有效的防御，確保網(wǎng)絡(luò)通信的可靠網(wǎng)絡(luò)執(zhí)法官、WinARPAttacker、盜號木馬、惡性網(wǎng)絡(luò)病毒、網(wǎng)絡(luò)嗅探軟件……零網(wǎng)絡(luò)負(fù)荷無需大量廣播免費(fèi)ARP報文，不會對網(wǎng)絡(luò)造成額外負(fù)荷操作簡單，配置方便只需要簡單的配置，便可實(shí)現(xiàn)全網(wǎng)ARP的立體防御學(xué)生注冊IP、MAC，老師手動添加靜態(tài)ARP地址的時代一去不復(fù)返了，上萬用戶的ARP管理成為現(xiàn)實(shí)。技術(shù)優(yōu)勢總結(jié)防御欺騙攻擊效果顯著技術(shù)優(yōu)勢總結(jié)業(yè)界領(lǐng)先防ARP攻擊方案依托于現(xiàn)有的GSN方案的強(qiáng)大數(shù)據(jù)源和聯(lián)動能力，尚沒有其它廠商能夠?qū)崿F(xiàn)類似的防ARP欺騙解決方案。從各個源頭徹底阻斷攻擊行為的產(chǎn)生，干凈利落不留后患。效果絕非“ARP防火墻”等小軟件可輕易實(shí)現(xiàn)?？蛻舴答伭己眉来髮W(xué)李主任：“這個功能非常好，我們早就需要了！GSN解了我們?nèi)济贾卑??！盙SN又學(xué)到了一招獨(dú)門必殺技技術(shù)優(yōu)勢總結(jié)業(yè)界領(lǐng)先GSN又學(xué)到了產(chǎn)品信息軟件版本支持情況：RG-SMP：1.42臨時版及以上版本RG-SU：3.04以上版本（不包括3.05）交換機(jī)支持情況：交換機(jī)產(chǎn)品將在RGNOS10.1正式版中支持（支持RGNOS的交換機(jī)產(chǎn)品均提供此功能）之前如有項(xiàng)目測試需求，可視情況發(fā)行相應(yīng)的臨時版本使用。更深入的技術(shù)細(xì)節(jié)，請參考《ARP立體防御解決方案原理》產(chǎn)品信息軟件版本支持情況：謝謝!謝謝!GSN重拳出擊：ARP立體防御方案介紹產(chǎn)品部沈世海2007年4月GSN重拳出擊：GSN：ARP立體防御ARP攻擊原理與常見防御手段1ARP立體防御技術(shù)原理2實(shí)地測試效果3ARP立體防御技術(shù)優(yōu)勢總結(jié)4GSN：ARP立體防御ARP攻擊原理與常見防御手段1ARP立ARP欺騙攻擊原理ARP攻擊原理簡介通過偽造虛假源IP、源MAC地址的ARP報文，導(dǎo)致網(wǎng)關(guān)或主機(jī)無法找到正確的通信對象。ARP攻擊利用了ARP協(xié)議本身的缺陷，在IPv4的網(wǎng)絡(luò)大環(huán)境中難以徹底根除。用戶攻擊者我是網(wǎng)關(guān)，把數(shù)據(jù)都發(fā)給我OK，馬上照辦！欺騙攻擊ARP欺騙攻擊原理ARP攻擊原理簡介用戶攻擊者我是網(wǎng)關(guān)，把數(shù)常見ARP攻擊類型以盜取數(shù)據(jù)為目的：ARP欺騙攻擊冒充網(wǎng)關(guān)欺騙主機(jī)冒充主機(jī)欺騙網(wǎng)關(guān)冒充主機(jī)欺騙其它主機(jī)以搗亂破壞為目的：ARP泛洪攻擊攻擊局域網(wǎng)主機(jī)攻擊網(wǎng)關(guān)常見ARP攻擊類型以盜取數(shù)據(jù)為目的：ARP欺騙攻擊ARP欺騙攻擊冒充網(wǎng)關(guān)欺騙主機(jī)攻擊者以網(wǎng)關(guān)的身份偽造虛假的ARP回應(yīng)報文，欺騙局域網(wǎng)內(nèi)的其它主機(jī)主機(jī)所有流向外網(wǎng)的流量全部被攻擊者截取正常用戶網(wǎng)關(guān)我是網(wǎng)關(guān)知道了欺騙攻擊用戶數(shù)據(jù)攻擊者ARP欺騙攻擊冒充網(wǎng)關(guān)欺騙主機(jī)正常用戶網(wǎng)關(guān)我是網(wǎng)關(guān)知道了欺騙ARP欺騙攻擊冒充主機(jī)欺騙網(wǎng)關(guān)攻擊者以正常用戶的身份偽造虛假的ARP回應(yīng)報文，欺騙網(wǎng)關(guān)網(wǎng)關(guān)發(fā)給該用戶的所有數(shù)據(jù)全部被攻擊者截取正常用戶網(wǎng)關(guān)我是小白知道了欺騙攻擊用戶數(shù)據(jù)攻擊者ARP欺騙攻擊冒充主機(jī)欺騙網(wǎng)關(guān)正常用戶網(wǎng)關(guān)我是小白知道了欺騙ARP欺騙攻擊ARP欺騙攻擊行為ARP欺騙攻擊一般都會結(jié)合網(wǎng)關(guān)欺騙和主機(jī)欺騙兩種方式，進(jìn)行中間人（ManInTheMiddle）欺騙。用戶的所有正常流量都會被攻擊者截取，導(dǎo)致用戶重要數(shù)據(jù)被盜。常見的有網(wǎng)游盜號工具、惡意木馬、病毒等等……ARP欺騙攻擊ARP欺騙攻擊行為ARP泛洪攻擊搗亂破壞型：ARP泛洪攻擊攻擊者偽造大量虛假源MAC和源IP信息的報文，對局域網(wǎng)內(nèi)的所有主機(jī)和網(wǎng)關(guān)進(jìn)行廣播，干擾正常通信。正常用戶網(wǎng)關(guān)我是小白我是網(wǎng)關(guān)我是……小白在哪？泛洪攻擊攻擊者網(wǎng)關(guān)在哪？ARP泛洪攻擊搗亂破壞型：ARP泛洪攻擊正常用戶網(wǎng)關(guān)我是小白ARP欺騙攻擊ARP泛洪攻擊行為ARP泛洪攻擊的對象可以是單個主機(jī)或網(wǎng)關(guān)，也可以是局域網(wǎng)所有機(jī)器。目的在于令局域網(wǎng)內(nèi)部的主機(jī)或網(wǎng)關(guān)找不到正確的通信對象，甚至用虛假地址信息直接占滿網(wǎng)關(guān)ARP緩存空間，造成用戶無法正常上網(wǎng)，屬于損人不利己的搗亂攻擊行為。常見的有網(wǎng)絡(luò)執(zhí)法官、WinARPAttacker等等……ARP欺騙攻擊ARP泛洪攻擊行為常見防御手段主機(jī)端靜態(tài)綁定在主機(jī)上用“arp-s”命令靜態(tài)綁定正確的網(wǎng)關(guān)ARP信息效果可以防御攻擊者冒充網(wǎng)關(guān)對主機(jī)進(jìn)行欺騙的攻擊行為缺陷每次系統(tǒng)重啟后需要重新靜態(tài)綁定需要對每一臺主機(jī)單獨(dú)進(jìn)行手動配置，工作量巨大且可操作性不高只能進(jìn)行主機(jī)端的防御，如果網(wǎng)關(guān)遭到欺騙攻擊，該方法無能為力常見防御手段主機(jī)端靜態(tài)綁定常見防御手段網(wǎng)關(guān)靜態(tài)綁定在網(wǎng)關(guān)上靜態(tài)綁定局域網(wǎng)主機(jī)正確的ARP信息效果可以防御攻擊者冒充主機(jī)對網(wǎng)關(guān)進(jìn)行欺騙的攻擊行為缺陷只能適用于靜態(tài)IP地址的網(wǎng)絡(luò)環(huán)境局域網(wǎng)主機(jī)數(shù)量越多，管理維護(hù)工作量越大只能進(jìn)行單向的被動防御，不能防止主機(jī)受欺騙常見防御手段網(wǎng)關(guān)靜態(tài)綁定常見防御手段網(wǎng)關(guān)定期發(fā)送免費(fèi)ARP網(wǎng)關(guān)定期向局域網(wǎng)廣播自己的ARP信息，幫助受欺騙攻擊的主機(jī)找到正確的網(wǎng)關(guān)。效果可以防御攻擊者冒充主機(jī)對網(wǎng)關(guān)進(jìn)行欺騙的攻擊行為缺陷網(wǎng)關(guān)需要定期廣播免費(fèi)ARP報文，占用CPU資源，耗費(fèi)網(wǎng)絡(luò)帶寬。網(wǎng)關(guān)廣播的速度永遠(yuǎn)也趕不上欺騙報文的發(fā)送速度，收效甚微。常見防御手段網(wǎng)關(guān)定期發(fā)送免費(fèi)ARP常見防御手段交換機(jī)進(jìn)行ARP檢查由交換機(jī)對接收到的每一個ARP報文進(jìn)行檢查，發(fā)現(xiàn)偽造虛假網(wǎng)關(guān)地址的報文則丟棄處理。效果可以防御攻擊者冒充網(wǎng)關(guān)對主機(jī)進(jìn)行欺騙的攻擊行為。缺陷不能防御攻擊者冒充主機(jī)欺騙網(wǎng)關(guān)或其它主機(jī)的攻擊行為。常見防御手段交換機(jī)進(jìn)行ARP檢查GSN：ARP立體防御ARP攻擊原理與常見防御手段1ARP立體防御技術(shù)原理2實(shí)地測試效果3ARP立體防御技術(shù)優(yōu)勢總結(jié)4GSN：ARP立體防御ARP攻擊原理與常見防御手段1ARP立ARP立體防御技術(shù)原理網(wǎng)關(guān)防御接入層防御用戶端防御三重工事，縱深防御ARP立體防御技術(shù)原理網(wǎng)關(guān)防御接入層防御用戶端防御三重工事，三重工事，縱深防御第一重：網(wǎng)關(guān)防御SMP通過SAM學(xué)習(xí)已通過認(rèn)證的合法用戶的IP-MAC對應(yīng)關(guān)系SMP將用戶的ARP信息通知相應(yīng)網(wǎng)關(guān)網(wǎng)關(guān)生成對應(yīng)用戶的可信任ARP表項(xiàng)用戶ARP信息RG-SMPRG-SU網(wǎng)關(guān)S21XX生成可信任ARP表項(xiàng)：用戶A：MAC—IP—端口用戶A三重工事，縱深防御第一重：網(wǎng)關(guān)防御用戶ARP信息RG-SMP三重工事，縱深防御第一重：網(wǎng)關(guān)防御攻擊者冒充用戶IP對網(wǎng)關(guān)進(jìn)行欺騙真正的用戶已經(jīng)在網(wǎng)關(guān)的可信任ARP表項(xiàng)中，欺騙行為失敗RG-SMPRG-SU網(wǎng)關(guān)S21XX攻擊者可信任ARP表項(xiàng)：用戶A：MAC—IP—端口用戶A我是用戶A三重工事，縱深防御第一重：網(wǎng)關(guān)防御RG-SMPRG-SU網(wǎng)關(guān)三重工事，縱深防御Tips：什么是可信任ARP？可信任ARP是GSN功能專署的表項(xiàng)通過聯(lián)動SMP，動態(tài)學(xué)習(xí)已通過認(rèn)證的用戶ARP，保障合法用戶的上網(wǎng)質(zhì)量。可信任ARP是一種介于靜態(tài)和動態(tài)ARP之間的地址表項(xiàng)與靜態(tài)ARP不同，可信任ARP也有老化機(jī)制，過期自動刪除；可信任ARP有專門預(yù)留的地址空間，不會被動態(tài)ARP所修改。能夠自動檢測用戶是否在線可信任ARP老化時，會自動檢測用戶在線情況，如果用戶在線，會自動恢復(fù)生存周期三重工事，縱深防御Tips：什么是可信任ARP？三重工事，縱深防御第二重：用戶端防御在SMP上設(shè)置網(wǎng)關(guān)的正確IP－MAC對應(yīng)信息用戶認(rèn)證通過，SMP將網(wǎng)關(guān)的ARP信息下傳至SUSU靜態(tài)綁定網(wǎng)關(guān)的ARPRG-SMPRG-SU網(wǎng)關(guān)S21XX設(shè)置網(wǎng)關(guān)ARP信息IP—MAC網(wǎng)關(guān)信息下傳至用戶靜態(tài)綁定網(wǎng)關(guān)ARP三重工事，縱深防御第二重：用戶端防御RG-SMPRG-SU網(wǎng)三重工事，縱深防御第二重：用戶端防御攻擊者冒充網(wǎng)關(guān)欺騙合法用戶用戶已經(jīng)靜態(tài)綁定網(wǎng)關(guān)地址，欺騙攻擊無效RG-SMPRG-SU網(wǎng)關(guān)S21XX靜態(tài)綁定網(wǎng)關(guān)ARP我是網(wǎng)關(guān)三重工事，縱深防御第二重：用戶端防御RG-SMPRG-SU網(wǎng)三重工事，縱深防御第三重：交換機(jī)非法報文過濾用戶認(rèn)證通過后，21交換機(jī)會在接入端口上綁定用戶的IP－MAC對應(yīng)信息。21對報文的源地址進(jìn)行檢查，對非法的攻擊報文一律丟棄處理。該操作不占用交換機(jī)CPU資源，直接由端口芯片處理。RG-SMPRG-SU網(wǎng)關(guān)S21XX綁定用戶的IP—MAC信息三重工事，縱深防御第三重：交換機(jī)非法報文過濾RG-SMPRG三重工事，縱深防御第三重：交換機(jī)非法報文過濾攻擊者偽造源IP和MAC地址發(fā)起攻擊報文不符合綁定規(guī)則，被交換機(jī)丟棄。RG-SMPRG-SU網(wǎng)關(guān)S21XX靜態(tài)綁定網(wǎng)關(guān)ARP我是網(wǎng)關(guān)三重工事，縱深防御第三重：交換機(jī)非法報文過濾RG-SMPRGGSN：ARP立體防御ARP攻擊原理與常見防御手段1ARP立體防御技術(shù)原理2實(shí)地測試效果3ARP立體防御技術(shù)優(yōu)勢總結(jié)4GSN：ARP立體防御ARP攻擊原理與常見防御手段1ARP立測試方案一：模擬攻擊測試環(huán)境某校學(xué)生宿舍5號、8號樓總?cè)藬?shù)600人，高峰期在線400~500人250人左右已升級至SU3.04（支持ARP防御功能）網(wǎng)關(guān)和SMP都已啟用防ARP欺騙功能測試方案從使用3.0版和3.04版SU的主機(jī)中分別隨機(jī)抽取一臺，使用WinARPAttacker軟件假冒網(wǎng)關(guān)對兩臺主機(jī)發(fā)起攻擊，通過ping測試驗(yàn)證攻擊效果。測試方案一：模擬攻擊測試環(huán)境模擬攻擊測試將測試用PC接入5號樓學(xué)生所在網(wǎng)段網(wǎng)段地址：172.22.9.0/24網(wǎng)關(guān)地址：172.22.9.1模擬攻擊測試將測試用PC接入5號樓學(xué)生所在網(wǎng)段網(wǎng)段地址：17模擬攻擊測試確認(rèn)攻擊目標(biāo)在線并且未升級SU的肉雞：172.22.9.49模擬攻擊測試確認(rèn)攻擊目標(biāo)模擬攻擊測試攻擊目標(biāo)機(jī)器使用WinARPAttacker偽造網(wǎng)關(guān)對目標(biāo)進(jìn)行攻擊模擬攻擊測試攻擊目標(biāo)機(jī)器模擬攻擊測試驗(yàn)證測試效果模擬攻擊測試驗(yàn)證測試效果模擬攻擊測試確定對比測試目標(biāo)另找一臺已升級到SU3.04的肉雞：172.22.9.25模擬攻擊測試確定對比測試目標(biāo)模擬攻擊測試?yán)^續(xù)對目標(biāo)機(jī)器進(jìn)行攻擊模擬攻擊測試?yán)^續(xù)對目標(biāo)機(jī)器進(jìn)行攻擊模擬攻擊測試驗(yàn)證對比測試效果百試不爽的攻擊手段失效了！模擬攻擊測試驗(yàn)證對比測試效果百試不爽的測試方案二：實(shí)地測試效果測試環(huán)境網(wǎng)絡(luò)中心機(jī)房，300多臺學(xué)生用機(jī)，病毒木馬泛濫機(jī)房老師反映網(wǎng)絡(luò)頻繁掉線，存在大量ARP攻擊事件測試方案使用測試主機(jī)接入機(jī)房網(wǎng)絡(luò)，運(yùn)行ARP防火墻軟件觀察網(wǎng)絡(luò)中存在的ARP攻擊狀況，并在實(shí)際使用中觀察GSN防ARP攻擊功能啟用前和啟用后的情況測試方案二：實(shí)地測試效果測試環(huán)境實(shí)際環(huán)境測試將待測主機(jī)接入機(jī)房網(wǎng)絡(luò)網(wǎng)段地址：210.34.136.0/24網(wǎng)關(guān)地址：210.34.136.1實(shí)際環(huán)境測試將待測主機(jī)接入機(jī)房網(wǎng)絡(luò)網(wǎng)段地址：210.34.1實(shí)際環(huán)境測試網(wǎng)絡(luò)環(huán)境中ARP欺騙攻擊泛濫300多臺學(xué)生用機(jī)缺乏管理，成了病毒、木馬的動物園使用A