版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進(jìn)行舉報或認(rèn)領(lǐng)
文檔簡介
1、銳捷高校ARP問題解決方案,教育行業(yè)部2008年11月,提 綱,3,什么是ARP,ARP(Address Resolution Protocol )簡單的說,ARP就是IP和MAC的對應(yīng)關(guān)系A(chǔ)RP原理ARP請求某機(jī)器A要向主機(jī)B發(fā)送報文,會查詢本地的ARP緩存表,找到B的IP地址對應(yīng)的MAC地址后,進(jìn)行數(shù)據(jù)傳輸如果未找到,則廣播一個ARP請求報文ARP應(yīng)答網(wǎng)上所有主機(jī)包括B都收到ARP請求,理想情況是只有主機(jī)B向主機(jī)A
2、發(fā)回一個ARP響應(yīng)報文,其中包含有B的MAC地址存在風(fēng)險不幸的是,網(wǎng)內(nèi)所有的主機(jī)均可向A發(fā)回一個ARP響應(yīng)報文,并且可以隨意修改ARP響應(yīng)報文中的IP和MAC,3,什么是ARP攻擊,ARP攻擊就是通過偽造IP地址和MAC地址實現(xiàn)ARP欺騙,能夠在網(wǎng)絡(luò)中產(chǎn)生大量的ARP通信量使網(wǎng)絡(luò)阻塞攻擊者只要持續(xù)不斷的發(fā)出偽造的ARP響應(yīng)報文就能更改目標(biāo)主機(jī)ARP緩存中的IP-MAC條目,造成網(wǎng)絡(luò)中斷或中間人攻擊ARP攻擊的危害主要存在于局域
3、網(wǎng)網(wǎng)絡(luò)中如果局域網(wǎng)中有一個人感染ARP病毒,則感染該ARP病毒的系統(tǒng)將會試圖通過“ARP欺騙”手段截獲所在網(wǎng)絡(luò)內(nèi)其它計算機(jī)的通信信息,并因此造成網(wǎng)內(nèi)其它計算機(jī)的通信故障,ARP攻擊的主要現(xiàn)象,上網(wǎng)速度慢網(wǎng)絡(luò)上有大量ARP報文某一區(qū)域不能上網(wǎng)或時通時斷同樣配置只有某一臺機(jī)器不能上網(wǎng)正在使用某一類應(yīng)用的PC依次掉線或時通時斷不斷彈出“本機(jī)的0-255段硬件地址與網(wǎng)絡(luò)中的0-255段地址沖突”的對話框,等等,ARP攻擊的主要形式,
4、ARP欺騙攻擊欺騙主機(jī)攻擊冒充網(wǎng)關(guān)攻擊欺騙網(wǎng)關(guān)攻擊中間人攻擊ARP泛洪攻擊 消耗帶寬攻擊拒絕服務(wù)攻擊ARP溢出攻擊 ARP掃描攻擊IP地址沖突單播型的IP地址沖突 廣播型的IP地址沖突虛擬主機(jī)攻擊,欺騙主機(jī)攻擊,PC B,攻擊者:發(fā)送ARP欺騙,網(wǎng)關(guān):192.168.10.1??MAC A,192.168.10.3 ??MAC C,192.168.10.2 ??MAC B,,,,,,發(fā)送ARP響應(yīng),告訴:1
5、92.168.10.1對應(yīng)的MAC是MAC C,ARP表刷新192.168.10.1對應(yīng)的是MAC C:192.168.10.1??MACC,主機(jī)外出的發(fā)送到網(wǎng)關(guān)的流量實際發(fā)送給攻擊者M(jìn)AC C,,PC B,攻擊者:發(fā)送ARP欺騙,,,,,發(fā)送ARP響應(yīng),告訴:192.168.10.2對應(yīng)的MAC是MAC C,ARP表刷新,192.168.10.2對應(yīng)的是MAC C:192.168.10.2 ??MAC C,網(wǎng)關(guān)返回的給pc
6、B的流量被網(wǎng)關(guān)轉(zhuǎn)發(fā)給攻擊者,網(wǎng)關(guān):192.168.10.1??MAC A,192.168.10.3 ??MAC C,192.168.10.2 ??MAC B,PC B上網(wǎng)的流量,通過默認(rèn)網(wǎng)關(guān)發(fā)送給網(wǎng)關(guān),欺騙網(wǎng)關(guān)攻擊,發(fā)送ARP響應(yīng),告訴:192.168.10.2對應(yīng)的MAC是MAC C,,PC B,攻擊者:發(fā)送ARP欺騙,192.168.10.1MAC A,192.168.10.3MAC C,192.168.10.2MAC B
7、,,,,,發(fā)送ARP響應(yīng),告訴:192.168.10.1對應(yīng)的MAC是MAC C,ARP表刷新,192.168.10.1對應(yīng)的是MAC C,發(fā)送到網(wǎng)關(guān)的流量均發(fā)到攻擊者M(jìn)AC C,ARP表刷新,192.168.10.2對應(yīng)的是MAC C,中間人攻擊,攻擊者再把流量轉(zhuǎn)發(fā)給真正的網(wǎng)關(guān)MAC A,,,,,,主機(jī)DIP:192.169.10.4Mac:MAC D,主機(jī)CIP:192.168.10.3Mac:MAC C,主機(jī)BIP:1
8、92.168.10.2Mac:MAC B,主機(jī)AIP:192.168.10.1Mac: MAC A,網(wǎng)關(guān)EIP:192.168.10.254Mac:E,3、網(wǎng)關(guān)E被錯誤 ARP表充滿,導(dǎo)致無法更新維護(hù)正常ARP表,,,,1、發(fā)送大量ARP請求報文,,2、網(wǎng)關(guān)E的CPU利用率上升,難以響應(yīng)正常服務(wù)請求。,2、發(fā)送大量虛假的ARP響應(yīng)報文,ARP泛洪攻擊,,1、消耗網(wǎng)絡(luò)帶寬資源。ARP掃描往往是進(jìn)一步攻擊的前奏。,ARP泛洪攻擊,
9、攻擊主機(jī)持續(xù)把偽造的MAC-IP映射對發(fā)給受攻擊主機(jī),對于局域網(wǎng)內(nèi)的所有主機(jī)和網(wǎng)關(guān)進(jìn)行廣播,搶占網(wǎng)絡(luò)帶寬和干擾正常通信。這種攻擊方式的主要攻擊特征包含:通過不斷發(fā)送偽造的ARP廣播數(shù)據(jù)包使得交換機(jī)忙于處理廣播數(shù)據(jù)包而耗盡網(wǎng)絡(luò)帶寬令局域網(wǎng)內(nèi)部的主機(jī)或網(wǎng)關(guān)找不到正確的通信對象,使得正常通信被阻斷用虛假的地址信息占滿主機(jī)的ARP高速緩存空間,造成主機(jī)無法創(chuàng)建緩存表項,無法正常通信,這種攻擊特征作者將其命名為ARP溢出攻擊主機(jī)ARP緩存
10、溢出交換機(jī)CAM表溢出ARP泛洪攻擊不是以盜取用戶數(shù)據(jù)為目的,它是以破壞網(wǎng)絡(luò)為目的,屬于損人不利己的行為,提 綱,ARP防御的網(wǎng)絡(luò)設(shè)備,ARP欺騙發(fā)生在PC主機(jī)到網(wǎng)關(guān),包括的網(wǎng)元有: 客戶端 接入交換機(jī) 網(wǎng)關(guān),,,,PC主機(jī);,PC主機(jī);,PC主機(jī);,PC主機(jī);,客戶端ARP防御手段1-主機(jī)手動綁定ARP 表,優(yōu)點最節(jié)省成本的方式 缺點 配置麻煩,主機(jī)需要通信的目標(biāo)很多,不可能一個一個都綁定容易失效,這種
11、方法進(jìn)行的綁定,一拔掉網(wǎng)線或者關(guān)機(jī)、注銷就全部失效了,如果想繼續(xù)使用,就需要重新綁定只能進(jìn)行主機(jī)端的防御,如果網(wǎng)關(guān)遭欺騙則無能為力主機(jī)端手動綁定也是只能實現(xiàn)部分防御,需要與其他方法結(jié)合來完善,原理每個主機(jī)都不停地發(fā)送免費ARP Response廣播,來告訴別人自己的IP和MAC的綁定關(guān)系優(yōu)點硬件無關(guān)性缺點如果攻擊廣播報文頻率提升,ARP問題重現(xiàn)主機(jī)ARP 表更新頻繁,容易掉線,客戶端ARP防御手段2-主機(jī)安裝ARP防御軟
12、件,交換機(jī)ARP防御手段-ARP欺騙防御,,16,綁定用戶正確的IP和MAC地址,檢查ARP報文中的IP和MAC,第一步:,第二步:,符合,N,丟棄,Y,通過,關(guān)鍵是如何建立真實的IP-MAC表,交換機(jī)功能支持在端口設(shè)置安全地址支持在端口做ARP CHECK優(yōu)點成本低缺點工作量大,維護(hù)不方便防范范圍有限(到端口)無法適應(yīng)DHCP環(huán)境,交換機(jī)防御ARP 欺騙1-接入交換機(jī)手動綁定IP/MAC,網(wǎng)關(guān),安全交換機(jī),192.1
13、68.1.1,192.168.1.2,192.168.1.3,192.168.1.4,192.168.1.5,在端口檢查ARP報文,丟棄不符合端口綁定信息的ARP報文,優(yōu)點自動化實現(xiàn)ARP綁定部署簡單缺點適合于動態(tài)IP環(huán)境,如在靜態(tài)IP環(huán)境則回歸手動綁定的原始狀態(tài),網(wǎng)關(guān),安全交換機(jī),DHCP 服務(wù)器,DHCP請求,DHCP響應(yīng),DHCP Snooping建立ARP數(shù)據(jù)庫,交換機(jī)防御ARP 欺騙2-動態(tài)ARP檢查DAI,交換機(jī)支持
14、功能支持DHCP SNOOPING功能支持動態(tài)ARP檢查(DAI)功能,PC B,攻擊者:發(fā)送ARP欺騙,網(wǎng)關(guān):192.168.10.1??MAC A,192.168.10.3 ??MAC C,192.168.10.2 ??MAC B,,,,,,發(fā)送ARP響應(yīng),告訴:192.168.10.1對應(yīng)的MAC是MAC C,ARP表項重網(wǎng)關(guān)192.168.10.1對應(yīng)的依舊是MAC A:192.168.10.1??MAC A,交換機(jī)非
15、上聯(lián)接口打開防網(wǎng)關(guān)ARP欺騙功能,過濾用戶對網(wǎng)關(guān)ip的非法arp響應(yīng),下聯(lián)口有對指定網(wǎng)關(guān)的arp響應(yīng),deny!,交換機(jī)防御ARP 欺騙3-接入交換機(jī)手動綁定網(wǎng)關(guān),優(yōu)點:操作簡單缺點:只能防冒充網(wǎng)關(guān)攻擊,防范范圍有限(到端口),交換機(jī)功能支持防網(wǎng)關(guān)欺騙功能作用防冒充網(wǎng)關(guān)攻擊,交換機(jī)支持功能支持802.1x優(yōu)點認(rèn)證過程中自動綁定IP-MAC動/靜態(tài)IP環(huán)境皆可缺點防范范圍受限(到端口),網(wǎng)關(guān),安全交換機(jī),802.1x
16、服務(wù)器,1x認(rèn)證請求,用戶的IP/MAC信息,IP授權(quán),交換機(jī)防御ARP 欺騙4-結(jié)合802.1x技術(shù),,PC B,攻擊者:發(fā)送ARP欺騙,,,,,發(fā)送ARP響應(yīng),告訴:192.168.10.2對應(yīng)的MAC是MAC C,網(wǎng)關(guān)綁定主機(jī)正確的ip??mac關(guān)系: Ip B??mac BIp C??mac C……Ip N??mac N,網(wǎng)關(guān):192.168.10.1??MAC A,192.168.10.3 ??MAC C,192.
17、168.10.2 ??MAC B,PC B上網(wǎng)的流量,通過默認(rèn)網(wǎng)關(guān)發(fā)送給網(wǎng)關(guān),用戶的arp信息已經(jīng)在網(wǎng)關(guān)的arp表項中,網(wǎng)關(guān)不再學(xué)習(xí)已存在表項的信息,網(wǎng)關(guān)返回給PC B的流量被網(wǎng)關(guān)正確地發(fā)送給PC B,網(wǎng)關(guān)防御ARP 欺騙手段-網(wǎng)關(guān)綁定主機(jī)IP/MAC,優(yōu)點:成本低缺點:工作量大維護(hù)不方便;只能防欺騙網(wǎng)關(guān)攻擊,不適應(yīng)DHCP環(huán)境,作用防欺騙網(wǎng)關(guān)攻擊,交換機(jī)ARP防御手段-ARP泛洪攻擊防御,交換機(jī)支持功能支持ARP流限速支持在端
18、口下限速或者在全局下限速,網(wǎng)關(guān),安全交換機(jī),DHCP 服務(wù)器,DHCP請求,DHCP響應(yīng),DHCP Snooping建立ARP數(shù)據(jù)庫,提 綱,利用交換機(jī)防御ARP攻擊方案-靜態(tài)IP環(huán)境,在接入交換機(jī)端口控制主機(jī)發(fā)送ARP欺騙報文在交換機(jī)端口設(shè)置安全地址在端口打開arp check,只允許合法ARP報文通過防主機(jī)欺騙和網(wǎng)關(guān)欺騙攻擊銳捷S21/S23/S26/S29/S32/S37/S5760/S76/S86支持在接入交換機(jī)端口
19、下過濾假冒網(wǎng)關(guān)的ARP應(yīng)答在下聯(lián)端口設(shè)置anti-arp-spoofing,丟棄冒充網(wǎng)關(guān)的ARP報文防冒充網(wǎng)關(guān)攻擊S21/S23/S26/S32/S37/S5760支持在網(wǎng)關(guān)交換機(jī)上綁定各主機(jī)的ARP表項(可選)在交換機(jī)上進(jìn)行ARP攻擊流限速開啟ARP抗攻擊( arp-guard)識別、隔離和清除ARP攻擊進(jìn)行ARP限速防ARP泛洪攻擊(含ARP DOS攻擊)、ARP掃描攻擊S23/S26/S29/S32/S37/S
20、57/S76/S86支持,利用交換機(jī)防御ARP攻擊方案-動態(tài)IP環(huán)境,在交換機(jī)上開啟DHCP SNOOPING建立ARP數(shù)據(jù)庫在網(wǎng)關(guān)和接入交換機(jī)上開啟動態(tài)ARP檢查DAI依據(jù)ARP數(shù)據(jù)庫過濾ARP報文防主機(jī)欺騙攻擊和網(wǎng)關(guān)欺騙攻擊限制端口ARP報文數(shù)量,防ARP泛洪攻擊S21/S23/S26/S29/S32/S37/S57/S76/S86支持在交換機(jī)上進(jìn)行ARP攻擊流限速開啟ARP抗攻擊( arp-guard)識別、隔離
21、和清除ARP攻擊進(jìn)行ARP限速防ARP泛洪攻擊(含ARP DOS攻擊)、ARP掃描攻擊S23/S26/S29/S32/S37/S57/S76/S86支持,SMP防ARP方案:ARP三重立體防御解決方案,ARP欺騙攻擊欺騙網(wǎng)關(guān)攻擊欺騙主機(jī)攻擊仿冒網(wǎng)關(guān)攻擊中間人攻擊ARP泛洪攻擊 消耗帶寬攻擊拒絕服務(wù)攻擊ARP溢出攻擊 IP地址沖突單播型的IP地址沖突 廣播型的IP地址沖突ARP掃描攻擊虛擬主機(jī)攻擊,ARP三
22、重立體防御-客戶端防御,,,,,,,S262126G,運行SU的用戶PC,SAM,SMP.edu,Internet,RG-S8614,攻擊者,,我是網(wǎng)關(guān),綁定有SMP.edu下發(fā)的網(wǎng)關(guān)IP/MAC信息,,,ARP三重立體防御-交換機(jī)非法報文過濾,,,,,,,,S262126G,用戶 B,SAM,SMP.edu,Internet,RG-S8614,攻擊者,我是用戶 B,端口綁定有SMP.edu下發(fā)的用戶A的IP/MAC綁定信息,,運行SU
23、的用戶PC,用戶 A,,,,ARP三重立體防御-網(wǎng)關(guān)防御,,,,,,,,S262126G,用戶 B,SAM,SMP.edu,Internet,RG-S8614,攻擊者,我是用戶 B,網(wǎng)關(guān)綁定有SMP.edu下發(fā)的用戶B的可信任ARP表項:MAC – IP – 端口,運行SU的用戶PC,SMP防ARP方案:網(wǎng)關(guān)+SU兩重防御,網(wǎng)關(guān)+SUSMA.edu防御ARP仿冒網(wǎng)關(guān)攻擊欺騙網(wǎng)關(guān)攻擊中間人攻擊交換機(jī)防御ARPARP泛洪攻擊
24、不能防御主機(jī)欺騙主機(jī)攻擊,,可信ARP列表,網(wǎng)關(guān)IP&MAC信息,,,,,,,,SAM,SMP.edu,S8610,S5760,S5750,,接入層,,匯聚層,,核心層,友商設(shè)備,友商設(shè)備,友商設(shè)備,友商設(shè)備,SMP防ARP方案:接入交換機(jī)+SU兩重防御,網(wǎng)關(guān)+SUSMA.edu防御ARP欺騙主機(jī)攻擊仿冒網(wǎng)關(guān)攻擊中間人攻擊交換機(jī)防御ARPARP泛洪攻擊不能防御欺騙網(wǎng)關(guān)攻擊,,網(wǎng)關(guān)IP&MAC信息,,,,
25、,,,,SAM,SMP.edu,S8610,,接入層,,匯聚層,,核心層,友商設(shè)備,友商設(shè)備,S2126G,S2126G,S2126G,S2126G,用戶IP&MAC綁定信息,提 綱,Cisco防ARP方法,交換機(jī)防ARP安全端口DAI,配合DHCP SNOOPING利用DHCP SNOOPING建立的ARP數(shù)據(jù)庫,過濾ARP包防主機(jī)欺騙攻擊和網(wǎng)關(guān)欺騙攻擊限制端口ARP報文數(shù)量,防ARP泛洪攻擊IP Source
26、Guard ,配合DHCP SNOOPING,基于端口識別ARP報文是否是ARP欺騙,H3C防ARP方法,交換機(jī)防ARPARP CHECK允許合法ARP報文通過防主機(jī)欺騙和網(wǎng)關(guān)欺騙攻擊ARP DETECTION利用DHCP SNOOPING建立的ARP數(shù)據(jù)庫,過濾ARP報文防主機(jī)欺騙攻擊和網(wǎng)關(guān)欺騙攻擊限制端口ARP報文數(shù)量,防ARP泛洪攻擊核心交換機(jī)支持“授權(quán)ARP”建立不被攻擊者改動的ARP表9055/7500/
27、5600/5500/5510/5000/3600ARP源抑制限制ARP攻擊流,防泛洪攻擊ARP源地址檢查識別ARP報文是否是ARP欺騙支持“一鍵綁定”E126A/S3100/S3600/S5000/S5100,快速配置靜態(tài)ARPCAMS下傳網(wǎng)關(guān)IP+MAC綁定到客戶端在網(wǎng)關(guān)建立用戶IP+MAC的授權(quán)ARP表,神碼防ARP方法,交換機(jī)訪問管理AM類似安全地址+arp check,防欺騙主機(jī)和欺騙網(wǎng)關(guān)攻擊ARP Gu
溫馨提示
- 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
- 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
- 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
- 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
- 5. 眾賞文庫僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負(fù)責(zé)。
- 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
- 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。
最新文檔
- arp常見問題解決方案
- 問題解決方案
- coreldarw問題解決方案
- 學(xué)校問題解決方案
- 團(tuán)隊管理問題解決方案
- 冰箱常見問題解決方案
- qq語音聊天問題解決方案
- 造紙實際問題解決方案
- 學(xué)校管理中問題解決方案
- nc常用問題解決方案匯總
- 桌面安全系統(tǒng)問題解決方案
- 績效管理中的問題解決方案
- 廣聯(lián)達(dá)軟件常見問題解決方案
- 平車常見問題解決方案匯總
- 預(yù)約報賬常見問題解決方案
- 二盤區(qū)泄水巷問題解決方案
- hx1168常見使用問題解決方案
- 昆侖通態(tài)usb下載問題解決方案
- 數(shù)字電視常見問題解決方案
- 輸送帶常見問題解決方案
評論
0/150
提交評論