一区二区三区日韩精品-日韩经典一区二区三区-五月激情综合丁香婷婷-欧美精品中文字幕专区

分享

H3C助您全面防御ARP欺騙攻擊 1 ARP欺騙攻擊的危害性 當(dāng)您的計算機(jī)網(wǎng)絡(luò)連接正常,卻無法打開網(wǎng)頁;當(dāng)您的計算機(jī)網(wǎng)絡(luò)出現(xiàn)頻繁斷線,同時網(wǎng)速變得非常慢。這些都可能是由于存在ARP

 tcwl123 2012-11-06

H3C助您全面防御ARP欺騙攻擊

1           ARP欺騙攻擊的危害性

當(dāng)您的計算機(jī)網(wǎng)絡(luò)連接正常,卻無法打開網(wǎng)頁;當(dāng)您的計算機(jī)網(wǎng)絡(luò)出現(xiàn)頻繁斷線,同時網(wǎng)速變得非常慢。這些都可能是由于存在ARP欺騙攻擊及ARP中毒,所表現(xiàn)出來的網(wǎng)絡(luò)故障情況。

ARP欺騙攻擊不僅導(dǎo)致校園網(wǎng)不穩(wěn)定,極大影響數(shù)字校園業(yè)務(wù)的正常運(yùn)行,更嚴(yán)重的是利用ARP欺騙攻擊可進(jìn)一步實(shí)施中間人攻擊和網(wǎng)關(guān)仿冒攻擊。如果校園網(wǎng)內(nèi)某臺主機(jī)運(yùn)行ARP欺騙的木馬程序時,會欺騙局域網(wǎng)內(nèi)所有主機(jī)和網(wǎng)關(guān),讓所有網(wǎng)絡(luò)流量都經(jīng)過攻擊者主機(jī)進(jìn)行轉(zhuǎn)發(fā),攻擊者通過截獲的信息可得到游戲、網(wǎng)銀、文件服務(wù)等系統(tǒng)的用戶名和口令,這種攻擊行為就稱為中間人攻擊。這樣,雙方看似“直接”的通信連接,實(shí)際上都是通過黑客所在的主機(jī)間接進(jìn)行的。由此可見,中間人攻擊是一種非常惡劣的網(wǎng)絡(luò)惡意攻擊行為。而ARP仿冒網(wǎng)關(guān),攻擊者冒充網(wǎng)關(guān)發(fā)送免費(fèi)ARP,其它同一網(wǎng)絡(luò)內(nèi)的用戶收到后,更新自己的ARP表項(xiàng),后續(xù),受攻擊用戶發(fā)往網(wǎng)關(guān)的流量都會發(fā)往攻擊者。此攻擊導(dǎo)致用戶無法正常和網(wǎng)關(guān)通信。而攻擊者可以憑借此攻擊而獨(dú)占上行帶寬。

為什么殺毒軟件、防火墻都擋不住ARP 欺騙攻擊呢?主要由于ARP欺騙攻擊的木馬程序,通常會偽裝成常用軟件的一部分被下載并被激活,或者作為網(wǎng)頁的一部分自動傳送到瀏覽者的電腦上并被激活,或者通過U盤、移動硬盤等方式進(jìn)入網(wǎng)絡(luò)。由于木馬程序的形態(tài)特征都在不斷變化和升級,殺毒軟件常常會失去作用。

2           ARP欺騙攻擊的原理

局域網(wǎng)上的一臺主機(jī),如果接收到一個ARP報文,即使該報文不是該主機(jī)所發(fā)送的ARP請求的應(yīng)答報文,該主機(jī)也會將ARP報文中的發(fā)送者的MAC地址和IP地址更新或加入到ARP表中。

1-1 以太網(wǎng)ARP協(xié)議報文結(jié)構(gòu)

ARP欺騙攻擊就利用了這點(diǎn),攻擊者主動發(fā)送ARP報文,發(fā)送者的MAC地址為攻擊者主機(jī)的MAC地址,發(fā)送者的IP地址為被攻擊主機(jī)的IP地址。通過不斷發(fā)送這些偽造的ARP報文,讓局域網(wǎng)上所有的主機(jī)和網(wǎng)關(guān)ARP表,其對應(yīng)的MAC地址均為攻擊者的MAC地址,這樣所有的網(wǎng)絡(luò)流量都會發(fā)送給攻擊者主機(jī)。由于ARP欺騙攻擊導(dǎo)致了主機(jī)和網(wǎng)關(guān)的ARP表的不正確,這種情況我們也稱為ARP中毒。

1-2 ARP欺騙攻擊是如此簡單

 

由于ARP中毒后,所有的流量都需要經(jīng)過攻擊者進(jìn)行轉(zhuǎn)發(fā)。如果攻擊者具有轉(zhuǎn)發(fā)能力,在攻擊開始和攻擊結(jié)束是都會引發(fā)一次網(wǎng)絡(luò)中斷,攻擊過程中網(wǎng)絡(luò)速度變慢,網(wǎng)速變慢原因跟發(fā)送大量的ARP流量消耗了帶寬以及其本身處理能力有限有很大關(guān)系;如果攻擊者不具有轉(zhuǎn)發(fā)能力,網(wǎng)絡(luò)出現(xiàn)傳輸中斷,直到攻擊停止及ARP表恢復(fù)正常。

3           H3C助您全面防御ARP欺騙攻擊

由于ARP欺騙攻擊,利用了ARP協(xié)議的設(shè)計缺陷,光靠包過濾、IP+MAC+端口綁定等傳統(tǒng)辦法是比較難解決的。

通過對ARP欺騙攻擊原理的剖析,如果要防御該類型攻擊,最理想的辦法是在接入層對ARP報文進(jìn)行內(nèi)容有效性檢查,對于沒有通過檢查的報文進(jìn)行丟棄處理。在接入層交換機(jī)上采取的這種技術(shù),我們稱為ARP入侵檢測。

在網(wǎng)絡(luò)實(shí)際部署中,有時候不能在所有的接入層部署ARP入侵檢測。為了防止出現(xiàn)ARP中毒引起的中間人攻擊,最好在網(wǎng)絡(luò)核心交換機(jī)或者匯聚三層交換機(jī)上部署ARP欺騙防御策略。ARP欺騙防御可以避免網(wǎng)關(guān)設(shè)備的ARP表被攻擊者非法改寫。

對于不能在全網(wǎng)接入交換機(jī)部署ARP入侵檢測的網(wǎng)絡(luò),不能單純靠網(wǎng)絡(luò)設(shè)備進(jìn)行ARP欺騙攻擊防御。因?yàn)椴还苁茿RP入侵檢測,還是ARP欺騙防御,都不能防止終端主機(jī)受到ARP中毒攻擊,也不能對發(fā)起ARP欺騙攻擊的終端PC進(jìn)行強(qiáng)制下線懲罰。因此對于不能在全網(wǎng)接入交換機(jī)部署ARP入侵檢測的情況,還需要通過部署端點(diǎn)準(zhǔn)入系統(tǒng)或者安全接入認(rèn)證系統(tǒng)(CAMS/EAD系統(tǒng)),進(jìn)一步加強(qiáng)ARP欺騙攻擊的控制和管理。

根據(jù)客戶實(shí)際的網(wǎng)絡(luò)環(huán)境,H3C結(jié)合接入交換機(jī)、核心交換機(jī)、CAMS/EAD系統(tǒng)的ARP欺騙攻擊特性,可以為您部署全面的ARP欺騙攻擊防御方案。以下就從這三個方面描述H3C如何能做到有效防御ARP欺騙攻擊的。

3.1       接入層交換機(jī)部署ARP入侵檢測

交換機(jī)要防御ARP攻擊,就必須能夠識別并讀取ARP報文內(nèi)容,然后根據(jù)報文內(nèi)容判斷是否存在欺騙攻擊行為,對于ARP欺騙報文進(jìn)行丟棄處理。

在接入層就是利用接入交換機(jī)的ARP入侵檢測(ARP Intrusion Inspection)功能,進(jìn)行ARP欺騙攻擊防御。

1--3 接入交換機(jī)部署ARP入侵檢測

 

ARP入侵檢測在接入交換機(jī)進(jìn)行部署,接入交換機(jī)同時啟用DHCP Snooping對DHCP報文進(jìn)行監(jiān)測。DHCP Snooping通過監(jiān)測DHCP報文記錄了用戶的IP/MAC/VLAN/PORT等信息,并形成一個DHCP Snooping綁定表。交換機(jī)端口接收到的ARP報文后,通過查找DHCP Snooping建立的綁定關(guān)系表,來判斷ARP應(yīng)答報文的發(fā)送者源IP、源MAC是否合法。若ARP報文中的發(fā)送者源MAC、IP匹配綁定表中的內(nèi)容,則認(rèn)為是合法的報文,允許通過;否則認(rèn)為是欺騙攻擊報文,就進(jìn)行丟棄。

ARP入侵檢測能夠防止接入終端發(fā)起任何ARP欺騙攻擊,如果全網(wǎng)部署AII功能,可有效解決ARP欺騙攻擊問題。

另外由于ARP欺騙攻擊,經(jīng)常伴隨者發(fā)送大量的ARP報文,消耗網(wǎng)絡(luò)帶寬資源和交換機(jī)CPU資源,造成網(wǎng)絡(luò)速度的速度降低。因此接入交換機(jī)還需要部署ARP報文限速,對每個端口單位時間內(nèi)接收到的ARP報文進(jìn)行限制,很好地保障了網(wǎng)絡(luò)帶寬資源和交換機(jī)CPU資源。

3.2       核心交換機(jī)部署ARP欺騙防御

如果網(wǎng)絡(luò)中的某臺接入層交換機(jī)沒有部署ARP入侵檢測,ARP欺騙攻擊就會在該交換機(jī)所屬的一個廣播域內(nèi)得逞,這樣在局部范圍內(nèi)會發(fā)生ARP中毒行為,甚至可能會引起中間人攻擊。

為了防止因ARP欺騙而發(fā)生的中間人攻擊行為,需要在網(wǎng)絡(luò)核心交換機(jī)交換機(jī)上部署ARP欺騙防御技術(shù)。ARP欺騙防御可以避免網(wǎng)關(guān)設(shè)備的ARP表被攻擊者非法改寫,既避免網(wǎng)關(guān)設(shè)備發(fā)生ARP中毒情況。

這樣只要終端PC沒有發(fā)生ARP中毒,網(wǎng)絡(luò)通訊就可以正常進(jìn)行;如果終端PC發(fā)生ARP中毒,其ARP表中的網(wǎng)關(guān)IP地址所對應(yīng)的MAC地址被惡意修改,終端PC的網(wǎng)絡(luò)通信就會受到嚴(yán)重影響。

1--4 核心/匯聚交換機(jī)部署ARP欺騙防御

 

核心/匯聚交換機(jī)有多種手段可以防御ARP欺騙攻擊。目前可以支持三種方式:

1)       第一種為固定MAC地址方法,對于動態(tài)ARP第一次學(xué)習(xí)到后就不允許再通過ARP學(xué)習(xí)對MAC地址進(jìn)行修改,只有等ARP老化后才允許學(xué)習(xí)新的MAC;

2)       第二種為多元素固定法,對于動態(tài)ARP學(xué)習(xí)和已解析的短靜態(tài)ARP的MAC地址及其對應(yīng)的端口、VLAN都不允許修改,只有等ARP老化后才允許學(xué)習(xí)新的MAC;

3)       主動確認(rèn)方法:啟用主動確認(rèn)方式防攻擊時,在收到涉及MAC地址變化的ARP報文時,不對此ARP直接進(jìn)行修改,而是先對原ARP表項(xiàng)對應(yīng)用戶發(fā)一個單播確認(rèn),如果收到應(yīng)答報文,則不允許修改ARP表;如果一定時間內(nèi)沒有收到應(yīng)答報文,則對新用戶發(fā)起一個單播請求,收到應(yīng)答后才允許修改ARP表。

如圖1-4所示,攻擊者試圖欺騙網(wǎng)關(guān),告訴網(wǎng)關(guān)用戶C的MAC地址應(yīng)該是攻擊者的MAC地址。由于啟用網(wǎng)關(guān)了ARP欺騙防御技術(shù),有效避免了網(wǎng)關(guān)ARP表中用戶C的ARP表項(xiàng)被非法修改。

對于前兩種ARP欺騙攻擊防御辦法,比較適用于IP地址、MAC地址、端口、VLAN都相對穩(wěn)定的情況,比如核心交換機(jī)只直接連接服務(wù)器,在核心交換機(jī)上啟用這種固定MAC方式防止ARP欺騙攻擊還是非常有效的。當(dāng)然如果服務(wù)器比較少時,采用靜態(tài)ARP也是一種不錯的選擇。

主動確認(rèn)方法,使用起來比較靈活,不會給攻擊者進(jìn)行ARP欺騙的機(jī)會。ARP欺騙攻擊的攻擊者要想欺騙網(wǎng)關(guān),他就是某臺正常上網(wǎng)的終端PC是不可能的,因?yàn)閱尾ゴ_認(rèn)報文會根據(jù)交換機(jī)的正確的MAC表轉(zhuǎn)發(fā)到正確的終端PC那里,這樣就很輕易地揭穿了騙局。

同樣為了防止大量的ARP報文形成對交換機(jī)的沖擊,核心交換機(jī)還需要能夠檢測ARP協(xié)議報文的攻擊行為,并對該攻擊源進(jìn)行屏蔽。

3.3       部署CAMS/EAD防御ARP欺騙攻擊

從以上的闡述種,我們知道不管是接入層交換機(jī)的ARP 入侵檢測,還是核心/匯聚交換機(jī)的ARP欺騙防御,都不能避免其所連接的終端PC受到來自無任何限制的主機(jī)的ARP攻擊。

這種情況經(jīng)常發(fā)生以下前提下,如果網(wǎng)絡(luò)中有一個網(wǎng)段,其網(wǎng)段上的終端PC有部分沒有直接連接到部署有ARP入侵檢測的接入交換機(jī)上,那么這個網(wǎng)段上的PC就有可能受到ARP欺騙攻擊,即使哪些連接在部署有ARP入侵檢測的接入交換機(jī)上的終端PC也不能避免。

因此當(dāng)我們的網(wǎng)絡(luò)中如果因各種原因不能在全網(wǎng)接入交換機(jī)上部署ARP入侵檢測時,要想有效防御ARP欺騙攻擊,還需要通過部署端點(diǎn)準(zhǔn)入系統(tǒng)或者安全接入認(rèn)證系統(tǒng)(CAMS/EAD系統(tǒng)),進(jìn)一步加強(qiáng)ARP欺騙攻擊的控制和管理。

CAMS/EAD系統(tǒng)在防御ARP欺騙攻擊上,主要實(shí)現(xiàn)了兩點(diǎn)功能:

1)  解決了防止終端PC受到ARP欺騙攻擊的問題;

2)  防止終端PC發(fā)送大量廣播報文影響網(wǎng)絡(luò)性能或發(fā)起ARP 欺騙攻擊。

 

1-4部署CAMS/EAD防御ARP欺騙攻擊

 

通過部署CAMS/EAD系統(tǒng),CAMS/EAD服務(wù)端給客戶端下發(fā)需要保護(hù)的ARP列表內(nèi)容,特別是網(wǎng)關(guān)的IP地址和MAC地址對應(yīng)表。CAMS/EAD客戶端接收到下發(fā)的ARP列表內(nèi)容,執(zhí)行ARP靜態(tài)綁定,這樣在受到ARP欺騙攻擊時,客戶端仍然可訪問網(wǎng)絡(luò)。

另外,CAMS/EAD客戶端還可以檢測異常流量,如果發(fā)生ARP欺騙攻擊行為,也會產(chǎn)生大量的廣播報文,客戶端會將該類型報文也當(dāng)作異常流量。當(dāng)檢測到異常流量時,客戶端會上報給服務(wù)端,然后服務(wù)端對發(fā)送異常流量的終端進(jìn)行強(qiáng)制下線處理。

那么CAMS/EAD系統(tǒng)是否可以獨(dú)自承擔(dān)ARP欺騙攻擊防御任務(wù)呢?答案是否定的。首先CAMS/EAD系統(tǒng)只能解決終端PC在受到ARP欺騙攻擊時,其ARP表中的靜態(tài)ARP表項(xiàng)不受影響。CAMS/EAD系統(tǒng)不能防止客戶端發(fā)起ARP欺騙攻擊,因?yàn)榈瓤蛻舳藱z測異常流量行為時,ARP欺騙攻擊行為已經(jīng)發(fā)生,這是網(wǎng)關(guān)、其它PC都可能已經(jīng)受到攻擊影響了。

因此CAMS/EAD系統(tǒng)防ARP欺騙攻擊,需要跟交換機(jī)配合,才能真正達(dá)到防御效果。

3.4       如何選擇您的ARP欺騙攻擊防御組合?

以上三種ARP欺騙攻擊防御手段,可根據(jù)實(shí)際的網(wǎng)絡(luò)環(huán)境進(jìn)行靈活組合。下面一張表格,根據(jù)不同的網(wǎng)絡(luò)部署現(xiàn)狀,給出了ARP欺騙攻擊防御方案的部署建議。

網(wǎng)絡(luò)部署現(xiàn)狀

必選部署

可選部署

所有接入交換機(jī)都支持ARP入侵檢測

1)  接入交換機(jī)部署AII;

2)  核心交換機(jī)需要部署ASD;

3)  服務(wù)器設(shè)置網(wǎng)關(guān)的靜態(tài)ARP。

CAMS/EAD系統(tǒng)

部分接入交換機(jī)支持ARP入侵檢測

1)       部分接入交換機(jī)部署AII;

2)       核心交換機(jī)需要部署ASD;

3)       服務(wù)器設(shè)置網(wǎng)關(guān)的靜態(tài)ARP;

4)       CAMS/EAD系統(tǒng)。

 

沒有接入交換機(jī)支持ARP入侵檢測

1)       核心交換機(jī)需要部署ASD;

2)       服務(wù)器設(shè)置網(wǎng)關(guān)的靜態(tài)ARP。

3)       CAMS/EAD系統(tǒng)。

 

備注: AII - ARP入侵檢測;ASD - ARP欺騙防御

    本站是提供個人知識管理的網(wǎng)絡(luò)存儲空間,所有內(nèi)容均由用戶發(fā)布,不代表本站觀點(diǎn)。請注意甄別內(nèi)容中的聯(lián)系方式、誘導(dǎo)購買等信息,謹(jǐn)防詐騙。如發(fā)現(xiàn)有害或侵權(quán)內(nèi)容,請點(diǎn)擊一鍵舉報。
    轉(zhuǎn)藏 分享 獻(xiàn)花(0

    0條評論

    發(fā)表

    請遵守用戶 評論公約

    類似文章 更多

    亚洲免费黄色高清在线观看| 亚洲一区二区亚洲日本| 免费精品一区二区三区| 国产小青蛙全集免费看| 欧美韩日在线观看一区| 嫩呦国产一区二区三区av| 国产精品午夜一区二区三区| 成人精品一区二区三区综合| 美国黑人一级黄色大片| 天堂热东京热男人天堂| 九九热国产这里只有精品| 午夜福利视频六七十路熟女| 中文字幕一区二区三区中文| 国产精品免费不卡视频| 免费黄色一区二区三区| 亚洲欧美日韩网友自拍| 日韩精品一区二区毛片| 国产偷拍盗摄一区二区| 美女露小粉嫩91精品久久久| 国产在线不卡中文字幕| 国产传媒高清视频在线| 亚洲中文字幕在线视频频道| 日本午夜精品视频在线观看| 欧美日韩精品人妻二区三区| 亚洲天堂有码中文字幕视频| 精品精品国产欧美在线| 亚洲熟妇av一区二区三区色堂| 国产麻豆一区二区三区在| 99热九九在线中文字幕| 性欧美唯美尤物另类视频 | 欧美日本亚欧在线观看| 午夜直播免费福利平台| 不卡视频免费一区二区三区| 中字幕一区二区三区久久蜜桃| 亚洲视频一区二区久久久| 五月天婷亚洲天婷综合网| 高清不卡视频在线观看| 国产又色又粗又黄又爽| 激情偷拍一区二区三区视频| 欧美自拍偷自拍亚洲精品| 国内精品伊人久久久av高清|