ARP攻击防御解决方案.ppt

1、ARPARP攻击分析攻击分析ARPARP攻击防御解决方案攻击防御解决方案ARP病毒工作原理病毒工作原理l正常的局域网络运作方式校园网校园网网关网关个人计算机个人计算机个人计算机个人计算机个人计算机个人计算机个人计算机个人计算机ARP病毒工作原理病毒工作原理l有计算机感染ARP病毒后的局域网校园网校园网网关网关个人计算机个人计算机个人计算机个人计算机个人计算机个人计算机感染病毒的个人计算机感染病毒的个人计算机病毒在局域网中向正常的计算机发送伪造的网关ARP信息,使得其它计算机将它当成网关进行数据通信,从而窃取其它用户个人信息,账号密码等数据资料,或者在用户浏览的网页中插入恶意代码.由于部分ARP

2、病毒编写人员的水平有限,病毒工作不正常时就导致其它计算机不能正常使用或完全无法使用网络.ARP病毒检测病毒检测l局域网内有ARP病毒的现象上网时断时续,网速变慢,可能连内网主页也无法打开浏览网页时出现与网页内容无关的弹出窗口lARP检查使用nbtscan工具,配合arp a 命令ARP协议介绍协议介绍p ARPAddress Resolution Protocol地址解释协议帧类型0 x0806ARP欺骗都是通过填写错误的源MAC-IP对应关系来实现的ARPARP攻击利用攻击利用ARPARP协议本身的缺陷来实现！协议本身的缺陷来实现！可以利用帧类型来识别ARP报文ARP欺骗攻击欺骗攻击仿冒网关

3、仿冒网关p攻击者发送伪造的网关ARP报文，欺骗同网段内的其它主机。p主机访问网关的流量，被重定向到一个错误的MAC地址，导致该用户无法正常访问外网。正常用户A网关G网关MAC更新了已更新发送伪造ARP信息攻击者BIP Address GMAC G1.1.1.11-1-1IP AddressMACType1.1.1.1(网关网关)1-1-1DynamicIP AddressMACType1.1.1.1（网关）（网关）2-2-2Dynamic目的目的MAC源源MAC2-2-23-3-3IP Address AMAC A1.1.1.53-3-3IP Address BMAC B1.1.1.205-5

4、5网关的网关的 MAC is 2-2-2ARP表项更新为数据流被中断这种攻击为这种攻击为ARPARP攻击中最为常见的攻击中最为常见的攻击攻击ARP欺骗攻击欺骗攻击欺骗网关欺骗网关p攻击者伪造虚假的ARP报文，欺骗网关p网关发给该用户的所有数据全部重定向到一个错误的MAC地址，导致该用户无法正常访问外网正常用户A网关G用户A的MAC更新了已更新发送伪造ARP信息攻击者BIP Address GMAC G1.1.1.11-1-1IP AddressMACType1.1.1.53-3-3DynamicIP AddressMACType1.1.1.52-2-2Dynamic目的目的MAC源源MAC2

5、2-21-1-1IP Address AMAC A1.1.1.53-3-3IP Address BMAC B1.1.1.205-5-5用户用户A的的MAC is 2-2-2ARP表项更新为数据流被中断ARP欺骗攻击欺骗攻击欺骗终端用户欺骗终端用户p攻击者伪造虚假的ARP报文，欺骗相同网段内的其他主机。p网段内的其他主机发给该用户的所有数据都被重定向到错误的MAC地址，同网段内的用户无法正常互访。正常用户A网关G用户C的MAC更新了知道了发送伪造ARP信息攻击者BIP Address GMAC G1.1.1.11-1-1IP AddressMACType1.1.1.19-9-9DynamicI

6、P AddressMACType1.1.1.12-2-2Dynamic目的目的MAC源源MAC2-2-23-3-3IP Address AMAC A1.1.1.53-3-3IP Address BMAC B1.1.1.205-5-5IP Address CMAC C1.1.1.89-9-9用户用户C的的MAC is 2-2-2ARP表项更新为数据流被中断ARP泛洪攻击泛洪攻击p攻击者伪造大量不同ARP报文在同网段内进行广播，导致网关ARP表项被占满，合法用户的ARP表项无法正常学习，导致合法用户无法正常访问外网正常用户A网关G用户A、A1、A2、A3的MAC更新了已更新发送大量伪造ARP信息攻

7、击者BIP Address GMAC G1.1.0.11-1-1IP AddressMACType1.1.0.22-2-2Dynamic1.1.0.32-2-3Dynamic1.1.0.42-2-4Dynamic1.1.0.52-2-5Dynamic1.1.0.62-2-6Dynamic.DynamicIP Address AMAC A1.1.1.1033-3-31.1.0.2 MAC is 2-2-2ARP表项被占满ARP表项无法学习IP Address BMAC B1.1.1.205-5-51.1.0.3 MAC is 2-2-31.1.0.4 MAC is 2-2-41.1.1.103

8、MAC is 3-3-3ARP攻击防御的三个控制点攻击防御的三个控制点网关G用户接入设备n 网关防御网关防御n 合法ARP绑定，防御网关被欺骗n ARP数量限制，防御ARP泛洪攻击1n 接入设备防御接入设备防御n 网关IP/MAC绑定，过滤掉仿冒网关的报文n 合法用户IP/MAC绑定，过滤掉终端仿冒报文n ARP限速2n 客户端防御客户端防御n 绑定网关信息3防御防御ARP攻击的关键攻击的关键2利用合法IPMAC对应关系防止非法ARP报文对终端和网关欺骗获取合法用户的IPMAC对应关系1H3C ARP防范方案防范方案DHCP DHCP 监控模式监控模式p监控DHCP交互报文获取合法用户的IP-

9、MAC-port关系p在接入交换机上绑定，实现对ARP报文的检查，过滤掉所有非法报文。网关接入设备接入设备DHCPDHCP响应响应DHCP请求请求终端终端监控监控DHCP报文实现用户的报文实现用户的IP和和MAC绑定绑定配置实现网关的配置实现网关的IP和和MAC绑绑定定ARP限速限速DHCP Snooping模式模式方案适合场景p全网采用动态分配IP地址方式p接入交换机采用H3C支持DHCP Snooping的产品，比如E126A，E152解决方案p第一步：接入交换机通过DHCP Snooping监控用户动态申请IP的过程，获取用户的IP-MAC对应关系p第二步：接入交换机将用户的IP-MAC

10、PORT对应关系进行绑定。接入交换机形成保护屏障，过滤掉所有ARP攻击报文。配置命令配置命令全局模式：dhcpsnooping（全局开关）VLAN模式：ARP detection enable：（使能ARP detection enable检测，限制ARP报文数量）上行接口：ARP detection trust（将上行口配置为信任接口不检查ARP）H3C ARP防范方案防范方案认证模式认证模式p利用认证客户端在终端上绑定网关ARP表项。网关接入设备接入设备CAMS终端终端监控认证报文实现用户的监控认证报文实现用户的IP和和MAC绑定绑定配置实现网关的配置实现网关的IP和和MAC绑绑定定AR

11、P线速线速CAMS下发实现用户和重下发实现用户和重要服务器的要服务器的IP和和MAC绑定绑定CAMS下发实现网关的下发实现网关的IP和和MAC绑定绑定网关防网关防御御接入设备防接入设备防御御客户端防御客户端防御认证绑定认证绑定 Vs.DHCP SNOOPINGp 对网络设备的依赖小，对接入交换机和网关的绑定可以根据网络状况分别使用。p 适应静态IP地址的环境使用，适合目前多数现状。认证绑认证绑定模式定模式DHCP DHCP SNOOPINGSNOOPING模式模式优点优点局限性局限性p需要安装客户端p需要采用H3C认证方式p可以保证网络无非法ARP报文传播，从根本防御ARP攻击p 纯网络层面实

12、现，不需要用户安装客户端。对用户应用没有影响p要求用户采用DHCP动态获取IP的方式p以过滤非法报文为防御措施，要求同网段全网部署p 对接入交换机的型号、版本有很强的依赖优点优点局限性局限性网关S3600-28P-EIDHCPDHCP响应响应DHCP请求请求终端终端监控监控DHCP报文实现用户的报文实现用户的IP和和MAC绑定绑定配置实现网关的配置实现网关的IP和和MAC绑绑定定ARP限速限速 东北大学宿舍网东北大学宿舍网S3600-28P-EIH3C ARP防御案例防御案例网络已经运行一段时间，老师反映效果非常好，经网络已经运行一段时间，老师反映效果非常好，经过改造的网络没有再次出现因为过改

13、造的网络没有再次出现因为ARP病毒导致无法病毒导致无法上网的问题。上网的问题。网关S3900-EI/SI/E026DHCPDHCP响应响应DHCP请求请求终端终端监控监控DHCP报文实现用户的报文实现用户的IP和和MAC绑定绑定配置实现网关的配置实现网关的IP和和MAC绑绑定定ARP限速限速 南京师范大学园区网南京师范大学园区网H3C ARP防御案例防御案例S3900-EI/SI/E026ARP病毒自我防护病毒自我防护l编辑批处理文件myarp.bat,l 建立快键方式放到启动组中l或安装ARP病毒防火墙echo off:Find Local Macif exist ipconfig.txt

14、del ipconfig.txtipconfig/all ipconfig.txtif exist LocalMac.txt del LocalMac.txtfind Physical Address ipconfig.txt LocalMac.txtfor/f skip=2 tokens=12%M in(LocalMac.txt)do set LocalMac=%M:Find Local IPif exist LocalIP.txt del LocalIP.txtfind IP Address ipconfig.txt LocalIP.txtfor/f skip=2 tokens=15%I

15、in(LocalIP.txt)do set LocalIP=%I:Find Gateway IPif exist GatewayIP.txt del GatewayIP.txtfind Default Gateway ipconfig.txt GatewayIP.txtfor/f skip=2 tokens=13%G in(GatewayIP.txt)do set GatewayIP=%G:Find Gateway Macif exist GatewayMac.txt del GatewayMac.txtarp-dping-n 1%GatewayIP%arp-a%GatewayIP%Gatew

16、ayMac.txtfor/f skip=3 tokens=2%H in(GatewayMac.txt)do set GatewayMac=%H:Bind Gateway IP&Macarp-s%LocalIP%LocalMac%arp-s%GatewayIP%GatewayMac%exitSymantec Endpoint ProtectionSymantec Endpoint ProtectionlSymantec Endpoint Protection 提供了高级威胁防护功能，可保护您的端点（笔记本电脑、台式计算机和服务器）不受已知威胁和未知威胁的攻击。lSymantec Endpoint

17、 Protection 可防范恶意软件，如病毒、蠕虫、特洛伊木马、间谍软件和广告软件。它甚至可防范能避开传统安全措施的最复杂的攻击，如 Rootkit、零时差攻击和变种的间谍软件。lSymantec Endpoint Protection 为您的端点计算设备提供了多层防护。Symantec端点安全解决方案端点安全解决方案反间谍软件客户防火墙O/S 保护防反堆栈溢出主机IPS外设控制防病毒网络IPS策略符合性检查和自动修复保护技术保护技术数据和文件系统网络连接操作系统内存/程序应用软件蠕虫、探寻和攻击病毒、特洛伊木马、恶意软件和间谍软件恶意软件、Rootkits、零日漏洞缓冲溢出攻击、程序注入、

18、按键记录零日攻击、恶意软件、特洛伊木马、应用程序注入I/O 设备Slurping、IP 窃取、恶意软件行为保护对象保护对象威胁威胁移动终端、非法接入、外设管理、外联管理、行为监控赛门铁克企业保护赛门铁克企业保护SEP赛门铁克防病毒赛门铁克防病毒SAV赛门铁克网络准入控制赛门铁克网络准入控制SNAC赛门铁克解决方案赛门铁克解决方案统一端点安全管理SPMSymantec Endpoint ProtectionSymantec Endpoint Protectionl及时进行系统补丁更新l每日升级病毒库l邮件的附件,QQ或MSN上传递的文件先杀毒再打开l移动存储如U盘,MP3,MP4等使用前先扫描病毒l浏览网页时不要随便安装Active插件l定期对硬盘进行全盘扫描,查杀病毒l不要轻易点击网页上及弹出窗口的中奖广告客户端安全：客户端安全：