单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,GSN重拳出击：,ARP立体防御方案介绍,产品部 沈世海,2007年4月,GSN：ARP立体防御,ARP攻击原理与常见防御手段,1,ARP立体防御技术原理,2,实地测试效果,3,ARP立体防御技术优势总结,4,ARP欺骗攻击原理,ARP攻击原理简介,通过伪造虚假源IP、源MAC地址的ARP报文，导致网关或主机无法找到正确的通信对象。,ARP攻击利用了ARP协议本身的缺陷，在IPv4的网络大环境中难以彻底根除。,用户,攻击者,我是网关，把数据都发给我,OK，马上照办！,欺骗攻击,常见ARP攻击类型,以盗取数据为目的：ARP欺骗攻击,冒充网关欺骗主机,冒充主机欺骗网关,冒充主机欺骗其它主机,以捣乱破坏为目的：ARP泛洪攻击,攻击局域网主机,攻击网关,ARP欺骗攻击,冒充网关欺骗主机,攻击者以网关的身份伪造虚假的ARP回应报文，欺骗局域网内的其它主机,主机所有流向外网的流量全部被攻击者截取,正常用户,网关,我是网关,知道了,欺骗攻击,用户数据,攻击者,ARP欺骗攻击,冒充主机欺骗网关,攻击者以正常用户的身份伪造虚假的ARP回应报文，欺骗网关,网关发给该用户的所有数据全部被攻击者截取,正常用户,网关,我是小白,知道了,欺骗攻击,用户数据,攻击者,ARP欺骗攻击,ARP欺骗攻击行为,ARP欺骗攻击一般都会结合网关欺骗和主机欺骗两种方式，进行中间人（Man In The Middle）欺骗。,用户的所有正常流量都会被攻击者截取，导致用户重要数据被盗。,常见的有网游盗号工具、恶意木马、病毒等等,ARP泛洪攻击,捣乱破坏型：ARP泛洪攻击,攻击者伪造大量虚假源MAC和源IP信息的报文，对局域网内的所有主机和网关进行广播，干扰正常通信。,正常用户,网关,我是小白,我是网关,我是,小白在哪？,泛洪攻击,攻击者,网关在哪？,ARP欺骗攻击,ARP泛洪攻击行为,ARP泛洪攻击的对象可以是单个主机或网关，也可以是局域网所有机器。,目的在于令局域网内部的主机或网关找不到正确的通信对象，甚至用虚假地址信息直接占满网关ARP缓存空间，造成用户无法正常上网，属于损人不利己的捣乱攻击行为。,常见的有网络执法官、WinARP Attacker等等,常见防御手段,主机端静态绑定,在主机上用“arp-s”命令静态绑定正确的网关ARP信息,效果,可以防御攻击者冒充网关对主机进行欺骗的攻击行为,缺陷,每次系统重启后需要重新静态绑定,需要对每一台主机单独进行手动配置，工作量巨大且可操作性不高,只能进行主机端的防御，如果网关遭到欺骗攻击，该方法无能为力,常见防御手,段,段,网关静态绑,定,定,在网关上静,态,态绑定局域,网,网主机正确,的,的ARP信,息,息,效果,可以防御攻,击,击者冒充主,机,机对网关进,行,行欺骗的攻,击,击行为,缺陷,只能适用于,静,静态IP地,址,址的网络环,境,境,局域网主机,数,数量越多，,管,管理维护工,作,作量越大,只能进行单,向,向的被动防,御,御，不能防,止,止主机受欺,骗,骗,常见防御手,段,段,网关定期发,送,送免费ARP,网关定期向,局,局域网广播,自,自己的ARP信息，帮,助,助受欺骗攻,击,击的主机找,到,到正确的网,关,关。,效果,可以防御攻,击,击者冒充主,机,机对网关进,行,行欺骗的攻,击,击行为,缺陷,网关需要定,期,期广播免费ARP报文,，,，占用CPU资源，耗,费,费网络带宽,。,。,网关广播的,速,速度永远也,赶,赶不上欺骗,报,报文的发送,速,速度，收效,甚,甚微。,常见防御手,段,段,交换机进行ARP检查,由交换机对,接,接收到的每,一,一个ARP,报,报文进行检,查,查，发现伪,造,造虚假网关,地,地址的报文,则,则丢弃处理,。,。,效果,可以防御攻,击,击者冒充网,关,关对主机进,行,行欺骗的攻,击,击行为。,缺陷,不能防御攻,击,击者冒充主,机,机欺骗网关,或,或其它主机,的,的攻击行为,。,。,GSN：ARP立体防,御,御,ARP攻击原理与常见防御手段,1,ARP立体防御技术原理,2,实地测试效果,3,ARP立体防御技术优势总结,4,ARP立体,防,防御技术原,理,理,网关防御,接入层防御,用户端防御,三重工事，,纵,纵深防御,三重工事，,纵,纵深防御,第一重：网,关,关防御,SMP通过SAM学习,已,已通过认证,的,的合法用户,的,的IP-MAC对应关,系,系,SMP将用,户,户的ARP,信,信息通知相,应,应网关,网关生成对,应,应用户的可,信,信任ARP,表,表项,用户ARP,信,信息,RG-SMP,RG-SU,网关,S21XX,生成可信任ARP表项,：,：,用户A：MACIP,端口,用户A,三重工事，,纵,纵深防御,第一重：网,关,关防御,攻击者冒充,用,用户IP对,网,网关进行欺,骗,骗,真正的用户,已,已经在网关,的,的可信任ARP表项中,，,，欺骗行为,失,失败,RG-SMP,RG-SU,网,关,关,S21XX,攻,击,击,者,者,可,信,信,任,任ARP,表,表,项,项,：,：,用,户,户A,：,：MAC,IP,端,端,口,口,用,户,户A,我,三,重,重,工,工,事,事,，,，,纵,纵,深,深,防,防,御,御,Tips,：,：,什,什,么,么,是,是,可,可,信,信,任,任ARP,？,？,可,信,信,任,任ARP,是,是,GSN,功,功,能,能,专,专,署,署,的,的,表,表,项,项,通,过,过,联,联,动,动SMP,，,，,动,动,态,态,学,学,习,习,已,已,通,通,过,过,认,认,证,证,的,的,用,用,户,户ARP,，,，,保,保,障,障,合,合,法,法,用,用,户,户,的,的,上,上,网,网,质,质,量,量,。,。,可,信,信,任,任ARP,是,是,一,种,种,介,介,于,于,静,静,态,态,和,和,动,动,态,态ARP,之,之,间,间,的,的,地,地,址,址,表,表,项,项,与,静,静,态,态ARP,不,不,同,同,，,，,可,可,信,信,任,任ARP,也,也,有,有,老,老,化,化,机,机,制,制,，,，,过,过,期,期,自,自,动,动,删,删,除,除,；,；,可,信,信,任,任ARP,有,有,专,专,门,门,预,预,留,留,的,的,地,地,址,址,空,空,间,间,，,，,不,不,会,会,被,被,动,动,态,态ARP,所,所,修,修,改,改,。,。,能,够,够,自,自,动,动,检,检,测,测,用,用,户,户,是,是,否,否,在,在,线,线,可,信,信,任,任ARP,老,老,化,化,时,时,，,，,会,会,自,自,动,动,检,检,测,测,用,用,户,户,在,在,线,线,情,情,况,况,，,，,如,如,果,果,用,用,户,户,在,在,线,线,，,，,会,会,自,自,动,动,恢,恢,复,复,生,生,存,存,周,周,期,期,三,重,重,工,工,事,事,，,，,纵,纵,深,深,防,防,御,御,第,二,二,重,重,：,：,用,用,户,户,端,端,防,防,御,御,在SMP,上,上,设,设,置,置,网,网,关,关,的,的,正,正,确,确IP,MAC,对,对,应,应,信,信,息,息,用,户,户,认,认,证,证,通,通,过,过,，,，SMP,将,将,网,网,关,关,的,的ARP,信,信,息,息,下,下,传,传,至,至SU,SU,静,静,态,态,绑,绑,定,定,网,网,关,关,的,的ARP,RG-SMP,RG-SU,网关,S21XX,设置网,关,关ARP信息,IPMAC,网关信,息,息,下传至,用,用户,静态绑,定,定,网关ARP,三重工,事,事，纵,深,深防御,第二重,：,：用户,端,端防御,攻击者,冒,冒充网,关,关欺骗,合,合法用,户,户,用户已,经,经静态,绑,绑定网,关,关地址,，,，欺骗,攻,攻击无,效,效,RG-SMP,RG-SU,网关,S21XX,静态绑,定,定,网关ARP,我是网,关,关,三重工,事,事，纵,深,深防御,第三重,：,：交换,机,机非法,报,报文过,滤,滤,用户认,证,证通过,后,后，21交换,机,机会在,接,接入端,口,口上绑,定,定用户,的,的IP,MAC对应,信,信息。,21对,报,报文的,源,源地址,进,进行检,查,查，对,非,非法的,攻,攻击报,文,文一律,丢,丢弃处,理,理。,该操作,不,不占用,交,交换机CPU,资,资源，,直,直接由,端,端口芯,片,片处理,。,。,RG-SMP,RG-SU,网关,S21XX,绑定用,户,户的,IPMAC,信,信息,三重工,事,事，纵,深,深防御,第三重,：,：交换,机,机非法,报,报文过,滤,滤,攻击者,伪,伪造源IP和MAC,地,地址发,起,起攻击,报文不,符,符合绑,定,定规则,，,，被交,换,换机丢,弃,弃。,RG-SMP,RG-SU,网关,S21XX,静态绑,定,定,网关ARP,我是网,关,关,GSN,：,：ARP立体,防,防御,ARP攻击原理与常见防御手段,1,ARP立体防御技术原理,2,实地测试效果,3,ARP立体防御技术优势总结,4,测试方,案,案一：,模,模拟攻,击,击,测试环,境,境,某校学,生,生宿舍5号、8号楼,总人数600,人,人，高,峰,峰期在,线,线400500人,250,人,人左右,已,已升级,至,至SU3.04（支,持,持ARP防御,功,功能）,网关和SMP,都,都已启,用,用防ARP欺,骗,骗功能,测试方,案,案,从使用3.0,版,版和3.04,版,版SU,的,的主机,中,中分别,随,随机抽,取,取一台,，,，使用WinARP Attacker软件,假,假冒网,关,关对两,台,台主机,发,发起攻,击,击，通,过,过ping测,试,试验证,攻,攻击效,果,果。,模拟攻,击,击测试,将测试,用,用PC,接,接入5,号,号楼学,生,生所在,网,网段,网段地,址,址：172.22.9.0/24,网关地,址,址：172.22.9.1,模拟攻,击,击测试,确认攻,击,击目标,在线并,且,且未升,级,级SU,的,的肉鸡,：,：172.22.9.49,模拟攻,击,击测试,攻击目,标,标机器,使用WinARPAttacker,伪,伪造网,关,关对目,标,标进行,攻,攻击,模拟攻,击,击测试,验证测,试,试效果,模拟攻,击,击测试,确定对,比,比测试,目,目标,另找一,台,台已升,级,级到SU 3.04,的,的肉鸡,：,：172.22.9.25,模拟攻,击,击测试,继续对,目,目标机,器,器进行,攻,攻击,模拟攻,击,击测试,验证对,比,比测试,效,效果,百试不,爽,爽的,攻击手,段,段失效,了,了！,测试方,案,案二：,实,实地测,试,试效果,测试环,境,境,网络中,心,心机房,，,，300多台,学,学生用,机,机，病,毒,毒木马,泛,泛滥,机房老,师,师反映,网,网络频,繁,繁掉线,，,，存在,大,大量ARP攻,击,击事件,测试方,案,案,使用测,试,试主机,接,接入机,房,房网络,，,，运行ARP,防,防火墙,软,软件观,察,察网络,中,中存在,的,的ARP攻击,状,状况，,并,并在实,际,际使用,中,中观察GSN,防,防ARP攻击,功,功能启,用,用前和,启,启用后,的,的情况,实际环,境,境测试,将待测,主,主机接,入,入机房,网,网络,网段地,址,址：210.34.136.0/24,网关地,址,址：210.34.136.1,实际环,境,境测试,网络环,境,境中ARP欺,骗,骗攻击,泛,泛滥,300,多,多台学,生,生用机,缺,缺乏管,理,理，成,了,了病毒,、,、木马,的,的动物,园,园,使用ARP防,火,火墙，,在,在一分,钟,钟内便,观,观察到,海,海量攻,击,击事件,实际,环,环境,测,测试,实际,使,使用,情,情况,：,：,平均,每,每5,分,分钟,掉,掉线,一,一次,实际,环,环境,测,测试,攻击,行,行为,分,分析,本地ARP缓,存,存中,网,网关,对,对应,表,表项,信,信息,正,正确,