ARP攻击防御解决方案.pptVIP

ARP病毒工作原理 正常的局域网络运作方式 ARP病毒工作原理 有计算机感染ARP病毒后的局域网 ARP病毒检测 局域网内有ARP病毒的现象 上网时断时续, 网速变慢, 可能连内网主页也无法打开 浏览网页时出现与网页内容无关的弹出窗口 ARP检查 使用nbtscan工具, 配合arp –a 命令 ARP欺骗攻击——仿冒网关 攻击者发送伪造的网关ARP报文，欺骗同网段内的其它主机。 主机访问网关的流量，被重定向到一个错误的MAC地址，导致该用户无法正常访问外网。 ARP欺骗攻击——欺骗网关 攻击者伪造虚假的ARP报文，欺骗网关 网关发给该用户的所有数据全部重定向到一个错误的MAC地址，导致该用户无法正常访问外网 ARP欺骗攻击——欺骗终端用户 攻击者伪造虚假的ARP报文，欺骗相同网段内的其他主机。 网段内的其他主机发给该用户的所有数据都被重定向到错误的MAC地址，同网段内的用户无法正常互访。 ARP泛洪攻击 攻击者伪造大量不同ARP报文在同网段内进行广播，导致网关ARP表项被占满，合法用户的ARP表项无法正常学习，导致合法用户无法正常访问外网 ARP攻击防御的三个控制点 DHCP Snooping模式 方案适合场景 全网采用动态分配IP地址方式 接入交换机采用H3C支持DHCP Snooping的产品，比如E126A，E152 解决方案 第一步：接入交换机通过DHCP Snoopin