姜开达,上海交通大学校园网近期ARP欺骗分析与控制.pdfVIP

上海交通大学校园网 近期ARP欺骗分析与控制 网络信息中心: 姜开达 2008年4月1日 ARP欺骗引起网络用户抱怨 Shanghai Jiao Tong University Shanghai Jiao Tong University ARP欺骗的发现与分析 • 长期全面监测 • 深入一线分析 针对性确定控制策略 • 黑洞路由控制 • 访问控制列表、防火墙 • TCP劫持，DNS欺骗 Shanghai Jiao Tong University 扫描器获取三层交换机ARP信息 智能分析出ARP欺骗主机 Shanghai Jiao Tong University 自动采取措施（1） Shanghai Jiao Tong University 对用户在线告警 • 利用TCP劫持来实现网页重定向 • 用户端浏览器弹出告警网页 Shanghai Jiao Tong University Shanghai Jiao Tong University 相关背景文章 自动采取措施（2 ） Shanghai Jiao Tong University 用户离线隔离 • 在接入层交换机上操作 • 不同类型交换机开发不同的接口 • SNMP等操作自动关闭对应接入交换机端口 Shanghai Jiao Tong University 大规模爆发ARP欺骗的控制 近期磁碟机(DiskGen)病毒大面积爆发，这种 病毒会利用ARP欺骗技术来进行传播。 三月初校内有ARP欺骗现象的电脑90 ％以上 都伴随有磁碟机病毒的影子。 更详细的磁碟机病毒分析请Google获取。 Shanghai Jiao Tong University 磁碟机病毒的实时监测 Shanghai Jiao Tong University 域名的解析结果可能会改变 2008-3-19 17:43:33 04 /r.htm 2008-3-24 21:56:03 33 /r.htm 2008-3-19 15:05:33 43 /go.asp 2008-3-22 20:05:20 54 /go.asp 2008-3-25 8:16:24 33 /go.asp Shanghai Jiao Tong University 控制磁碟机病毒爆发思路 核心或边界路由器、防火墙上直接封掉 ip route /24 null0 （需要人工频繁干预） 通过动态路由协议在其他位置进行控制 • Linux ＋ Zebra 软件路由器 • 使用脚本定时动态解析域名 • 自动生成 相关路由 命令 降低人工干预频率 间 路 时 思 象 现 日 5 1 月