精品IT解決方案ARP攻击防御解决方案.pptVIP

胶片说明 本胶片适合公司内部培训和外部交流使用。 本胶片的解决方案现H3C全部可以实现： －DHCP SNOOPING －CAMS+iNode配合进行客户端绑定，和接入设备弱相关。 我司的解决方案不仅限于这两种方式，其他方案后续推出，如有需求可以和网络产品部解决方案沟通。 ARP欺骗攻击——仿冒网关 攻击者发送伪造的网关ARP报文，欺骗同网段内的其它主机。 主机访问网关的流量，被重定向到一个错误的MAC地址，导致该用户无法正常访问外网。 ARP欺骗攻击——欺骗网关 攻击者伪造虚假的ARP报文，欺骗网关 网关发给该用户的所有数据全部重定向到一个错误的MAC地址，导致该用户无法正常访问外网 ARP欺骗攻击——欺骗终端用户 攻击者伪造虚假的ARP报文，欺骗相同网段内的其他主机。 网段内的其他主机发给该用户的所有数据都被重定向到错误的MAC地址，同网段内的用户无法正常互访。 ARP泛洪攻击 攻击者伪造大量不同ARP报文在同网段内进行广播，导致网关ARP表项被占满，合法用户的ARP表项无法正常学习，导致合法用户无法正常访问外网 ARP攻击防御的三个控制点 校园网ARP攻击分析 DHCP Snooping模式 方案适合场景 全网采用动态分配IP地址方式 接入交换机采用H3C支持DHCP Snooping的产品，比如E126A，E152 解决方案 第一步：接入交换机通过DHCP Snooping监控用户动态申请IP的过程，获取用户的IP-MAC对应关系 第二步：接入交换机将用户的IP-MAC-PORT对应关系进行绑定。接入交换机形成保护屏障，过滤掉所有ARP攻击报文。 方案适合场景 网络配置H3C CAMS和iNODE客户端。 解决方案 第一步：在H3C CAMS配置网关的IP-MAC绑定关系 第二步：把IP-MAC对应关系下发给iNODE客户端绑定 问题分析 此方案适合只能解决仿冒网关，无法解决客户端之间的欺骗（这种攻击的几率较小）。 认证模式之客户端绑定实现过程（一） 认证模式之客户端绑定实现过程（二） 认证模式之客户端绑定实现过程（三） 认证绑定 Vs. DHCP SNOOPING “全面防御，模块定制” H3C ARP防御解决方案 H3C ARP防御案例 H3C ARP防御案例 * 杭州华三通信技术有限公司 * “全面防御，模块定制” H3C ARP攻击防御解决方案 日期：2007.11 密级：公开 杭州华三通信技术有限公司 校园网ARP攻击分析 H3C ARP攻击防御解决方案 提纲 ARP协议介绍 ARP——Address Resolution Protocol地址解释协议 帧类型—0x0806 ARP欺骗都是通过填写错误的源MAC-IP对应关系来实现的 ARP攻击利用ARP协议本身的缺陷来实现！ 可以利用帧类型来识别ARP报文 正常用户A 网关G 网关MAC更新了 已更新 发送伪造ARP信息 攻击者B 1-1-1 MAC G IP Address G Dynamic Type 1-1-1 (网关) MAC IP Address Dynamic Type 2-2-2 （网关） MAC IP Address … … 3-3-3 2-2-2 源MAC 目的MAC 3-3-3 MAC A IP Address A 5-5-5 0 MAC B IP Address B 网关的 MAC is 2-2-2 ARP表项更新为 数据流被中断 这种攻击为ARP攻击中最为常见的攻击 正常用户A 网关G 用户A的MAC更新了 已更新 发送伪造ARP信息 攻击者B 1-1-1 MAC G IP Address G Dynamic Type 3-3-3 MAC IP Address Dynamic Type 2-2-2 MAC IP Address … … 1-1-1 2-2-2 源MAC 目的MAC 3-3-3 MAC A IP Address A 5-5-5 0 MAC B IP Address B 用户A的MAC is 2-2-2 ARP表项更新为 数据流被中断 正常用户A 网关G 用户C的MAC更新了 知道了 发送伪造ARP信息 攻击者B 1-1-1 MAC G IP Address G Dynamic Type 9-9-9 MAC IP Address Dynamic Type 2-2-2 MAC IP Address … … 3-3-3 2-2-2 源MAC 目的MAC 3-3-3 MAC A IP Address A 5-5-5 0 MAC B IP Address B 9-9-9 MAC C IP Address C 用户C的MAC is 2-2-2 ARP表项更新为 数据流被中断