以SNMP侦测阻断区域网路ARP欺骗行为.ppt

郭蕭禎 謝進利 許忠強 遠東科技大學資訊管理系 ginkoo@.tw shiehjl@.tw qq77618@.tw; 前言 相關研究 研究方法 實做 結論;本論文將實做一個非常經濟的偵測方法 利用提供有SNMP功能的閘道器，讀取其SNMP資訊中有關網路設備上的IP位址與MAC位址對應的暫存表 經由簡單的判斷即可偵測得知區域網路中是否已經發生了ARP欺騙的事件 再搭配具有鎖定MAC位址於網路介面的交換器，即可達成防制ARP欺騙的目的;Address Resolution Protocol (ARP)位址解析協定是使用在區域網路中，為了取得IP位址與MAC位址的動態對應 ARP有兩種主要的訊息： ARP要求：是一個載明了需要轉換成MAC位址的IP位址的訊框，通常是以廣播的方式在區域網路內傳送。 ARP回應：是一個回覆了相關IP位址所對映到的MAC位址的訊框，通常是以點對點的方式傳送給發出ARP要求的電腦主機。 ;;所有的電腦主機對於ARP回應所回覆的MAC位址，都會毫無懷疑的將它存放在ARP快取記憶體中 沒有記錄訊息的傳送與接收狀態，即使有多次的ARP回應陸續到來或是在沒有送出任何ARP要求的狀況下，仍然會接收ARP回應訊息;;ARP欺騙發生可能造成以下的攻擊方式 阻斷服務DoS(denial-of-service)攻擊 當欺騙的ARP回應使用不存在的MAC位址，被攻擊的主機將無法正常對外部網路連線 主機假冒攻擊 欺騙者對於被攻擊者的封包以假造的資訊作為回覆 中間人Man-In-The-Middle(MITM)攻擊 資訊已經被攻擊者所監聽，可以輕易獲取敏感的資料，或者竄改資料;偵測 區域網路內安裝偵測的主機 在現有區域網路的主機上安裝軟體來偵測 阻斷攻擊 設定靜態的ARP暫存表 改變現有的ARP協定 阻絕ARP攻擊的交換器或更新交換器韌體;偵測ARP欺騙 藉由具備網管功能的閘道器，其SNMP提供ARP暫存表的資訊 閘道器的ARP暫存表以每隔一段時間讀取一次 判斷所有的MAC位址其前3個位元組是否正常 無法偵測到帶有合法MAC位址的ARP欺騙回應 準則一：短時間內同一個IP位址對應到不同的MAC位址，而且改變的次數過多（阻斷服務攻擊） 準則二：同一時間一個MAC位址對應的IP個數超過1個（主機假冒攻擊或中間人攻擊） 此判斷準則適用於同一個網路介面只能擁有一個IP位址 輔以網路管理的規則：規範若有設定兩個以上的IP在同一個網路介面需求時要提出申請 ;ARP欺騙的阻斷 具有埠防禦(port security)功能的交換器 埠防禦功能主要是能將每一個交換器的實體連接埠鎖定在少數的MAC位址，甚至是一個連接埠只鎖定一個MAC位址 欺騙的ARP回應如果使用了非真實的MAC位址，就沒有辦法通過交換器送到閘道器或其他主機進行欺騙 偵測得知有ARP欺騙事件時，藉由準則二可以判斷得知欺騙者的真實MAC位址，利用埠防禦的交換器關閉攻擊者的實體連接埠;;以每隔1分鐘讀取一次閘道器的ARP暫存表 準則一以最近8分鐘內讀取到的ARP暫存表中同一個IP位址對應到不同的MAC位址，而且改變的次數超過4次 我們在區域網路中利用網路攻擊軟體NetCut與Ettercap來產生ARP欺騙行為;NetCut對IP位址6電腦進行阻斷服務DoS攻擊 發生的6分鐘之後系統立即由準則一偵測到此一行為;Ettercap軟體對IP位址9電腦進行中間人MITM攻擊來竊聽 攻擊行為發生的1分鐘之內系統立即由準則二偵測到此一行為;優點：在非常節省成本之下做到最大的管理效果 同時監測很多個區域網路 不需在每個區域網路中安裝偵測主機 不需要求每一位網路使用者必須安裝軟體 不需花費很大的心力去更改閘道器或交換器的韌體 當然不用花大錢去購買更新所有的交換器 缺點：ARP欺騙若是僅發生在欺騙被攻擊的主機時（沒有對閘道器進行欺騙） 建議在區域網路中的主機，針對預設閘道去設定靜態的ARP對應 缺點：本系統位在網際網路的遠端進行偵測，若中途網路擁塞或中斷，則系統反應時間將因此延遲 建議將系統放置於越接近偵測的區域網路預設閘道越好;在本論文中，提出一個非常經濟的ARP欺騙偵測阻斷系統，解決因為ARP欺騙造成網路服務中斷的問題 不需更改目前的協定 也不需在每個區域網路建置其他裝置或修改軟硬體 利用提供有SNMP資訊的閘道器，在遠端即可監控區網是否已經發生ARP欺騙的行為 再搭配具有埠防禦功能的交換器接收SNMP訊息，即可自動阻斷ARP欺騙的行為 給網管人員能夠在不需花費太多的前提下，輕鬆的解決ARP欺騙的問題;Q A