ARP解决方案.ppt

  1. 1、本文档共37页,可阅读全部内容。
  2. 2、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
  3. 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载
  4. 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
查看更多
ARP解决方案

锐捷高校ARP问题解决方案 什么是ARP攻击 ARP攻击 就是通过伪造IP地址和MAC地址实现ARP欺骗,能够在网络中产生大量的ARP通信量使网络阻塞 攻击者只要持续不断的发出伪造的ARP响应报文就能更改目标主机ARP缓存中的IP-MAC条目,造成网络中断或中间人攻击 ARP攻击的危害主要存在于局域网网络中 如果局域网中有一个人感染ARP病毒,则感染该ARP病毒的系统将会试图通过“ARP欺骗”手段截获所在网络内其它计算机的通信信息,并因此造成网内其它计算机的通信故障 ARP攻击的主要现象 上网速度慢 网络上有大量ARP报文 某一区域不能上网或时通时断 同样配置只有某一台机器不能上网 正在使用某一类应用的PC依次掉线或时通时断 不断弹出“本机的0-255段硬件地址与网络中的0-255段地址冲突”的对话框,等等 ARP攻击的主要形式 ARP欺骗攻击 欺骗主机攻击 冒充网关攻击 欺骗网关攻击 中间人攻击 ARP泛洪攻击 消耗带宽攻击 拒绝服务攻击 ARP溢出攻击 ARP扫描攻击 IP地址冲突 单播型的IP地址冲突 广播型的IP地址冲突 虚拟主机攻击 欺骗网关攻击 ARP泛洪攻击 攻击主机持续把伪造的MAC-IP映射对发给受攻击主机,对于局域网内的所有主机和网关进行广播,抢占网络带宽和干扰正常通信。这种攻击方式的主要攻击特征包含: 通过不断发送伪造的ARP广播数据包使得交换机忙于处理广播数据包而耗尽网络带宽 令局域网内部的主机或网关找不到正确的通信对象,使得正常通信被阻断 用虚假的地址信息占满主机的ARP高速缓存空间,造成主机无法创建缓存表项,无法正常通信,这种攻击特征作者将其命名为ARP溢出攻击 主机ARP缓存溢出 交换机CAM表溢出 ARP泛洪攻击不是以盗取用户数据为目的,它是以破坏网络为目的,属于损人不利己的行为 ARP防御的网络设备 客户端ARP防御手段1-主机手动绑定ARP 表 优点 最节省成本的方式 缺点 配置麻烦,主机需要通信的目标很多,不可能一个一个都绑定 容易失效,这种方法进行的绑定,一拔掉网线或者关机、注销就全部失效了,如果想继续使用,就需要重新绑定 只能进行主机端的防御,如果网关遭欺骗则无能为力 主机端手动绑定也是只能实现部分防御,需要与其他方法结合来完善 客户端ARP防御手段2-主机安装ARP防御软件 原理 每个主机都不停地发送免费ARP Response广播,来告诉别人自己的IP和MAC的绑定关系 优点 硬件无关性 缺点 如果攻击广播报文频率提升,ARP问题重现 主机ARP 表更新频繁,容易掉线 交换机ARP防御手段-ARP欺骗防御 交换机防御ARP 欺骗1-接入交换机手动绑定IP/MAC 交换机功能 支持在端口设置安全地址 支持在端口做ARP CHECK 优点 成本低 缺点 工作量大,维护不方便 防范范围有限(到端口) 无法适应DHCP环境 交换机防御ARP 欺骗2-动态ARP检查DAI 交换机防御ARP 欺骗3-接入交换机手动绑定网关 交换机防御ARP 欺骗4-结合802.1x技术 网关防御ARP 欺骗手段-网关绑定主机IP/MAC 优点:成本低 缺点:工作量大维护不方便;只能防欺骗网关攻击,不适应DHCP环境 交换机ARP防御手段-ARP泛洪攻击防御 交换机支持功能 支持ARP流限速 支持在端口下限速或者在全局下限速 利用交换机防御ARP攻击方案-静态IP环境 在接入交换机端口控制主机发送ARP欺骗报文 在交换机端口设置安全地址 在端口打开arp check,只允许合法ARP报文通过 防主机欺骗和网关欺骗攻击 锐捷S21/S23/S26/S29/S32/S37/S5760/S76/S86支持 在接入交换机端口下过滤假冒网关的ARP应答 在下联端口设置anti-arp-spoofing,丢弃冒充网关的ARP报文 防冒充网关攻击 S21/S23/S26/S32/S37/S5760支持 在网关交换机上绑定各主机的ARP表项(可选) 在交换机上进行ARP攻击流限速 开启ARP抗攻击( arp-guard) 识别、隔离和清除ARP攻击 进行ARP限速 防ARP泛洪攻击(含ARP DOS攻击)、ARP扫描攻击 S23/S26/S29/S32/S37/S57/S76/S86支持 利用交换机防御ARP攻击方案-动态IP环境 在交换机上开启DHCP SNOOPING 建立ARP数据库 在网关和接入交换机上开启动态ARP检查DAI 依据ARP数据库过滤ARP报文 防主机欺骗攻击和网关欺骗攻击 限制端口ARP报文数量,防ARP泛洪攻击 S21/S23/S26/S29/S32/S37/S57/S76/S86支持 在交换机上进行ARP攻击流限速 开启ARP抗攻击( arp-guard) 识别、隔离和清除ARP攻击 进

文档评论(0)

jgx3536 + 关注
实名认证
内容提供者

该用户很懒,什么也没介绍

版权声明书
用户编号:6111134150000003

1亿VIP精品文档

相关文档