S21系列交换机全面防止ARP欺骗.pptVIP

课程目标 前 言 提 纲 ARP协议原理 ARP欺骗攻击原理 S21系列交换机防止ARP欺骗原理 S21系列交换机安全地址构成 ARP报文检查 S21系列交换机ARP攻防实验 ARP协议原理 ARP协议全称“Address Resolution Protocol”（地址解析协议）的缩写。在二层网中，网络中实际传输的是“帧”，而数据要进行传输，帧里面必须要有目标主机的MAC地址； ARP协议原理 在以太网中，一个主机要和另一个主机进行直接通信，必须要知道目标主机的MAC地址。但这个目标MAC地址是如何获得的呢？它就是通过地址解析协议获得的。 ARP协议的基本功能就是主机在发送报文前将目标主机的IP地址解析成目标主机的MAC地址，以保证通信的顺利进行。 当跨越网段时。此时解析并非目的ip的MAC地址，而是解析网关的MAC地址。 ARP协议原理 正常的ARP通讯过程只需ARP Request和ARP Replay两个过程，简单的说就是一问一答： ARP协议原理 主机发送给网关的ARP Request报文 ARP协议原理 网关回应给主机的ARP Reply报文 ARP欺骗攻击概述 ARP欺骗攻击原理 ARP自动学习的目的，就是通讯的双方主机互相请求/告知MAC地址的过程，并以此完成二层的以太网帧交换，由于通讯的双向性，很显然如果任何一方的ARP信息是空或者错误的，那么就会使对方的ARP表项建立不正确，导致通讯失败。而ARP欺骗攻击就是频繁的发送错误消息欺骗网络通信的任何一方，最终使得双方的ARP表项不正确，导致不能正常通信。 ARP欺骗攻击的几种方式 对主机的网关ARP欺骗过程 对网关的主机ARP欺骗过程 对主机的主机ARP欺骗过程 ARP欺骗攻击概述 通过实验我们看看网络中到底是如何进行这几种ARP欺骗的？ ARP欺骗攻击概述 对主机的网关ARP欺骗过程 对主机的网关进行欺骗就是cheater冒充网关给网内pc发大量的 虚假报文（IP为网关的IP，MAC为虚假不存在的MAC），让网内PC学 到假的网关信息以来达到欺骗的目的。 ARP欺骗攻击概述 制造欺骗报文 ARP欺骗攻击概述 主机的网关信息成功欺骗 ARP欺骗攻击概述 对网关的主机ARP欺骗过程 ARP欺骗攻击概述 对网关的主机信息欺骗成功，此时主机的网关信息是正常，但依然不能通信 常见ARP攻击防范方法 手工清除PC和网关ARP表项，从新学习正确的ARP信息； ARP欺骗发生后的情况是怎样的呢？当然是PC和网关设备的ARP表被篡改了，这样我们可以通过手工方式来清除ARP表项，然后让双方重新学习，但ARP欺骗是不断的重复进行的，人工维护的工作量就可想而知，显然可行性为零。 常见ARP攻击防范方法 PC机上静态绑定网关MAC地址，防止对主机的网关欺骗； 在主机上可以使用静态的ARP绑定网关的IP地址和网关的MAC地址，比如在PC机上配置autoexec.bat批处理文件： @echo off Arp –d Arp –s 192.168.157.1 00-11-22-11-11-11 这种方法需要在每台PC的批处理文件中静态的写入网关的ARP表项，增加大量的工作量，如果更换网关设备，需要从新更新每台PC的批处理文件，不利于网络维护； 常见ARP攻击防范方法 网关设备上静态绑定主机IP地址和MAC地址，防止对网关的欺骗; 在网关设备上通过ARPA命令静态绑定主机的IP地址和主机MAC地址，来避免ARP欺骗带来的影响，但就实施和后期的维护来看，都非常的不方便，而且也容易出错； 常见ARP攻击防范方法 通过特定软件在主机上守候进程的方式绑定网关正确的MAC地址； 这种方式需要在每台PC上安装额外的软件，在大型网络中，软件安装和维护的工作给网络管理员带来了额外的负担，同时也不能保证每台主机都能顺利安装； 常见ARP攻击防范方法 网关设备定期发送免费ARP报文，及时更新主机的ARP表项； 跟ARP Cheater一样，我们可以考虑让网关路由器或者其他专用主机来发送免费ARP广播，把正确的网关ARP信息通报给全网。如果网内的ARP欺骗不是很频繁，这种是方法可行；但如果欺骗频繁的情况下，路由器或专用主机发送的免费ARP Response广播必须更频繁，即便如此，内网PC的ARP表可能还会处于频繁变动的过程中，导致其正常通讯也会随之而产生丢包，同时整个网络上会因此而充满大量的以太网广播，这是谁也不愿看到的。 S21系列交换机防止ARP欺骗原理