ARP攻击防御解决方案.pptVIP

ARP病毒工作原理 正常的局域网络运作方式 ARP病毒工作原理 有计算机感染ARP病毒后的局域网 ARP病毒检测 局域网内有ARP病毒的现象 上网时断时续, 网速变慢, 可能连内网主页也无法打开 浏览网页时出现与网页内容无关的弹出窗口 ARP检查 使用nbtscan工具, 配合arp –a 命令 ARP欺骗攻击——仿冒网关 攻击者发送伪造的网关ARP报文，欺骗同网段内的其它主机。 主机访问网关的流量，被重定向到一个错误的MAC地址，导致该用户无法正常访问外网。 ARP欺骗攻击——欺骗网关 攻击者伪造虚假的ARP报文，欺骗网关 网关发给该用户的所有数据全部重定向到一个错误的MAC地址，导致该用户无法正常访问外网 ARP欺骗攻击——欺骗终端用户 攻击者伪造虚假的ARP报文，欺骗相同网段内的其他主机。 网段内的其他主机发给该用户的所有数据都被重定向到错误的MAC地址，同网段内的用户无法正常互访。 ARP泛洪攻击 攻击者伪造大量不同ARP报文在同网段内进行广播，导致网关ARP表项被占满，合法用户的ARP表项无法正常学习，导致合法用户无法正常访问外网 ARP攻击防御的三个控制点 DHCP Snooping模式 方案适合场景 全网采用动态分配IP地址方式 接入交换机采用H3C支持DHCP Snooping的产品，比如E126A，E152 解决方案 第一步：接入交换机通过DHCP Snooping监控用户动态申请IP的过程，获取用户的IP-MAC对应关系 第二步：接入交换机将用户的IP-MAC-PORT对应关系进行绑定。接入交换机形成保护屏障，过滤掉所有ARP攻击报文。 认证绑定 Vs. DHCP SNOOPING H3C ARP防御案例 H3C ARP防御案例 ARP病毒自我防护 编辑批处理文件myarp.bat, 建立快键方式放到启动组中 或安装ARP病毒防火墙 Symantec Endpoint Protection Symantec Endpoint Protection 提供了高级威胁防护功能，可保护您的端点（笔记本电脑、台式计算机和服务器）不受已知威胁和未知威胁的攻击。 Symantec Endpoint Protection 可防范恶意软件，如病毒、蠕虫、特洛伊木马、间谍软件和广告软件。它甚至可防范能避开传统安全措施的最复杂的攻击，如 Rootkit、零时差攻击和变种的间谍软件。 Symantec Endpoint Protection 为您的端点计算设备提供了多层防护。 Symantec端点安全解决方案 Symantec Endpoint Protection 客户端安全： 及时进行系统补丁更新 每日升级病毒库 邮件的附件, QQ或MSN上传递的文件先杀毒再打开 移动存储如U盘, MP3, MP4等使用前先扫描病毒 浏览网页时不要随便安装Active插件 定期对硬盘进行全盘扫描, 查杀病毒 不要轻易点击网页上及弹出窗口的中奖广告 * 杭州华三通信技术有限公司 * ARP攻击分析 ARP攻击防御解决方案 校园网 网关 个人计算机 个人计算机 个人计算机 个人计算机 校园网 网关 个人计算机 个人计算机 个人计算机 感染病毒的个人计算机 病毒在局域网中向正常的计算机发送伪造的网关ARP信息, 使得其它计算机将它当成网关进行数据通信, 从而窃取其它用户个人信息, 账号密码等数据资料,或者在用户浏览的网页中插入恶意代码. 由于部分ARP病毒编写人员的水平有限, 病毒工作不正常时就导致其它计算机不能正常使用或完全无法使用网络. ARP协议介绍 ARP——Address Resolution Protocol地址解释协议 帧类型—0x0806 ARP欺骗都是通过填写错误的源MAC-IP对应关系来实现的 ARP攻击利用ARP协议本身的缺陷来实现！ 可以利用帧类型来识别ARP报文 正常用户A 网关G 网关MAC更新了 已更新 发送伪造ARP信息 攻击者B 1-1-1 MAC G IP Address G Dynamic Type 1-1-1 (网关) MAC IP Address Dynamic Type 2-2-2 （网关） MAC IP Address … … 3-3-3 2-2-2 源MAC 目的MAC 3-3-3 MAC A IP Address A 5-5-5 0 MAC B IP Address B 网关的 MAC is 2-2-2 ARP表项更新为 数据流被中断 这种攻击为ARP攻击中最为常见的攻击 正常用户A 网关G 用户A的MAC更新了 已更新 发送伪造ARP信息 攻击者B 1-1-1 MAC G IP Address G Dynamic Type 3-3-3 MAC