arp攻击防御解决方案.ppt

网关 S3600-28P-EI DHCP DHCP响应 DHCP请求 终端 监控DHCP报文实现用户的IP和MAC绑定 配置实现网关的IP和MAC绑定 ARP限速 东北大学宿舍网 S3600-28P-EI H3C ARP防御案例 网络已经运行一段时间，老师反映效果非常好，经过改造的网络没有再次出现因为ARP病毒导致无法上网的问题。 网关 S3900-EI/SI/E026 DHCP DHCP响应 DHCP请求 终端 监控DHCP报文实现用户的IP和MAC绑定 配置实现网关的IP和MAC绑定 ARP限速 南京师范大学园区网 H3C ARP防御案例 S3900-EI/SI/E026 * 杭州华三通信技术有限公司 * * * * * * 在接入交换机上利用DHCP Snooping安全增强功能获取合法用户的IP\MAC对应关系， 在接入交换机中绑定合法用户的对应表项，过滤掉所有不匹配的ARP报文 * * 用户认证时利用CAMS获取合法用户的IP/MAC对应关系 CAMS和接入交换机联动，绑定合法用户的对应表项，在接入交换机中过滤掉所有不匹配的ARP报文 CAMS和网关联动，绑定合法用户的对应表项，防止网关被非法ARP报文欺骗 在INOD客户端上绑定网关的ARP表项 利用INOD客户端实现本机ARP攻击检测 能够支持1x和Portal两种认证的方式 * 东北大学网络情况复杂，其中宿舍区的部分网络采用我司的S3600-28P-EI，以前一直反映ARP病毒问题严重，时常出现学生不能上网的情况，而且多次向校方投诉。和H3C探讨之后，决定部署H3C的DHCP SNOOPING防御方案。 * * * ARP攻击分析 ARP攻击防御解决方案 ARP病毒工作原理 正常的局域网络运作方式 校园网 网关 个人计算机 个人计算机 个人计算机 个人计算机 ARP病毒工作原理 有计算机感染ARP病毒后的局域网 校园网 网关 个人计算机 个人计算机 个人计算机 感染病毒的个人计算机 病毒在局域网中向正常的计算机发送伪造的网关ARP信息, 使得其它计算机将它当成网关进行数据通信, 从而窃取其它用户个人信息, 账号密码等数据资料,或者在用户浏览的网页中插入恶意代码. 由于部分ARP病毒编写人员的水平有限, 病毒工作不正常时就导致其它计算机不能正常使用或完全无法使用网络. ARP病毒检测 局域网内有ARP病毒的现象 上网时断时续, 网速变慢, 可能连内网主页也无法打开 浏览网页时出现与网页内容无关的弹出窗口 ARP检查 使用nbtscan工具, 配合arp –a 命令 ARP协议介绍 ARP——Address Resolution Protocol地址解释协议 帧类型—0x0806 ARP欺骗都是通过填写错误的源MAC-IP对应关系来实现的 ARP攻击利用ARP协议本身的缺陷来实现！ 可以利用帧类型来识别ARP报文 ARP欺骗攻击——仿冒网关 攻击者发送伪造的网关ARP报文，欺骗同网段内的其它主机。 主机访问网关的流量，被重定向到一个错误的MAC地址，导致该用户无法正常访问外网。 正常用户A 网关G 网关MAC更新了 已更新 发送伪造ARP信息 攻击者B IP Address G MAC G 1-1-1 IP Address MAC Type (网关) 1-1-1 Dynamic IP Address MAC Type （网关） 2-2-2 Dynamic 目的MAC 源MAC … 2-2-2 3-3-3 … IP Address A MAC A 3-3-3 IP Address B MAC B 0 5-5-5 网关的 MAC is 2-2-2 ARP表项更新为 数据流被中断 这种攻击为ARP攻击中最为常见的攻击 ARP欺骗攻击——欺骗网关 攻击者伪造虚假的ARP报文，欺骗网关 网关发给该用户的所有数据全部重定向到一个错误的MAC地址，导致该用户无法正常访问外网 正常用户A 网关G 用户A的MAC更新了 已更新 发送伪造ARP信息 攻击者B IP Address G MAC G 1-1-1 IP Address MAC Type 3-3-3 Dynamic IP Address MAC Type 2-2-2 Dynamic 目的MAC 源MAC … 2-2-2 1-1-1 … IP Address A MAC A 3-3-3 IP Address B MAC B 0 5-5-5 用户A的MAC is 2-2-2 ARP表项更新为 数据流被中断 ARP欺骗攻击——欺骗终端用户 攻击者伪造虚假的ARP报文，欺骗相同网段内的其他主机。 网段内的其他主机发给该用户的所有数据都被重定向到错误的MAC地址，同网段内的用户无法正