GSN新功能：ARP立体防御方案介绍.pptxVIP

GSN重拳出击：ARP立体防御方案介绍产品部 沈世海2007年4月ARP攻击原理与常见防御手段1ARP立体防御技术原理2实地测试效果3ARP立体防御技术优势总结4GSN：ARP立体防御ARP欺骗攻击原理ARP攻击原理简介通过伪造虚假源IP、源MAC地址的ARP报文，导致网关或主机无法找到正确的通信对象。ARP攻击利用了ARP协议本身的缺陷，在IPv4的网络大环境中难以彻底根除。我是网关，把数据都发给我OK，马上照办！欺骗攻击用户攻击者常见ARP攻击类型以盗取数据为目的：ARP欺骗攻击冒充网关欺骗主机冒充主机欺骗网关冒充主机欺骗其它主机以捣乱破坏为目的：ARP泛洪攻击攻击局域网主机攻击网关ARP欺骗攻击冒充网关欺骗主机攻击者以网关的身份伪造虚假的ARP回应报文，欺骗局域网内的其它主机主机所有流向外网的流量全部被攻击者截取网关用户数据我是网关知道了欺骗攻击正常用户攻击者ARP欺骗攻击冒充主机欺骗网关攻击者以正常用户的身份伪造虚假的ARP回应报文，欺骗网关网关发给该用户的所有数据全部被攻击者截取知道了网关用户数据我是小白欺骗攻击正常用户攻击者ARP欺骗攻击ARP欺骗攻击行为ARP欺骗攻击一般都会结合网关欺骗和主机欺骗两种方式，进行中间人（Man In The Middle）欺骗。用户的所有正常流量都会被攻击者截取，导致用户重要数据被盗。常见的有网游盗号工具、恶意木马、病毒等等……ARP泛洪攻击捣乱破坏型：ARP泛洪攻击攻击者伪造大量虚假源MAC和源IP信息的报文，对局域网内的所有主机和网关进行广播，干扰正常通信。小白在哪？网关我是小白我是网关我是……网关在哪？泛洪攻击正常用户攻击者ARP欺骗攻击ARP泛洪攻击行为ARP泛洪攻击的对象可以是单个主机或网关，也可以是局域网所有机器。目的在于令局域网内部的主机或网关找不到正确的通信对象，甚至用虚假地址信息直接占满网关ARP缓存空间，造成用户无法正常上网，属于损人不利己的捣乱攻击行为。常见的有网络执法官、WinARP Attacker等等……常见防御手段主机端静态绑定在主机上用“arp -s”命令静态绑定正确的网关ARP信息效果可以防御攻击者冒充网关对主机进行欺骗的攻击行为缺陷每次系统重启后需要重新静态绑定需要对每一台主机单独进行手动配置，工作量巨大且可操作性不高只能进行主机端的防御，如果网关遭到欺骗攻击，该方法无能为力常见防御手段网关静态绑定在网关上静态绑定局域网主机正确的ARP信息效果可以防御攻击者冒充主机对网关进行欺骗的攻击行为缺陷只能适用于静态IP地址的网络环境局域网主机数量越多，管理维护工作量越大只能进行单向的被动防御，不能防止主机受欺骗常见防御手段网关定期发送免费ARP网关定期向局域网广播自己的ARP信息，帮助受欺骗攻击的主机找到正确的网关。效果可以防御攻击者冒充主机对网关进行欺骗的攻击行为缺陷网关需要定期广播免费ARP报文，占用CPU资源，耗费网络带宽。网关广播的速度永远也赶不上欺骗报文的发送速度，收效甚微。常见防御手段交换机进行ARP检查由交换机对接收到的每一个ARP报文进行检查，发现伪造虚假网关地址的报文则丢弃处理。效果可以防御攻击者冒充网关对主机进行欺骗的攻击行为。缺陷不能防御攻击者冒充主机欺骗网关或其它主机的攻击行为。ARP攻击原理与常见防御手段1ARP立体防御技术原理2实地测试效果3ARP立体防御技术优势总结4GSN：ARP立体防御ARP立体防御技术原理三重工事，纵深防御用户端防御接入层防御网关防御三重工事，纵深防御第一重：网关防御SMP通过SAM学习已通过认证的合法用户的IP-MAC对应关系SMP将用户的ARP信息通知相应网关网关生成对应用户的可信任ARP表项网关生成可信任ARP表项：用户A：MAC—IP—端口用户ARP信息S21XX用户ARG-SMPRG-SU三重工事，纵深防御第一重：网关防御攻击者冒充用户IP对网关进行欺骗真正的用户已经在网关的可信任ARP表项中，欺骗行为失败网关可信任ARP表项：用户A：MAC—IP—端口我是用户AS21XX用户ARG-SMPRG-SU攻击者三重工事，纵深防御Tips：什么是可信任ARP？可信任ARP是GSN功能专署的表项通过联动SMP，动态学习已通过认证的用户ARP，保障合法用户的上网质量。可信任ARP是一种介于静态和动态ARP之间的地址表项与静态ARP不同，可信任ARP也有老化机制，过期自动删除；可信任ARP有专门预留的地址空间，不会被动态ARP所修改。能够自动检测用户是否在线可信任ARP老化时，会自动检测用户在线情况，如果用户在线，会自动恢复生存周期三重工事，纵深防御第二重：用户端防御在SMP上设置网关的正确IP－MAC对应信息用户认证通过，SMP将网关的ARP信息下传至SUSU静态绑定网关的ARP网关网关信息下传至用户