GSN重拳出击:ARP立体防御方案介绍产品部沈世海2007年4月GSN:ARP立体防御ARP攻击原理与常见防御手段1ARP立体防御技术原理2实地测试效果3ARP立体防御技术优势总结4ARP欺骗攻击原理ARP攻击原理简介通过伪造虚假源IP、源MAC地址的ARP报文,导致网关或主机无法找到正确的通信对象。ARP攻击利用了ARP协议本身的缺陷,在IPv4的网络大环境中难以彻底根除。用户攻击者我是网关,把数据都发给我OK,马上照办!欺骗攻击常见ARP攻击类型以盗取数据为目的:ARP欺骗攻击冒充网关欺骗主机冒充主机欺骗网关冒充主机欺骗其它主机以捣乱破坏为目的:ARP泛洪攻击攻击局域网主机攻击网关ARP欺骗攻击冒充网关欺骗主机攻击者以网关的身份伪造虚假的ARP回应报文,欺骗局域网内的其它主机主机所有流向外网的流量全部被攻击者截取正常用户网关我是网关知道了欺骗攻击用户数据攻击者ARP欺骗攻击冒充主机欺骗网关攻击者以正常用户的身份伪造虚假的ARP回应报文,欺骗网关网关发给该用户的所有数据全部被攻击者截取正常用户网关我是小白知道了欺骗攻击用户数据攻击者ARP欺骗攻击ARP欺骗攻击行为ARP欺骗攻击一般都会结合网关欺骗和主机欺骗两种方式,进行中间人(ManInTheMiddle)欺骗。用户的所有正常流量都会被攻击者截取,导致用户重要数据被盗。常见的有网游盗号工具、恶意木马、病毒等等……ARP泛洪攻击捣乱破坏型:ARP泛洪攻击攻击者伪造大量虚假源MAC和源IP信息的报文,对局域网内的所有主机和网关进行广播,干扰正常通信。正常用户网关我是小白我是网关我是……小白在哪?泛洪攻击攻击者网关在哪?ARP欺骗攻击ARP泛洪攻击行为ARP泛洪攻击的对象可以是单个主机或网关,也可以是局域网所有机器。目的在于令局域网内部的主机或网关找不到正确的通信对象,甚至用虚假地址信息直接占满网关ARP缓存空间,造成用户无法正常上网,属于损人不利己的捣乱攻击行为。常见的有网络执法官、WinARPAttacker等等……常见防御手段主机端静态绑定在主机上用“arp-s”命令静态绑定正确的网关ARP信息效果可以防御攻击者冒充网关对主机进行欺骗的攻击行为缺陷每次系统重启后需要重新静态绑定需要对每一台主机单独进行手动配置,工作量巨大且可操作性不高只能进行主机端的防御,如果网关遭到欺骗攻击,该方法无能为力常见防御手段网关静态绑定在网关上静态绑定局域网主机正确的ARP信息效果可以防御攻击者冒充主机对网关进行欺骗的攻击行为缺陷只能适用于静态IP地址的网络环境局域网主机数量越多,管理维护工作量越大只能进行单向的被动防御,不能防止主机受欺骗常见防御手段网关定期发送免费ARP网关定期向局域网广播自己的ARP信息,帮助受欺骗攻击的主机找到正确的网关。效果可以防御攻击者冒充主机对网关进行欺骗的攻击行为缺陷网关需要定期广播免费ARP报文,占用CPU资源,耗费网络带宽。网关广播的速度永远也赶不上欺骗报文的发送速度,收效甚微。常见防御手段交换机进行ARP检查由交换机对接收到的每一个ARP报文进行检查,发现伪造虚假网关地址的报文则丢弃处理。效果可以防御攻击者冒充网关对主机进行欺骗的攻击行为。缺陷不能防御攻击者冒充主机欺骗网关或其它主机的攻击行为。GSN:ARP立体防御ARP攻击原理与常见防御手段1ARP立体防御技术原理2实地测试效果3ARP立体防御技术优势总结4ARP立体防御技术原理网关防御接入层防御用户端防御三重工事,纵深防御三重工事,纵深防御第一重:网关防御SMP通过SAM学习已通过认证的合法用户的IP-MAC对应关系SMP将用户的ARP信息通知相应网关网关生成对应用户的可信任ARP表项用户ARP信息RG-SMPRG-SU网关S21XX生成可信任ARP表项:用户A:MAC—IP—端口用户A三重工事,纵深防御第一重:网关防御攻击者冒充用户IP对网关进行欺骗真正的用户已经在网关的可信任ARP表项中,欺骗行为失败RG-SMPRG-SU网关S21XX攻击者可信任ARP表项:用户A:MAC—IP—端口用户A我是用户A三重工事,纵深防御Tips:什么是可信任ARP?可信任ARP是GSN功能专署的表项通过联动SMP,动态学习已通过认证的用户ARP,保障合法用户的上网质量。可信任ARP是一种介于静态和动态ARP之间的地址表项与静态ARP不同,可信任ARP也有老化机制,过期自动删除;可信任ARP有专门预留的地址空间,不会被动态ARP所修改。能够自动检测用户是否在线可信任ARP老化时,会自动检测用户在线情况,如果用户在线,会自动恢复生存周期三重工事,纵深防御第二重:用户端防御在SMP上设置网关的正确IP-MAC对应信息用户认证通过,SMP将网关的ARP信息下传至SUSU静态绑定网关的ARPRG-SMPRG-SU网关S21XX设置网关ARP信息IP—MAC网关信息下传至用户静态绑定网关ARP三重工事,纵深防御第二重:用户端防御攻击者冒充网关欺骗合法用户用户已经静态绑定网关地址,欺骗攻击无效RG-SMPRG-SU网关S21XX静态绑定网关ARP我是网关三重工事,纵深防御第三重:交换机非法报文过滤用户认证通过后,21交换机会在接入端口上绑定用户的IP-MAC对应信息。21对报文的源地址进行检查,对非法的攻击报文一律丢弃处理。该操作不占用交换机CPU资源,直接由端口芯片处理。RG-SMPRG-SU网关S21XX绑定用户的IP—MAC信息三重工事,纵深防御第三重:交换机非法报文过滤攻击者伪造源IP和MAC地址发起攻击报文不符合绑定规则,被交换机丢弃。RG-SMPRG-SU网关S21XX静态绑定网关ARP我是网关GSN:ARP立体防御ARP攻击原理与常见防御手段1ARP立体防御技术原理2实地测试效果3ARP立体防御技术优势总结4测试方案一:模拟攻击测试环境某校学生宿舍5号、8号楼总人数600人,高峰期在线400~500人250人左右已升级至SU3.04(支持ARP防御功能)网关和SMP都已启用防ARP欺骗功能测试方案从使用3.0版和3.04版SU的主机中分别随机抽取一台,使用WinARPAttacker软件假冒网关对两台主机发起攻击,通过ping测试验证攻击效果。模拟攻击测试将测试用PC接入5号楼学生所在网段网段地址:172.22.9.0/24网关地址:172.22.9.1模拟攻击测试确认攻击目标在线并且未升级SU的肉鸡:172.22.9.49模拟攻击测试攻击目标机器使用WinARPAttacker伪造网关对目标进行攻击模拟攻击测试验证测试效果模拟攻击测试确定对比测试目标另找一台已升级到SU3.04的肉鸡:172.22.9.25模拟攻击测试继续对目标机器进行攻击模拟攻击测试验证对比测试效果百试不爽的攻击手段失效了!测试方案二:实地测试效果测试环境网络中心机房,300多台学生用机,病毒木马泛滥机房老师反映网络频繁掉线,存在大量ARP攻击事件测试方案使用测试主机接入机房网络,运行ARP防火墙软件观察网络中存在的ARP攻击状况,并在实际使用中观察GSN防ARP攻击功能启用前和启用后的情况实际环境测试将待测主机接入机房网络网段地址:210.34.136.0/24网关地址:210.34.136.1实际环境测试网络环境中ARP欺骗攻击泛滥300多台学生用机缺乏管理,成了病毒、木马的动物园使用ARP防火墙,在一分钟内便观察到海量攻击事件实际环境测试实际使用情况:平均每5分钟掉线一次实际环境测试攻击行为分析本地ARP缓存中网关对应表项信息正确,但ping网关失去响应,通过抓包判断网关受到ARP欺骗攻击,导致测试PC断网实际环境测试启用GSN防ARP攻击功能实际环境测试启用防ARP功能后的试运行观察试用两个小时,网络正常,没有受到任何影响!风大浪大,依然屹立不倒!GSN:ARP立体防御ARP攻击原理与常见防御手段1ARP立体防御技术原理2实地测试效果3ARP立体防御技术优势总结4技术优势总结防御欺骗攻击效果显著对各种ARP欺骗攻击软件和病毒、木马能够进行有效的防御,确保网络通信的可靠网络执法官、WinARPAttacker、盗号木马、恶性网络病毒、网络嗅探软件……零网络负荷无需大量广播免费ARP报文,不会对网络造成额外负荷操作简单,配置方便只需要简单的配置,便可实现全网ARP的立体防御学生注册IP、MAC,老师手动添加静态ARP地址的时代一去不复返了,上万用户的ARP管理成为现实。技术优势总结业界领先防ARP攻击方案依托于现有的GSN方案的强大数据源和联动能力,尚没有其它厂商能够实现类似的防ARP欺骗解决方案。从各个源头彻底阻断攻击行为的产生,干净利落不留后患。效果绝非“ARP防火墙”等小软件可轻易实现。客户反馈良好集美大学李主任:“这个功能非常好,我们早就需要了!GSN解了我们燃眉之急啊。”GSN又学到了一招独门必杀技产品信息软件版本支持情况:RG-SMP:1.42临时版及以上版本RG-SU:3.04以上版本(不包括3.05)交换机支持情况:交换机产品将在RGNOS10.1正式版中支持(支持RGNOS的交换机产品均提供此功能)之前如有项目测试需求,可视情况发行相应的临时版本使用。更深入的技术细节,请参考《ARP立体防御解决方案原理》谢谢!