GSN新功能:ARP立体防御方案介绍

整理文档很辛苦,赏杯茶钱您下走!

免费阅读已结束,点击下载阅读编辑剩下 ...

阅读已结束,您可以下载文档离线阅读编辑

资源描述

GSN重拳出击:ARP立体防御方案介绍产品部沈世海2007年4月GSN:ARP立体防御ARP攻击原理与常见防御手段1ARP立体防御技术原理2实地测试效果3ARP立体防御技术优势总结4ARP欺骗攻击原理ARP攻击原理简介通过伪造虚假源IP、源MAC地址的ARP报文,导致网关或主机无法找到正确的通信对象。ARP攻击利用了ARP协议本身的缺陷,在IPv4的网络大环境中难以彻底根除。用户攻击者我是网关,把数据都发给我OK,马上照办!欺骗攻击常见ARP攻击类型以盗取数据为目的:ARP欺骗攻击冒充网关欺骗主机冒充主机欺骗网关冒充主机欺骗其它主机以捣乱破坏为目的:ARP泛洪攻击攻击局域网主机攻击网关ARP欺骗攻击冒充网关欺骗主机攻击者以网关的身份伪造虚假的ARP回应报文,欺骗局域网内的其它主机主机所有流向外网的流量全部被攻击者截取正常用户网关我是网关知道了欺骗攻击用户数据攻击者ARP欺骗攻击冒充主机欺骗网关攻击者以正常用户的身份伪造虚假的ARP回应报文,欺骗网关网关发给该用户的所有数据全部被攻击者截取正常用户网关我是小白知道了欺骗攻击用户数据攻击者ARP欺骗攻击ARP欺骗攻击行为ARP欺骗攻击一般都会结合网关欺骗和主机欺骗两种方式,进行中间人(ManInTheMiddle)欺骗。用户的所有正常流量都会被攻击者截取,导致用户重要数据被盗。常见的有网游盗号工具、恶意木马、病毒等等……ARP泛洪攻击捣乱破坏型:ARP泛洪攻击攻击者伪造大量虚假源MAC和源IP信息的报文,对局域网内的所有主机和网关进行广播,干扰正常通信。正常用户网关我是小白我是网关我是……小白在哪?泛洪攻击攻击者网关在哪?ARP欺骗攻击ARP泛洪攻击行为ARP泛洪攻击的对象可以是单个主机或网关,也可以是局域网所有机器。目的在于令局域网内部的主机或网关找不到正确的通信对象,甚至用虚假地址信息直接占满网关ARP缓存空间,造成用户无法正常上网,属于损人不利己的捣乱攻击行为。常见的有网络执法官、WinARPAttacker等等……常见防御手段主机端静态绑定在主机上用“arp-s”命令静态绑定正确的网关ARP信息效果可以防御攻击者冒充网关对主机进行欺骗的攻击行为缺陷每次系统重启后需要重新静态绑定需要对每一台主机单独进行手动配置,工作量巨大且可操作性不高只能进行主机端的防御,如果网关遭到欺骗攻击,该方法无能为力常见防御手段网关静态绑定在网关上静态绑定局域网主机正确的ARP信息效果可以防御攻击者冒充主机对网关进行欺骗的攻击行为缺陷只能适用于静态IP地址的网络环境局域网主机数量越多,管理维护工作量越大只能进行单向的被动防御,不能防止主机受欺骗常见防御手段网关定期发送免费ARP网关定期向局域网广播自己的ARP信息,帮助受欺骗攻击的主机找到正确的网关。效果可以防御攻击者冒充主机对网关进行欺骗的攻击行为缺陷网关需要定期广播免费ARP报文,占用CPU资源,耗费网络带宽。网关广播的速度永远也赶不上欺骗报文的发送速度,收效甚微。常见防御手段交换机进行ARP检查由交换机对接收到的每一个ARP报文进行检查,发现伪造虚假网关地址的报文则丢弃处理。效果可以防御攻击者冒充网关对主机进行欺骗的攻击行为。缺陷不能防御攻击者冒充主机欺骗网关或其它主机的攻击行为。GSN:ARP立体防御ARP攻击原理与常见防御手段1ARP立体防御技术原理2实地测试效果3ARP立体防御技术优势总结4ARP立体防御技术原理网关防御接入层防御用户端防御三重工事,纵深防御三重工事,纵深防御第一重:网关防御SMP通过SAM学习已通过认证的合法用户的IP-MAC对应关系SMP将用户的ARP信息通知相应网关网关生成对应用户的可信任ARP表项用户ARP信息RG-SMPRG-SU网关S21XX生成可信任ARP表项:用户A:MAC—IP—端口用户A三重工事,纵深防御第一重:网关防御攻击者冒充用户IP对网关进行欺骗真正的用户已经在网关的可信任ARP表项中,欺骗行为失败RG-SMPRG-SU网关S21XX攻击者可信任ARP表项:用户A:MAC—IP—端口用户A我是用户A三重工事,纵深防御Tips:什么是可信任ARP?可信任ARP是GSN功能专署的表项通过联动SMP,动态学习已通过认证的用户ARP,保障合法用户的上网质量。可信任ARP是一种介于静态和动态ARP之间的地址表项与静态ARP不同,可信任ARP也有老化机制,过期自动删除;可信任ARP有专门预留的地址空间,不会被动态ARP所修改。能够自动检测用户是否在线可信任ARP老化时,会自动检测用户在线情况,如果用户在线,会自动恢复生存周期三重工事,纵深防御第二重:用户端防御在SMP上设置网关的正确IP-MAC对应信息用户认证通过,SMP将网关的ARP信息下传至SUSU静态绑定网关的ARPRG-SMPRG-SU网关S21XX设置网关ARP信息IP—MAC网关信息下传至用户静态绑定网关ARP三重工事,纵深防御第二重:用户端防御攻击者冒充网关欺骗合法用户用户已经静态绑定网关地址,欺骗攻击无效RG-SMPRG-SU网关S21XX静态绑定网关ARP我是网关三重工事,纵深防御第三重:交换机非法报文过滤用户认证通过后,21交换机会在接入端口上绑定用户的IP-MAC对应信息。21对报文的源地址进行检查,对非法的攻击报文一律丢弃处理。该操作不占用交换机CPU资源,直接由端口芯片处理。RG-SMPRG-SU网关S21XX绑定用户的IP—MAC信息三重工事,纵深防御第三重:交换机非法报文过滤攻击者伪造源IP和MAC地址发起攻击报文不符合绑定规则,被交换机丢弃。RG-SMPRG-SU网关S21XX静态绑定网关ARP我是网关GSN:ARP立体防御ARP攻击原理与常见防御手段1ARP立体防御技术原理2实地测试效果3ARP立体防御技术优势总结4测试方案一:模拟攻击测试环境某校学生宿舍5号、8号楼总人数600人,高峰期在线400~500人250人左右已升级至SU3.04(支持ARP防御功能)网关和SMP都已启用防ARP欺骗功能测试方案从使用3.0版和3.04版SU的主机中分别随机抽取一台,使用WinARPAttacker软件假冒网关对两台主机发起攻击,通过ping测试验证攻击效果。模拟攻击测试将测试用PC接入5号楼学生所在网段网段地址:172.22.9.0/24网关地址:172.22.9.1模拟攻击测试确认攻击目标在线并且未升级SU的肉鸡:172.22.9.49模拟攻击测试攻击目标机器使用WinARPAttacker伪造网关对目标进行攻击模拟攻击测试验证测试效果模拟攻击测试确定对比测试目标另找一台已升级到SU3.04的肉鸡:172.22.9.25模拟攻击测试继续对目标机器进行攻击模拟攻击测试验证对比测试效果百试不爽的攻击手段失效了!测试方案二:实地测试效果测试环境网络中心机房,300多台学生用机,病毒木马泛滥机房老师反映网络频繁掉线,存在大量ARP攻击事件测试方案使用测试主机接入机房网络,运行ARP防火墙软件观察网络中存在的ARP攻击状况,并在实际使用中观察GSN防ARP攻击功能启用前和启用后的情况实际环境测试将待测主机接入机房网络网段地址:210.34.136.0/24网关地址:210.34.136.1实际环境测试网络环境中ARP欺骗攻击泛滥300多台学生用机缺乏管理,成了病毒、木马的动物园使用ARP防火墙,在一分钟内便观察到海量攻击事件实际环境测试实际使用情况:平均每5分钟掉线一次实际环境测试攻击行为分析本地ARP缓存中网关对应表项信息正确,但ping网关失去响应,通过抓包判断网关受到ARP欺骗攻击,导致测试PC断网实际环境测试启用GSN防ARP攻击功能实际环境测试启用防ARP功能后的试运行观察试用两个小时,网络正常,没有受到任何影响!风大浪大,依然屹立不倒!GSN:ARP立体防御ARP攻击原理与常见防御手段1ARP立体防御技术原理2实地测试效果3ARP立体防御技术优势总结4技术优势总结防御欺骗攻击效果显著对各种ARP欺骗攻击软件和病毒、木马能够进行有效的防御,确保网络通信的可靠网络执法官、WinARPAttacker、盗号木马、恶性网络病毒、网络嗅探软件……零网络负荷无需大量广播免费ARP报文,不会对网络造成额外负荷操作简单,配置方便只需要简单的配置,便可实现全网ARP的立体防御学生注册IP、MAC,老师手动添加静态ARP地址的时代一去不复返了,上万用户的ARP管理成为现实。技术优势总结业界领先防ARP攻击方案依托于现有的GSN方案的强大数据源和联动能力,尚没有其它厂商能够实现类似的防ARP欺骗解决方案。从各个源头彻底阻断攻击行为的产生,干净利落不留后患。效果绝非“ARP防火墙”等小软件可轻易实现。客户反馈良好集美大学李主任:“这个功能非常好,我们早就需要了!GSN解了我们燃眉之急啊。”GSN又学到了一招独门必杀技产品信息软件版本支持情况:RG-SMP:1.42临时版及以上版本RG-SU:3.04以上版本(不包括3.05)交换机支持情况:交换机产品将在RGNOS10.1正式版中支持(支持RGNOS的交换机产品均提供此功能)之前如有项目测试需求,可视情况发行相应的临时版本使用。更深入的技术细节,请参考《ARP立体防御解决方案原理》谢谢!

1 / 43
下载文档,编辑使用

©2015-2020 m.777doc.com 三七文档.

备案号:鲁ICP备2024069028号-1 客服联系 QQ:2149211541

×
保存成功