ARP攻击分析ARP攻击防御解决方案ARP病毒工作原理正常的局域网络运作方式校园网网关个人计算机个人计算机个人计算机个人计算机ARP病毒工作原理有计算机感染ARP病毒后的局域网校园网网关个人计算机个人计算机个人计算机感染病毒的个人计算机病毒在局域网中向正常的计算机发送伪造的网关ARP信息,使得其它计算机将它当成网关进行数据通信,从而窃取其它用户个人信息,账号密码等数据资料,或者在用户浏览的网页中插入恶意代码.由于部分ARP病毒编写人员的水平有限,病毒工作不正常时就导致其它计算机不能正常使用或完全无法使用网络.ARP病毒检测局域网内有ARP病毒的现象上网时断时续,网速变慢,可能连内网主页也无法打开浏览网页时出现与网页内容无关的弹出窗口ARP检查使用nbtscan工具,配合arp–a命令ARP协议介绍ARP——AddressResolutionProtocol地址解释协议帧类型—0x0806协议地址长度帧类型目的MAC源MAC硬件类型协议类型操作字段发送端MAC发送端IP目的MAC目的IP硬件地址长度ARP欺骗都是通过填写错误的源MAC-IP对应关系来实现的ARP攻击利用ARP协议本身的缺陷来实现!可以利用帧类型来识别ARP报文ARP欺骗攻击——仿冒网关攻击者发送伪造的网关ARP报文,欺骗同网段内的其它主机。主机访问网关的流量,被重定向到一个错误的MAC地址,导致该用户无法正常访问外网。正常用户A网关G网关MAC更新了已更新发送伪造ARP信息攻击者BIPAddressGMACG1.1.1.11-1-1IPAddressMACType1.1.1.1(网关)1-1-1DynamicIPAddressMACType1.1.1.1(网关)2-2-2Dynamic目的MAC源MAC…2-2-23-3-3…IPAddressAMACA1.1.1.53-3-3IPAddressBMACB1.1.1.205-5-5网关的MACis2-2-2ARP表项更新为数据流被中断这种攻击为ARP攻击中最为常见的攻击ARP欺骗攻击——欺骗网关攻击者伪造虚假的ARP报文,欺骗网关网关发给该用户的所有数据全部重定向到一个错误的MAC地址,导致该用户无法正常访问外网正常用户A网关G用户A的MAC更新了已更新攻击者BIPAddressGMACG1.1.1.11-1-1IPAddressMACType1.1.1.53-3-3DynamicIPAddressMACType1.1.1.52-2-2Dynamic目的MAC源MAC…2-2-21-1-1…IPAddressAMACA1.1.1.53-3-3IPAddressBMACB1.1.1.205-5-5ARP表项更新为数据流被中断ARP欺骗攻击——欺骗终端用户攻击者伪造虚假的ARP报文,欺骗相同网段内的其他主机。网段内的其他主机发给该用户的所有数据都被重定向到错误的MAC地址,同网段内的用户无法正常互访。正常用户A网关G用户C的MAC更新了知道了攻击者BIPAddressGMACG1.1.1.11-1-1IPAddressMACType1.1.1.19-9-9DynamicIPAddressMACType1.1.1.12-2-2Dynamic目的MAC源MAC…2-2-23-3-3…IPAddressAMACA1.1.1.53-3-3IPAddressBMACB1.1.1.205-5-5IPAddressCMACC1.1.1.89-9-9ARP表项更新为数据流被中断ARP泛洪攻击攻击者伪造大量不同ARP报文在同网段内进行广播,导致网关ARP表项被占满,合法用户的ARP表项无法正常学习,导致合法用户无法正常访问外网正常用户A网关G用户A、A1、A2、A3…的MAC更新了已更新攻击者BIPAddressGMACG1.1.0.11-1-1IPAddressMACType1.1.0.22-2-2Dynamic1.1.0.32-2-3Dynamic1.1.0.42-2-4Dynamic1.1.0.52-2-5Dynamic1.1.0.62-2-6Dynamic………….DynamicIPAddressAMACA1.1.1.1033-3-3ARP表项被占满IPAddressBMACB1.1.1.205-5-5ARP攻击防御的三个控制点网关G用户接入设备网关防御合法ARP绑定,防御网关被欺骗ARP数量限制,防御ARP泛洪攻击1接入设备防御网关IP/MAC绑定,过滤掉仿冒网关的报文合法用户IP/MAC绑定,过滤掉终端仿冒报文ARP限速2客户端防御绑定网关信息3防御ARP攻击的关键2利用合法IP\MAC对应关系防止非法ARP报文对终端和网关欺骗获取合法用户的IP\MAC对应关系1H3CARP防范方案——DHCP监控模式监控DHCP交互报文获取合法用户的IP-MAC-port关系在接入交换机上绑定,实现对ARP报文的检查,过滤掉所有非法报文。网关接入设备DHCP响应DHCP请求终端•监控DHCP报文实现用户的IP和MAC绑定•配置实现网关的IP和MAC绑定•ARP限速DHCPSnooping模式方案适合场景全网采用动态分配IP地址方式接入交换机采用H3C支持DHCPSnooping的产品,比如E126A,E152解决方案第一步:接入交换机通过DHCPSnooping监控用户动态申请IP的过程,获取用户的IP-MAC对应关系第二步:接入交换机将用户的IP-MAC-PORT对应关系进行绑定。接入交换机形成保护屏障,过滤掉所有ARP攻击报文。配置命令全局模式:dhcp-snooping(全局开关)VLAN模式:ARPdetectionenable:(使能ARPdetectionenable检测,限制ARP报文数量)上行接口:ARPdetectiontrust(将上行口配置为信任接口不检查ARP)H3CARP防范方案——认证模式利用认证客户端在终端上绑定网关ARP表项。网关接入设备终端•监控认证报文实现用户的IP和MAC绑定•配置实现网关的IP和MAC绑定•ARP线速•CAMS下发实现用户和重要服务器的IP和MAC绑定•CAMS下发实现网关的IP和MAC绑定网关防御接入设备防御客户端防御认证绑定Vs.DHCPSNOOPING对网络设备的依赖小,对接入交换机和网关的绑定可以根据网络状况分别使用。适应静态IP地址的环境使用,适合目前多数现状。认证绑定模式DHCPSNOOPING模式优点局限性需要安装客户端需要采用H3C认证方式可以保证网络无非法ARP报文传播,从根本防御ARP攻击纯网络层面实现,不需要用户安装客户端。对用户应用没有影响要求用户采用DHCP动态获取IP的方式以过滤非法报文为防御措施,要求同网段全网部署对接入交换机的型号、版本有很强的依赖优点局限性网关S3600-28P-EIDHCP响应DHCP请求终端•监控DHCP报文实现用户的IP和MAC绑定•配置实现网关的IP和MAC绑定•ARP限速东北大学宿舍网S3600-28P-EIH3CARP防御案例网络已经运行一段时间,老师反映效果非常好,经过改造的网络没有再次出现因为ARP病毒导致无法上网的问题。网关S3900-EI/SI/E026DHCP响应DHCP请求终端•监控DHCP报文实现用户的IP和MAC绑定•配置实现网关的IP和MAC绑定•ARP限速南京师范大学园区网H3CARP防御案例S3900-EI/SI/E026ARP病毒自我防护编辑批处理文件myarp.bat,建立快键方式放到启动组中或安装ARP病毒防火墙@echooff::::::::::::::::::::FindLocalMacifexistipconfig.txtdelipconfig.txtipconfig/allipconfig.txtifexistLocalMac.txtdelLocalMac.txtfindPhysicalAddressipconfig.txtLocalMac.txtfor/fskip=2tokens=12%%Min(LocalMac.txt)dosetLocalMac=%%M::::::::::::::::::::FindLocalIPifexistLocalIP.txtdelLocalIP.txtfindIPAddressipconfig.txtLocalIP.txtfor/fskip=2tokens=15%%Iin(LocalIP.txt)dosetLocalIP=%%I::::::::::::::::::::FindGatewayIPifexistGatewayIP.txtdelGatewayIP.txtfindDefaultGatewayipconfig.txtGatewayIP.txtfor/fskip=2tokens=13%%Gin(GatewayIP.txt)dosetGatewayIP=%%G::::::::::::::::::::FindGatewayMacifexistGatewayMac.txtdelGatewayMac.txtarp-dping-n1%GatewayIP%arp-a%GatewayIP%GatewayMac.txtfor/fskip=3tokens=2%%Hin(GatewayMac.txt)dosetGatewayMac=%%H::::::::::::::::::::BindGatewayIP&Macarp-s%LocalIP%%LocalMac%arp-s%GatewayIP%%GatewayMac%exitSymantecEndpointProtectionSymantecEndpointProtection提供了高级威胁防护功能,可保护您的端点(笔记本电脑、台式计算机和服务器)不受已知威胁和未知威胁的攻击。SymantecEndpointProtection可防范恶意软件,如病毒、蠕虫、特洛伊木马、间谍软件和广告软件。它甚至可防范能避开传统安全措施的最复杂的攻击,如Rootkit、零时差攻击和变种的间谍软件。SymantecEndpointProtection为您的端点计算设备提供了多层防护。Symantec端点安全解决方案反间谍软件客户防火墙O/S保护防反堆栈溢出主机IPS外设控制防病毒网络IPS策略符合性检查和自动修复保护技术数据和文件系统网络连接操作系统内存/程序应用软件蠕虫、探寻和攻击病毒、特洛伊木马、恶意软件和间谍软件恶意软件、Rootkits、零日漏洞缓冲溢出攻击、程序注入、按键记录零日攻击、恶意软件、特洛伊木马、应用程序注入I/O设备Slurping、IP窃取、恶意软件行为保护对象威胁移动终端、非法接入、外设管理、外联管理、行为监控赛门铁克企业保护SEP赛门铁克防病毒SAV赛门铁克网络准入控制SNAC赛门铁克解决方案统一端点安全管理SPMSymantecEndpointProtection及时进行系统补丁更新每日升级病毒库邮件的附件,QQ或MSN上传递的文件先杀毒再打开移动存储如U盘,MP3,MP4等使用前先扫描病毒浏览网页时不要随便安装Active插件定期对硬盘进行全盘扫描,查杀病毒不要轻易点击网页上及弹出窗口的中奖广告客户端安全: