GSN新功能：ARP立體防御方案介紹

1、GSNGSN：ARPARP立體防御立體防御ARPARP攻擊原理與常見防御手段攻擊原理與常見防御手段1 1ARPARP立體防御技術原理立體防御技術原理2 2實地測試效果實地測試效果3 3ARPARP立體防御技術優(yōu)勢總結(jié)立體防御技術優(yōu)勢總結(jié)4 4ARP欺騙攻擊原理ARP攻擊原理簡介l 通過偽造虛假源IP、源MAC地址的ARP報文，導致網(wǎng)關或主機無法找到正確的通信對象。l ARP攻擊利用了ARP協(xié)議本身的缺陷，在IPv4的網(wǎng)絡大環(huán)境中難以徹底根除。用戶攻擊者我是網(wǎng)關，把數(shù)據(jù)都發(fā)給我OK，馬上照辦！欺騙攻擊常見ARP攻擊類型以盜取數(shù)據(jù)為目的：ARP欺騙攻擊l 冒充網(wǎng)關欺騙主機l 冒充主機欺騙網(wǎng)關l 冒

2、充主機欺騙其它主機以搗亂破壞為目的：ARP泛洪攻擊l 攻擊局域網(wǎng)主機l 攻擊網(wǎng)關ARP欺騙攻擊冒充網(wǎng)關欺騙主機l 攻擊者以網(wǎng)關的身份偽造虛假的ARP回應報文，欺騙局域網(wǎng)內(nèi)的其它主機l 主機所有流向外網(wǎng)的流量全部被攻擊者截取正常用戶網(wǎng)關我是網(wǎng)關知道了欺騙攻擊用戶數(shù)據(jù)攻擊者ARP欺騙攻擊冒充主機欺騙網(wǎng)關l 攻擊者以正常用戶的身份偽造虛假的ARP回應報文，欺騙網(wǎng)關l 網(wǎng)關發(fā)給該用戶的所有數(shù)據(jù)全部被攻擊者截取正常用戶網(wǎng)關我是小白知道了欺騙攻擊用戶數(shù)據(jù)攻擊者ARP欺騙攻擊ARP欺騙攻擊行為l ARP欺騙攻擊一般都會結(jié)合網(wǎng)關欺騙和主機欺騙兩種方式，進行中間人（Man In The Middle）欺騙。l

3、用戶的所有正常流量都會被攻擊者截取，導致用戶重要數(shù)據(jù)被盜。l 常見的有網(wǎng)游盜號工具、惡意木馬、病毒等等ARP泛洪攻擊搗亂破壞型：ARP泛洪攻擊l 攻擊者偽造大量虛假源MAC和源IP信息的報文，對局域網(wǎng)內(nèi)的所有主機和網(wǎng)關進行廣播，干擾正常通信。正常用戶網(wǎng)關我是小白我是網(wǎng)關我是小白在哪？泛洪攻擊攻擊者網(wǎng)關在哪？ARP欺騙攻擊ARP泛洪攻擊行為l ARP泛洪攻擊的對象可以是單個主機或網(wǎng)關，也可以是局域網(wǎng)所有機器。l 目的在于令局域網(wǎng)內(nèi)部的主機或網(wǎng)關找不到正確的通信對象，甚至用虛假地址信息直接占滿網(wǎng)關ARP緩存空間，造成用戶無法正常上網(wǎng)，屬于損人不利己的搗亂攻擊行為。l 常見的有網(wǎng)絡執(zhí)法官、WinAR

4、P Attacker等等常見防御手段主機端靜態(tài)綁定l 在主機上用“arp -s”命令靜態(tài)綁定正確的網(wǎng)關ARP信息效果l 可以防御攻擊者冒充網(wǎng)關對主機進行欺騙的攻擊行為缺陷l 每次系統(tǒng)重啟后需要重新靜態(tài)綁定l 需要對每一臺主機單獨進行手動配置，工作量巨大且可操作性不高l 只能進行主機端的防御，如果網(wǎng)關遭到欺騙攻擊，該方法無能為力常見防御手段網(wǎng)關靜態(tài)綁定l 在網(wǎng)關上靜態(tài)綁定局域網(wǎng)主機正確的ARP信息效果l 可以防御攻擊者冒充主機對網(wǎng)關進行欺騙的攻擊行為缺陷l 只能適用于靜態(tài)IP地址的網(wǎng)絡環(huán)境l 局域網(wǎng)主機數(shù)量越多，管理維護工作量越大l 只能進行單向的被動防御，不能防止主機受欺騙常見防御手段網(wǎng)關定期

5、發(fā)送免費ARPl 網(wǎng)關定期向局域網(wǎng)廣播自己的ARP信息，幫助受欺騙攻擊的主機找到正確的網(wǎng)關。效果l 可以防御攻擊者冒充主機對網(wǎng)關進行欺騙的攻擊行為缺陷l 網(wǎng)關需要定期廣播免費ARP報文，占用CPU資源，耗費網(wǎng)絡帶寬。l 網(wǎng)關廣播的速度永遠也趕不上欺騙報文的發(fā)送速度，收效甚微。常見防御手段交換機進行ARP檢查l 由交換機對接收到的每一個ARP報文進行檢查，發(fā)現(xiàn)偽造虛假網(wǎng)關地址的報文則丟棄處理。效果l 可以防御攻擊者冒充網(wǎng)關對主機進行欺騙的攻擊行為。缺陷l 不能防御攻擊者冒充主機欺騙網(wǎng)關或其它主機的攻擊行為。GSNGSN：ARPARP立體防御立體防御ARPARP攻擊原理與常見防御手段攻擊原理與常見

6、防御手段1 1ARPARP立體防御技術原理立體防御技術原理2 2實地測試效果實地測試效果3 3ARPARP立體防御技術優(yōu)勢總結(jié)立體防御技術優(yōu)勢總結(jié)4 4ARP立體防御技術原理網(wǎng)網(wǎng)關關防防御御接接入入層層防防御御用用戶戶端端防防御御三重工事，縱深防御三重工事，縱深防御第一重：網(wǎng)關防御l SMP通過SAM學習已通過認證的合法用戶的IP-MAC對應關系l SMP將用戶的ARP信息通知相應網(wǎng)關l 網(wǎng)關生成對應用戶的可信任ARP表項用戶ARP信息RG-SMPRG-SU網(wǎng)關S21XX生成可信任ARP表項：用戶A：MACIP端口用戶A三重工事，縱深防御第一重：網(wǎng)關防御l 攻擊者冒充用戶IP對網(wǎng)關進行欺騙l

7、真正的用戶已經(jīng)在網(wǎng)關的可信任ARP表項中，欺騙行為失敗RG-SMPRG-SU網(wǎng)關S21XX攻擊者可信任ARP表項：用戶A：MACIP端口用戶A我是用戶A三重工事，縱深防御Tips：什么是可信任ARP？l 可信任可信任ARP是是GSN功能專署的表項功能專署的表項l 通過聯(lián)動SMP，動態(tài)學習已通過認證的用戶ARP，保障合法用戶的上網(wǎng)質(zhì)量。l 可信任可信任ARP是是一種介于靜態(tài)和動態(tài)一種介于靜態(tài)和動態(tài)ARP之間的地址表項之間的地址表項l 與靜態(tài)ARP不同，可信任ARP也有老化機制，過期自動刪除；l 可信任ARP有專門預留的地址空間，不會被動態(tài)ARP所修改。l 能夠自動檢測用戶是否在線能夠自動檢測用戶

8、是否在線l 可信任ARP老化時，會自動檢測用戶在線情況，如果用戶在線，會自動恢復生存周期三重工事，縱深防御第二重：用戶端防御l 在SMP上設置網(wǎng)關的正確IPMAC對應信息l 用戶認證通過，SMP將網(wǎng)關的ARP信息下傳至SUl SU靜態(tài)綁定網(wǎng)關的ARPRG-SMPRG-SU網(wǎng)關S21XX設置網(wǎng)關ARP信息IPMAC網(wǎng)關信息下傳至用戶靜態(tài)綁定網(wǎng)關ARP三重工事，縱深防御第二重：用戶端防御l 攻擊者冒充網(wǎng)關欺騙合法用戶l 用戶已經(jīng)靜態(tài)綁定網(wǎng)關地址，欺騙攻擊無效RG-SMPRG-SU網(wǎng)關S21XX靜態(tài)綁定網(wǎng)關ARP我是網(wǎng)關三重工事，縱深防御第三重：交換機非法報文過濾l 用戶認證通過后，21交換機會在接

9、入端口上綁定用戶的IPMAC對應信息。l 21對報文的源地址進行檢查，對非法的攻擊報文一律丟棄處理。l 該操作不占用交換機CPU資源，直接由端口芯片處理。RG-SMPRG-SU網(wǎng)關S21XX綁定用戶的IPMAC信息三重工事，縱深防御第三重：交換機非法報文過濾l 攻擊者偽造源IP和MAC地址發(fā)起攻擊l 報文不符合綁定規(guī)則，被交換機丟棄。RG-SMPRG-SU網(wǎng)關S21XX靜態(tài)綁定網(wǎng)關ARP我是網(wǎng)關GSNGSN：ARPARP立體防御立體防御ARPARP攻擊原理與常見防御手段攻擊原理與常見防御手段1 1ARPARP立體防御技術原理立體防御技術原理2 2實地測試效果實地測試效果3 3ARPARP立體防

10、御技術優(yōu)勢總結(jié)立體防御技術優(yōu)勢總結(jié)4 4測試方案一：模擬攻擊測試環(huán)境l 某校學生宿舍5號、8號樓l 總?cè)藬?shù)600人，高峰期在線400500人l 250人左右已升級至SU3.04（支持ARP防御功能）l 網(wǎng)關和SMP都已啟用防ARP欺騙功能測試方案l 從使用3.0版和3.04版SU的主機中分別隨機抽取一臺，使用Win ARP Attacker軟件假冒網(wǎng)關對兩臺主機發(fā)起攻擊，通過ping測試驗證攻擊效果。模擬攻擊測試將測試用PC接入5號樓學生所在網(wǎng)段網(wǎng)段地址：172.22.9.0/24網(wǎng)關地址：172.22.9.1模擬攻擊測試確認攻擊目標l 在線并且未升級SU的肉雞：172.22.9.49模擬攻擊

11、測試攻擊目標機器l 使用Win ARP Attacker偽造網(wǎng)關對目標進行攻擊模擬攻擊測試驗證測試效果模擬攻擊測試確定對比測試目標l 另找一臺已升級到SU 3.04的肉雞：172.22.9.25模擬攻擊測試繼續(xù)對目標機器進行攻擊模擬攻擊測試驗證對比測試效果百試不爽的攻擊手段失效了！測試方案二：實地測試效果測試環(huán)境l 網(wǎng)絡中心機房，300多臺學生用機，病毒木馬泛濫l 機房老師反映網(wǎng)絡頻繁掉線，存在大量ARP攻擊事件測試方案l 使用測試主機接入機房網(wǎng)絡，運行ARP防火墻軟件觀察網(wǎng)絡中存在的ARP攻擊狀況，并在實際使用中觀察GSN防ARP攻擊功能啟用前和啟用后的情況實際環(huán)境測試將待測主機接入機房網(wǎng)絡

12、網(wǎng)段地址：210.34.136.0/24網(wǎng)關地址：210.34.136.1實際環(huán)境測試網(wǎng)絡環(huán)境中ARP欺騙攻擊泛濫l 300多臺學生用機缺乏管理，成了病毒、木馬的動物園l 使用ARP防火墻，在一分鐘內(nèi)便觀察到海量攻擊事件實際環(huán)境測試實際使用情況：l 平均每5分鐘掉線一次實際環(huán)境測試攻擊行為分析l 本地ARP緩存中網(wǎng)關對應表項信息正確，但ping網(wǎng)關失去響應，通過抓包判斷網(wǎng)關受到ARP欺騙攻擊，導致測試PC斷網(wǎng)實際環(huán)境測試啟用GSN防ARP攻擊功能實際環(huán)境測試啟用防ARP功能后的試運行觀察l 試用兩個小時，網(wǎng)絡正常，沒有受到任何影響！風大浪大，依然屹立不倒！GSNGSN：ARPARP立體防御立體

13、防御ARPARP攻擊原理與常見防御手段攻擊原理與常見防御手段1 1ARPARP立體防御技術原理立體防御技術原理2 2實地測試效果實地測試效果3 3ARPARP立體防御技術優(yōu)勢總結(jié)立體防御技術優(yōu)勢總結(jié)4 4技術優(yōu)勢總結(jié)防御欺騙攻擊效果顯著l 對各種ARP欺騙攻擊軟件和病毒、木馬能夠進行有效的防御，確保網(wǎng)絡通信的可靠l 網(wǎng)絡執(zhí)法官、WinARP Attacker、盜號木馬、惡性網(wǎng)絡病毒、網(wǎng)絡嗅探軟件零網(wǎng)絡負荷l 無需大量廣播免費ARP報文，不會對網(wǎng)絡造成額外負荷操作簡單，配置方便l 只需要簡單的配置，便可實現(xiàn)全網(wǎng)ARP的立體防御l 學生注冊IP、MAC，老師手動添加靜態(tài)ARP地址的時代一去不復返了，上萬用戶的ARP管理成為現(xiàn)實。技術優(yōu)勢總結(jié)業(yè)界領先l 防ARP攻擊方案依托于現(xiàn)有的GSN方案的強大數(shù)據(jù)源和聯(lián)動能力，尚沒有其它廠商能夠?qū)崿F(xiàn)類似的防ARP欺騙解決方案。l 從各個源頭徹底阻斷攻擊行為的產(chǎn)生，干凈利落不留后患。l 效果絕非“ARP防火墻”等小軟件可輕易實現(xiàn)?？蛻舴答伭己胠 集美大學李主任