GSN新功能：ARP立體防御方案介紹

1、GSN重拳出擊：ARP立體防御方案介紹產(chǎn)品部 沈世海2007年4月GSN：ARP立體防御御ARP攻擊原理與常見防御手段1ARP立體防御技術(shù)原理2實(shí)地測(cè)試效果3ARP立體防御技術(shù)優(yōu)勢(shì)總結(jié)4ARP欺欺騙攻擊擊原理ARP攻攻擊原理理簡(jiǎn)介通過偽造造虛假源源IP、源MAC地址址的ARP報(bào)文文，導(dǎo)致致網(wǎng)關(guān)或或主機(jī)無無法找到到正確的的通信對(duì)對(duì)象。ARP攻攻擊利用用了ARP協(xié)議議本身的的缺陷，在IPv4的的網(wǎng)絡(luò)大大環(huán)境中中難以徹徹底根除除。用戶攻擊者我是網(wǎng)關(guān)關(guān)，把數(shù)數(shù)據(jù)都發(fā)發(fā)給我OK，馬上照照辦！欺騙攻擊擊常見ARP攻擊擊類型以盜取數(shù)數(shù)據(jù)為目目的：ARP欺欺騙攻擊擊冒充網(wǎng)關(guān)關(guān)欺騙主主機(jī)冒充主機(jī)機(jī)欺騙網(wǎng)網(wǎng)關(guān)冒充

2、主機(jī)機(jī)欺騙其其它主機(jī)機(jī)以搗亂破破壞為目目的：ARP泛泛洪攻擊擊攻擊局域域網(wǎng)主機(jī)機(jī)攻擊網(wǎng)關(guān)關(guān)ARP欺欺騙攻擊擊冒充網(wǎng)關(guān)關(guān)欺騙主主機(jī)攻擊者以以網(wǎng)關(guān)的的身份偽偽造虛假假的ARP回應(yīng)應(yīng)報(bào)文，欺騙局局域網(wǎng)內(nèi)內(nèi)的其它它主機(jī)主機(jī)所有有流向外外網(wǎng)的流流量全部部被攻擊擊者截取取正常用戶戶網(wǎng)關(guān)我是網(wǎng)關(guān)關(guān)知道了欺騙攻擊擊用戶數(shù)據(jù)據(jù)攻擊者ARP欺欺騙攻擊擊冒充主機(jī)機(jī)欺騙網(wǎng)網(wǎng)關(guān)攻擊者以以正常用用戶的身身份偽造造虛假的的ARP回應(yīng)報(bào)報(bào)文，欺欺騙網(wǎng)關(guān)關(guān)網(wǎng)關(guān)發(fā)給給該用戶戶的所有有數(shù)據(jù)全全部被攻攻擊者截截取正常用戶戶網(wǎng)關(guān)我是小白白知道了欺騙攻擊擊用戶數(shù)據(jù)據(jù)攻擊者ARP欺欺騙攻擊擊ARP欺欺騙攻擊擊行為ARP欺欺騙攻擊擊一般都都

3、會(huì)結(jié)合合網(wǎng)關(guān)欺欺騙和主主機(jī)欺騙騙兩種方方式，進(jìn)進(jìn)行中間間人（ManInThe Middle）欺欺騙。用戶的所所有正常常流量都都會(huì)被攻攻擊者截截取，導(dǎo)導(dǎo)致用戶戶重要數(shù)數(shù)據(jù)被盜盜。常見的有有網(wǎng)游盜盜號(hào)工具具、惡意意木馬、病毒等等等ARP泛泛洪攻擊擊搗亂破壞壞型：ARP泛泛洪攻擊擊攻擊者偽偽造大量量虛假源源MAC和源IP信息息的報(bào)文文，對(duì)局局域網(wǎng)內(nèi)內(nèi)的所有有主機(jī)和和網(wǎng)關(guān)進(jìn)進(jìn)行廣播播，干擾擾正常通通信。正常用戶戶網(wǎng)關(guān)我是小白白我是網(wǎng)關(guān)關(guān)我是小白在哪哪？泛洪攻擊擊攻擊者網(wǎng)關(guān)在哪哪？ARP欺欺騙攻擊擊ARP泛泛洪攻擊擊行為ARP泛泛洪攻擊擊的對(duì)象象可以是是單個(gè)主主機(jī)或網(wǎng)網(wǎng)關(guān)，也也可以是是局域網(wǎng)網(wǎng)所有機(jī)機(jī)器

4、。目的在于于令局域域網(wǎng)內(nèi)部部的主機(jī)機(jī)或網(wǎng)關(guān)關(guān)找不到到正確的的通信對(duì)對(duì)象，甚甚至用虛虛假地址址信息直直接占滿滿網(wǎng)關(guān)ARP緩緩存空間間，造成成用戶無無法正常常上網(wǎng)，屬于損損人不利利己的搗搗亂攻擊擊行為。常見的有有網(wǎng)絡(luò)執(zhí)執(zhí)法官、WinARP Attacker等等常見防御御手段主機(jī)端靜靜態(tài)綁定定在主機(jī)上上用“arp-s”命令靜靜態(tài)綁定定正確的的網(wǎng)關(guān)ARP信信息效果可以防御御攻擊者者冒充網(wǎng)網(wǎng)關(guān)對(duì)主主機(jī)進(jìn)行行欺騙的的攻擊行行為缺陷每次系統(tǒng)統(tǒng)重啟后后需要重重新靜態(tài)態(tài)綁定需要對(duì)每每一臺(tái)主主機(jī)單獨(dú)獨(dú)進(jìn)行手手動(dòng)配置置，工作作量巨大大且可操操作性不不高只能進(jìn)行行主機(jī)端端的防御御，如果果網(wǎng)關(guān)遭遭到欺騙騙攻擊，該方法法

5、無能為為力常見防御御手段網(wǎng)關(guān)靜態(tài)態(tài)綁定在網(wǎng)關(guān)上上靜態(tài)綁綁定局域域網(wǎng)主機(jī)機(jī)正確的的ARP信息效果可以防御御攻擊者者冒充主主機(jī)對(duì)網(wǎng)網(wǎng)關(guān)進(jìn)行行欺騙的的攻擊行行為缺陷只能適用用于靜態(tài)態(tài)IP地地址的網(wǎng)網(wǎng)絡(luò)環(huán)境境局域網(wǎng)主主機(jī)數(shù)量量越多，管理維維護(hù)工作作量越大大只能進(jìn)行行單向的的被動(dòng)防防御，不不能防止止主機(jī)受受欺騙常見防御御手段網(wǎng)關(guān)定期期發(fā)送免免費(fèi)ARP網(wǎng)關(guān)定期期向局域域網(wǎng)廣播播自己的的ARP信息，幫助受受欺騙攻攻擊的主主機(jī)找到到正確的的網(wǎng)關(guān)。效果可以防御御攻擊者者冒充主主機(jī)對(duì)網(wǎng)網(wǎng)關(guān)進(jìn)行行欺騙的的攻擊行行為缺陷網(wǎng)關(guān)需要要定期廣廣播免費(fèi)費(fèi)ARP報(bào)文，占用CPU資資源，耗耗費(fèi)網(wǎng)絡(luò)絡(luò)帶寬。網(wǎng)關(guān)廣播播的速度度永遠(yuǎn)也

6、也趕不上上欺騙報(bào)報(bào)文的發(fā)發(fā)送速度度，收效效甚微。常見防御御手段交換機(jī)進(jìn)進(jìn)行ARP檢查查由交換機(jī)機(jī)對(duì)接收收到的每每一個(gè)ARP報(bào)報(bào)文進(jìn)行行檢查，發(fā)現(xiàn)偽偽造虛假假網(wǎng)關(guān)地地址的報(bào)報(bào)文則丟丟棄處理理。效果可以防御御攻擊者者冒充網(wǎng)網(wǎng)關(guān)對(duì)主主機(jī)進(jìn)行行欺騙的的攻擊行行為。缺陷不能防御御攻擊者者冒充主主機(jī)欺騙騙網(wǎng)關(guān)或或其它主主機(jī)的攻攻擊行為為。GSN：ARP立體防御御ARP攻擊原理與常見防御手段1ARP立體防御技術(shù)原理2實(shí)地測(cè)試效果3ARP立體防御技術(shù)優(yōu)勢(shì)總結(jié)4ARP立立體防御御技術(shù)原原理網(wǎng)關(guān)防御御接入層防防御用戶端防防御三重工事事，縱深深防御三重工事事，縱深深防御第一重：網(wǎng)關(guān)防防御SMP通通過SAM學(xué)習(xí)習(xí)已通

7、過過認(rèn)證的的合法用用戶的IP-MAC對(duì)對(duì)應(yīng)關(guān)系系SMP將將用戶的的ARP信息通通知相應(yīng)應(yīng)網(wǎng)關(guān)網(wǎng)關(guān)生成成對(duì)應(yīng)用用戶的可可信任ARP表表項(xiàng)用戶ARP信息RG-SMPRG-SU網(wǎng)關(guān)S21XX生成可信信任ARP表項(xiàng)：用戶A：MACIP端口用戶A三重工事事，縱深深防御第一重：網(wǎng)關(guān)防防御攻擊者冒冒充用戶戶IP對(duì)對(duì)網(wǎng)關(guān)進(jìn)進(jìn)行欺騙騙真正的用用戶已經(jīng)經(jīng)在網(wǎng)關(guān)關(guān)的可信信任ARP表項(xiàng)項(xiàng)中，欺欺騙行為為失敗RG-SMPRG-SU網(wǎng)關(guān)S21XX攻擊者可信任ARP表項(xiàng)：用戶A：MACIP端口用戶A我是用戶戶A三重工事事，縱深深防御Tips：什么么是可信信任ARP？可信任ARP是是GSN功功能專署署的表項(xiàng)項(xiàng)通過聯(lián)動(dòng)動(dòng)SMP

8、，動(dòng)態(tài)態(tài)學(xué)習(xí)已已通過認(rèn)認(rèn)證的用用戶ARP，保保障合法法用戶的的上網(wǎng)質(zhì)質(zhì)量。可信任ARP是是一種介于于靜態(tài)和和動(dòng)態(tài)ARP之之間的地地址表項(xiàng)項(xiàng)與靜態(tài)ARP不不同，可可信任ARP也也有老化化機(jī)制，過期自自動(dòng)刪除除；可信任ARP有有專門預(yù)預(yù)留的地地址空間間，不會(huì)會(huì)被動(dòng)態(tài)態(tài)ARP所修改改。能夠自動(dòng)動(dòng)檢測(cè)用用戶是否否在線可信任ARP老老化時(shí)，會(huì)自動(dòng)動(dòng)檢測(cè)用用戶在線線情況，如果用用戶在線線，會(huì)自自動(dòng)恢復(fù)復(fù)生存周周期三重工事事，縱深深防御第二重：用戶端端防御在SMP上設(shè)置置網(wǎng)關(guān)的的正確IPMAC對(duì)對(duì)應(yīng)信息息用戶認(rèn)證證通過，SMP將網(wǎng)關(guān)關(guān)的ARP信息息下傳至至SUSU靜態(tài)態(tài)綁定網(wǎng)網(wǎng)關(guān)的ARPRG-SMPRG-S

9、U網(wǎng)關(guān)S21XX設(shè)置網(wǎng)關(guān)關(guān)ARP信息IPMAC網(wǎng)關(guān)信息息下傳至用用戶靜態(tài)綁定定網(wǎng)關(guān)ARP三重工事事，縱深深防御第二重：用戶端端防御攻擊者冒冒充網(wǎng)關(guān)關(guān)欺騙合合法用戶戶用戶已經(jīng)經(jīng)靜態(tài)綁綁定網(wǎng)關(guān)關(guān)地址，欺騙攻攻擊無效效RG-SMPRG-SU網(wǎng)關(guān)S21XX靜態(tài)綁定定網(wǎng)關(guān)ARP我是網(wǎng)關(guān)關(guān)三重工事事，縱深深防御第三重：交換機(jī)機(jī)非法報(bào)報(bào)文過濾濾用戶認(rèn)證證通過后后，21交換機(jī)機(jī)會(huì)在接接入端口口上綁定定用戶的的IPMAC對(duì)應(yīng)信信息。21對(duì)報(bào)報(bào)文的源源地址進(jìn)進(jìn)行檢查查，對(duì)非非法的攻攻擊報(bào)文文一律丟丟棄處理理。該操作不不占用交交換機(jī)CPU資資源，直直接由端端口芯片片處理。RG-SMPRG-SU網(wǎng)關(guān)S21XX綁定用戶

10、戶的IPMAC信息三重工事事，縱深深防御第三重：交換機(jī)機(jī)非法報(bào)報(bào)文過濾濾攻擊者偽偽造源IP和MAC地地址發(fā)起起攻擊報(bào)文不符符合綁定定規(guī)則，被交換換機(jī)丟棄棄。RG-SMPRG-SU網(wǎng)關(guān)S21XX靜態(tài)綁定定網(wǎng)關(guān)ARP我是網(wǎng)關(guān)關(guān)GSN：ARP立體防御御ARP攻擊原理與常見防御手段1ARP立體防御技術(shù)原理2實(shí)地測(cè)試效果3ARP立體防御技術(shù)優(yōu)勢(shì)總結(jié)4測(cè)試方案案一：模模擬攻擊擊測(cè)試環(huán)境境某校學(xué)生生宿舍5號(hào)、8號(hào)樓總?cè)藬?shù)600人人，高峰峰期在線線400500人250人人左右已已升級(jí)至至SU3.04（支持持ARP防御功功能）網(wǎng)關(guān)和SMP都都已啟用用防ARP欺騙騙功能測(cè)試方案案從使用3.0版版和3.04版版SU

11、的的主機(jī)中中分別隨隨機(jī)抽取取一臺(tái)，使用WinARP Attacker軟件假假冒網(wǎng)關(guān)關(guān)對(duì)兩臺(tái)臺(tái)主機(jī)發(fā)發(fā)起攻擊擊，通過過ping測(cè)試試驗(yàn)證攻攻擊效果果。模擬攻擊擊測(cè)試將測(cè)試用用PC接接入5號(hào)號(hào)樓學(xué)生生所在網(wǎng)網(wǎng)段網(wǎng)段地址址：172.22.9.0/24網(wǎng)關(guān)地址址：172.22.9.1模擬攻擊擊測(cè)試確認(rèn)攻擊擊目標(biāo)在線并且且未升級(jí)級(jí)SU的的肉雞：172.22.9.49模擬攻擊擊測(cè)試攻擊目標(biāo)標(biāo)機(jī)器使用WinARPAttacker偽偽造網(wǎng)關(guān)關(guān)對(duì)目標(biāo)標(biāo)進(jìn)行攻攻擊模擬攻擊擊測(cè)試驗(yàn)證測(cè)試試效果模擬攻擊擊測(cè)試確定對(duì)比比測(cè)試目目標(biāo)另找一臺(tái)臺(tái)已升級(jí)級(jí)到SU 3.04的的肉雞：172.22.9.25模擬攻擊擊測(cè)試?yán)^續(xù)對(duì)目目

12、標(biāo)機(jī)器器進(jìn)行攻攻擊模擬攻擊擊測(cè)試驗(yàn)證對(duì)比比測(cè)試效效果百試不爽爽的攻擊手段段失效了了！測(cè)試方案案二：實(shí)實(shí)地測(cè)試試效果測(cè)試環(huán)境境網(wǎng)絡(luò)中心心機(jī)房，300多臺(tái)學(xué)學(xué)生用機(jī)機(jī)，病毒毒木馬泛泛濫機(jī)房老師師反映網(wǎng)網(wǎng)絡(luò)頻繁繁掉線，存在大大量ARP攻擊擊事件測(cè)試方案案使用測(cè)試試主機(jī)接接入機(jī)房房網(wǎng)絡(luò)，運(yùn)行ARP防防火墻軟軟件觀察察網(wǎng)絡(luò)中中存在的的ARP攻擊狀狀況，并并在實(shí)際際使用中中觀察GSN防防ARP攻擊功功能啟用用前和啟啟用后的的情況實(shí)際環(huán)境境測(cè)試將待測(cè)主主機(jī)接入入機(jī)房網(wǎng)網(wǎng)絡(luò)網(wǎng)段地址址：210.34.136.0/24網(wǎng)關(guān)地址址：210.34.136.1實(shí)際環(huán)境境測(cè)試網(wǎng)絡(luò)環(huán)境境中ARP欺騙騙攻擊泛泛濫300多多臺(tái)

13、學(xué)生生用機(jī)缺缺乏管理理，成了了病毒、木馬的的動(dòng)物園園使用ARP防火火墻，在在一分鐘鐘內(nèi)便觀觀察到海海量攻擊擊事件實(shí)際環(huán)境境測(cè)試實(shí)際使用用情況：平均每5分鐘掉掉線一次次實(shí)際環(huán)境境測(cè)試攻擊行為為分析本地ARP緩存存中網(wǎng)關(guān)關(guān)對(duì)應(yīng)表表項(xiàng)信息息正確，但ping網(wǎng)網(wǎng)關(guān)失去去響應(yīng)，通過抓抓包判斷斷網(wǎng)關(guān)受受到ARP欺騙騙攻擊，導(dǎo)致測(cè)測(cè)試PC斷網(wǎng)實(shí)際環(huán)境境測(cè)試啟用GSN防ARP攻攻擊功能能實(shí)際環(huán)境境測(cè)試啟用防ARP功功能后的的試運(yùn)行行觀察試用兩個(gè)個(gè)小時(shí)，網(wǎng)絡(luò)正正常，沒沒有受到到任何影影響！風(fēng)大浪大大，依然屹立立不倒！GSN：ARP立體防御御ARP攻擊原理與常見防御手段1ARP立體防御技術(shù)原理2實(shí)地測(cè)試效果3AR

14、P立體防御技術(shù)優(yōu)勢(shì)總結(jié)4技術(shù)優(yōu)勢(shì)勢(shì)總結(jié)防御欺騙騙攻擊效效果顯著著對(duì)各種ARP欺欺騙攻擊擊軟件和和病毒、木馬能能夠進(jìn)行行有效的的防御，確保網(wǎng)網(wǎng)絡(luò)通信信的可靠靠網(wǎng)絡(luò)執(zhí)法法官、WinARPAttacker、盜號(hào)木木馬、惡惡性網(wǎng)絡(luò)絡(luò)病毒、網(wǎng)絡(luò)嗅嗅探軟件件零網(wǎng)絡(luò)負(fù)負(fù)荷無需大量量廣播免免費(fèi)ARP報(bào)文文，不會(huì)會(huì)對(duì)網(wǎng)絡(luò)絡(luò)造成額額外負(fù)荷荷操作簡(jiǎn)單單，配置置方便只需要簡(jiǎn)簡(jiǎn)單的配配置，便便可實(shí)現(xiàn)現(xiàn)全網(wǎng)ARP的的立體防防御學(xué)生注冊(cè)冊(cè)IP、MAC，老師師手動(dòng)添添加靜態(tài)態(tài)ARP地址的的時(shí)代一一去不復(fù)復(fù)返了，上萬用用戶的ARP管管理成為為現(xiàn)實(shí)。技術(shù)優(yōu)勢(shì)勢(shì)總結(jié)業(yè)界領(lǐng)先先防ARP攻擊方方案依托托于現(xiàn)有有的GSN方案案的強(qiáng)大大數(shù)據(jù)源源和聯(lián)動(dòng)動(dòng)能力，尚沒有有其它廠廠商能夠夠?qū)崿F(xiàn)類類似的防防ARP欺騙解解決方案案。從各個(gè)源源頭徹底底阻斷攻攻擊行為為的產(chǎn)生生，干凈凈利落不不留后患患。效果絕非非“ARP防火火墻”等等小軟件件可輕易易實(shí)現(xiàn)?？蛻舴答侌伭己眉来髮W(xué)學(xué)李主任任：“這這個(gè)功能能非常好好，我們們?cè)缇托栊枰?！GS