VOLANS认证培训 ——ARP攻击与防御
飞鱼星认证培训体系 第2页
ARP攻击与防御 学完本章需要掌握的要点 ARP工作原理 ARP攻击原理 ARP各种攻击及防御方式 分析、定位、解决ARP问题 第3页
ARP工作原理 ARP 请求 ARP 请求 ARP 请求 ARP 请求 X A Y B Z 209.0.0.5 209.0.0.6 我是 209.0.0.5,MAC是 00-00-C0-15-AD-18。我想知道主机 209.0.0.6 的MAC ARP 请求 ARP 请求 ARP 请求 ARP 请求 X A Y B Z 209.0.0.5 209.0.0.6 00-00-C0-15-AD-18 我是 209.0.0.6 MAC是 08-00-2B-00-EE-0A 第4页
ARP攻击原理 掉线!!! B A C D Internet 第5页 192.168.0.1 MAC:003C50000001 192.168.0.8 192.168.0.5 MAC:003C50000002 192.168.0.6 192.168.0.7 我是网关,网关的MAC地址是003C50000002 第5页
ARP攻击方式一 对路由器ARP表的欺骗; 截获网关数据。 病毒源通知路由器一系列错误的内网MAC地址,并按照一定的频率不断进行,使真实的地址信息无法通过更新保存在路由器中,结果路由器的所有数据只能发送给错误的MAC地址,造成正常PC无法收到信息。 解决办法:路由器上绑定客户机IP/MAC对应关系。 第6页
ARP攻击方式二 对内网PC的网关欺骗。(常见的最主要的攻击方式) 解决办法:在客户机上绑定内网网关IP/MAC对应关系。 第7页
ARP攻击方式三 PC对PC的地址欺骗 伪造PC地址信息,原理同网关欺骗。影响小,只会影响单台计算机的通讯,更多用于嗅探功能。 解决办法:在客户机上对自己的IP/MAC进行绑定。 第8页
ARP欺骗的表现 中ARP攻击的表现: 1、网络出现大面积掉线和卡的情况。 2、电脑挨个掉线或卡。 3、出现故障的电脑上,(ARP-A)显示内网网关MAC地址有误。 第9页
ARP防御方法一——双向绑定(客户端的绑定) 终于找到比批处理 更好的绑定方式 双向绑定(双向绑定缺一不可) 一绑路由器 自动绑定 绿色软件 永久免费 第10页
ARP防御方法一——双向绑定(路由器端的绑定) 双向绑定(双项绑定缺一不可) 二绑客户机 太方便啦!!! 一键绑定 第11页
VR系列产品自动绑定功能 1、实现动态学习,自动绑定。 2、超时机制保证及时获得正确的IP-MAC对应信息。 第12页
VE系列IP/MAC绑定——绑定列表 第13页
VE系列IP/MAC绑定——批量绑定 支持手动批量绑定 第14页
VE系列ARP信任机制 1、禁止未被绑定的通过与本项功能不可同时开启 2、超时机制会对内网IP/MAC重新学习 第15页
ARP攻击防御方法二——路由开启ARP防御保护 通过路由器网关发送一定频率的广播包,告知每台客户正确的网关地址。 第16页
ARP攻击防御方法三——飞鱼星整体解决方案 1、防火墙路由器和安全交换机自动侦测网络风险。 2、当内网产生ARP攻击时,系统主控设备将安全策略和处理机制自动下发到安全事件发生的网络区域。 3、安全交换机在物理端口实施安全管制,彻底解决ARP攻击问题。 第17页
三种防御方式的比较 双向绑定: 1、流行的病毒程序具有解除绑定功能,解绑后再进行攻击。 2、目前的ARP攻击常与flood攻击结合,当攻击频率到达一定数量级别,网络出现拥塞,网络质量下降。 开启路由ARP防御功能: 1、增加网络数据流量。 2、当攻击频率达到一定数量级别,广播包增大,影响网络质量 路由引防御高频率攻击而转发数据性能下降。 飞鱼星网络安全联动系统防御ARP攻击 合理、完整的方案彻底解决ARP攻击。 第18页
如何发现ARP病毒源 方法一:在掉线的计算机上利用ARP-A命令查看网关对应MAC地址信息,利用该MAC地址查找病毒源(当攻击伪造不存在的MAC地址信息时,该方法失效)。 方法二:在路由中查看“网络攻击报警”,查找攻击源。 方法三:利用SNIFFER软件在镜像口抓取ARP回应包(注意: 定义过滤器),如MAC地址为伪造地址则通过该软件 分析网络内部数据流向。 第19页
ARP攻击抓包分析 MAC:00-0A-EB-82-F7-14的计算机冒充网关地址:192.168.0.1 向内网其他计算机频繁发送错误的对应关系,导致网络整体掉线。 解决办法:查该MAC地址所对应的计算机,隔离后做清理程序病毒处理。 第20页
实验:如何实现内网ARP攻击。 实验工具:两台计算机、一台路由、外网接入环境,sniffer工具等。 实验结果:通过A计算机向B台计算机的ARP回应包发送,欺骗B计算机学习的网关IP-MAC对应关系,B计算机出现掉线情况。网关智能绑定精灵的启用后,出现攻击提示且B计算机网络恢复。 第21页
飞 鱼 星 VOLANS 认 证 培 训 感 谢 您 的 参 与 ! 问题建议反馈: 飞鱼星VOLANS认证培训中心 TEL:028-85336711 /22/33 QQ:82341124 第22页