網路安全管理期末報告 ARP 欺騙攻擊 學生:A0963334 施鈺淇 指導老師:梁明章
What is ARP? 位置解析協定(Address Resolution Protocol–簡稱ARP) ,負責把IP位址和MAC位址進行相互轉換對應。 IP資料包→乙太網→IP位址 →乙太網位址 ARP封包只會在同一個子網路內傳送 ARP→取得目的MAC 位址→區網中傳送 ARP表
What is ARP Spoofing? 電腦中有一個 ARP 快取記憶體 隨著電腦發出ARP請求或是ARP回應而更新 ARP 回應 電 B 電 腦 C 目的IP 1 目的MAC1 源IP3 源MAC2 ARP 快取記憶體的目的是把機器的IP位址和MAC位址相互映射,使得IP資料包在乙太網內得順利而正確找到目的MAC位址,然後正確無誤的傳送。 當機器A上的管理員發出一條FTP命令時---ftp IP3,資料包被送到了Switch,Switch查看資料包中的目的地址,發現MAC為 MAC2 ,於是,他把資料包發到了機器B上,因此成功攻擊機器A。 IP 1 MAC1 IP 2 MAC2 IP 3 MAC3
What is the purpose of ARP Spoofing? Session Hijacking 利用ARP欺騙搶奪使用者正常的連線 Man-in-the-Middle attack 同時欺騙Client端與Server端,使雙方的交談都要透過第三方的轉述,達到欺騙、側錄、竄改資料的目的。 達到欺騙主機、反追蹤或是避開交換器訪問安全存取的安全機制的防護。
What is the purpose of ARP Spoofing? NetCut 製造ARP欺騙封包,讓目標主機的ARP表記錄到錯誤的MAC位址,因此,當目標主機傳送封包後,卻因為收不到回傳的封包而造成連線失敗。 癱瘓網路 龐大的ARP欺騙封包,不僅達到資料側錄、竊取,更可以讓整個網路癱瘓。 達到欺騙主機、反追蹤或是避開交換器訪問安全存取的安全機制的防護。
對於ARP Spoofing的束手無策 如果區域網內具有多個子網路,那麼防火牆/IPS入侵偵測設備通常被設置在核心路由交換器之後,根本沒有機會接觸ARP封包,因此對ARP攻擊束手無策。 即使區域網內只有一個網段,防火牆/IPS入侵偵測設備兼具路由器功能也僅能偵測部分ARP廣播包 使用作業系統(如Linux)的TCP/IP Socket(網路應用程式)就難以偵測ARP數據包 因此目前的防火牆/IPS入侵偵測設備幾乎不具有即時防止欺騙位置解析協定攻擊(ARP Spoofing Attack)」的功能 達到欺騙主機、反追蹤或是避開交換器訪問安全存取的安全機制的防護。
ARP Spoofing的防禦方法 由二層交換器來偵測及阻擋ARP Spoofing攻擊,可以根本地解決ARP衍伸的負面攻擊 NBAD switch ARP掃描偵測- 主要目的是偵測LAN內部ARP掃描行為 ARP異常偵測- 偵測LAN內部用戶傳送不合法封包 ARP攻擊偵測- 主要目的是偵測出哪些用戶正遭受攻擊,並找出攻擊來源 檢測攻擊前的異常行為,達到即時通知管理者。 用在區域網路底層的佈署,一方面提供正常網路封包的基本交換功能,另ㄧ方面也同時解決網路攻擊或流量異常的偵測,以即時反應邊際端的異常狀況