Presentation is loading. Please wait.

Presentation is loading. Please wait.

以SNMP偵測阻斷區域網路ARP欺騙行為

Published byΑνυβις Αυγερινός Modified 6年之前

Similar presentations

Presentation on theme: "以SNMP偵測阻斷區域網路ARP欺騙行為"— Presentation transcript:

1 以SNMP偵測阻斷區域網路ARP欺騙行為
郭蕭禎 謝進利 許忠強 遠東科技大學資訊管理系

2 內容 前言 相關研究 研究方法 實做 結論

3 前言 本論文將實做一個非常經濟的偵測方法 經由簡單的判斷即可偵測得知區域網路中是否已經發 生了ARP欺騙的事件
利用提供有SNMP功能的閘道器,讀取其SNMP資訊中 有關網路設備上的IP位址與MAC位址對應的暫存表 經由簡單的判斷即可偵測得知區域網路中是否已經發 生了ARP欺騙的事件 再搭配具有鎖定MAC位址於網路介面的交換器,即可 達成防制ARP欺騙的目的

4 相關研究-ARP協定 Address Resolution Protocol (ARP)位址解析協定是使 用在區域網路中,為了取得IP位址與MAC位址的動態 對應 ARP有兩種主要的訊息: ARP要求:是一個載明了需要轉換成MAC位址的IP位址 的訊框,通常是以廣播的方式在區域網路內傳送。 ARP回應:是一個回覆了相關IP位址所對映到的MAC位 址的訊框,通常是以點對點的方式傳送給發出ARP要求 的電腦主機。

5 相關研究-ARP協定

6 相關研究-ARP弱點 所有的電腦主機對於ARP回應所回覆的MAC位址,都 會毫無懷疑的將它存放在ARP快取記憶體中
沒有記錄訊息的傳送與接收狀態,即使有多次的ARP 回應陸續到來或是在沒有送出任何ARP要求的狀況下, 仍然會接收ARP回應訊息

7 相關研究- ARP欺騙(ARP SPOOFING)

8 相關研究- ARP欺騙(ARP SPOOFING)
阻斷服務DoS(denial-of-service)攻擊 當欺騙的ARP回應使用不存在的MAC位址,被攻擊的主機將 無法正常對外部網路連線 主機假冒攻擊 欺騙者對於被攻擊者的封包以假造的資訊作為回覆 中間人Man-In-The-Middle(MITM)攻擊 資訊已經被攻擊者所監聽,可以輕易獲取敏感的資料,或者 竄改資料

9 相關研究-已知的方法 偵測 阻斷攻擊 區域網路內安裝偵測的主機 在現有區域網路的主機上安裝軟體來偵測 設定靜態的ARP暫存表

10 研究方法 準則一:短時間內同一個IP位址對應到不同的MAC位 址,而且改變的次數過多(阻斷服務攻擊)
偵測ARP欺騙 藉由具備網管功能的閘道器,其SNMP提供ARP暫存表的資 訊 閘道器的ARP暫存表以每隔一段時間讀取一次 判斷所有的MAC位址其前3個位元組是否正常 無法偵測到帶有合法MAC位址的ARP欺騙回應 準則一:短時間內同一個IP位址對應到不同的MAC位 址,而且改變的次數過多(阻斷服務攻擊) 準則二:同一時間一個MAC位址對應的IP個數超過 1個(主機假冒攻擊或中間人攻擊) 此判斷準則適用於同一個網路介面只能擁有一個IP位址 輔以網路管理的規則:規範若有設定兩個以上的IP在同一個 網路介面需求時要提出申請

11 研究方法 ARP欺騙的阻斷 具有埠防禦(port security)功能的交換器
埠防禦功能主要是能將每一個交換器的實體連接埠鎖定在少 數的MAC位址,甚至是一個連接埠只鎖定一個MAC位址 欺騙的ARP回應如果使用了非真實的MAC位址,就沒有 辦法通過交換器送到閘道器或其他主機進行欺騙 偵測得知有ARP欺騙事件時,藉由準則二可以判斷得知 欺騙者的真實MAC位址,利用埠防禦的交換器關閉攻擊 者的實體連接埠

12 實做

13 實做-實驗結果 以每隔1分鐘讀取一次閘道器的ARP暫存表
準則一以最近8分鐘內讀取到的ARP暫存表中同一個IP 位址對應到不同的MAC位址,而且改變的次數超過4 次 我們在區域網路中利用網路攻擊軟體NetCut與 Ettercap來產生ARP欺騙行為

14 實做-實驗結果 NetCut對IP位 址203.64.237.86 電腦進行阻斷 服務DoS攻擊
發生的6分鐘之 後系統立即由 準則一偵測到 此一行為

15 實做-實驗結果 Ettercap軟體對IP 位址203.64.237.89 電腦進行中間人 MITM攻擊來竊聽
攻擊行為發生的1 分鐘之內系統立 即由準則二偵測 到此一行為

16 實做-優點與缺點 優點:在非常節省成本之下做到最大的管理效果 缺點:ARP欺騙若是僅發生在欺騙被攻擊的主機時(沒有 對閘道器進行欺騙)
同時監測很多個區域網路 不需在每個區域網路中安裝偵測主機 不需要求每一位網路使用者必須安裝軟體 不需花費很大的心力去更改閘道器或交換器的韌體 當然不用花大錢去購買更新所有的交換器 缺點:ARP欺騙若是僅發生在欺騙被攻擊的主機時(沒有 對閘道器進行欺騙) 建議在區域網路中的主機,針對預設閘道去設定靜態的ARP 對應 缺點:本系統位在網際網路的遠端進行偵測,若中途網路 擁塞或中斷,則系統反應時間將因此延遲 建議將系統放置於越接近偵測的區域網路預設閘道越好

17 結論 在本論文中,提出一個非常經濟的ARP欺騙偵測阻斷 系統,解決因為ARP欺騙造成網路服務中斷的問題 不需更改目前的協定
也不需在每個區域網路建置其他裝置或修改軟硬體 利用提供有SNMP資訊的閘道器,在遠端即可監控區 網是否已經發生ARP欺騙的行為 再搭配具有埠防禦功能的交換器接收SNMP訊息,即 可自動阻斷ARP欺騙的行為 給網管人員能夠在不需花費太多的前提下,輕鬆的解 決ARP欺騙的問題

18 Q & A

Download ppt "以SNMP偵測阻斷區域網路ARP欺騙行為"

Similar presentations

Speaker: 黃柏燁  Introduction Wireless Network ◦ 基本的無線傳輸概念 ◦ 介紹目前無線傳輸的標準 ◦ 介紹各種常用的無線傳輸方式  Introduction Wireless Network.

Speaker: 黃柏燁  Introduction Wireless Network ◦ 基本的無線傳輸概念 ◦ 介紹目前無線傳輸的標準 ◦ 介紹各種常用的無線傳輸方式  Introduction Wireless Network.
天水圍的體育設施.

天水圍的體育設施.
當我已老 謹以此文獻給像我一樣流浪在外的子女們.

當我已老 謹以此文獻給像我一樣流浪在外的子女們.
加速推进所级系统试运行工作 确保ARP一期目标的实现

加速推进所级系统试运行工作 确保ARP一期目标的实现
第6章:计算机网络基础 网考小组.

第6章:计算机网络基础 网考小组.
2015年12月14日-2015年12月20日 缩略版.

2015年12月14日-2015年12月20日 缩略版.
第2单元 信息获取与数字化.

第2单元 信息获取与数字化.
指導老師:羅夏美 組別:第四組 組員: 車輛二甲 蔡中銘 車輛三甲 莊鵬彥 國企二甲 陳于甄 國企二甲 詹雯晴 資傳二乙 林怡芳

指導老師:羅夏美 組別:第四組 組員: 車輛二甲 蔡中銘 車輛三甲 莊鵬彥 國企二甲 陳于甄 國企二甲 詹雯晴 資傳二乙 林怡芳
Wireshark 03/03/2017.

Wireshark 03/03/2017.
國立屏東科技大學通識教育中心 助理教授 王國安

國立屏東科技大學通識教育中心 助理教授 王國安
关于借款和报销的 具体规定 2012.08.29 中国科学院南海海洋研究所 资产财务处.

关于借款和报销的 具体规定 中国科学院南海海洋研究所 资产财务处.
专利知识介绍 科技处-知识产权办 2012年9月13日.

专利知识介绍 科技处-知识产权办 2012年9月13日.
审计案例研究 第一讲 辅导教师 周桂芝.

审计案例研究 第一讲 辅导教师 周桂芝.
龙芯多媒体电脑教室培训 龙梦极域电子教室 江苏龙芯梦兰科技股份有限公司.

龙芯多媒体电脑教室培训 龙梦极域电子教室 江苏龙芯梦兰科技股份有限公司.
彭江波.

彭江波.
二十世纪外国文学专题 章丘电大 李颜.

二十世纪外国文学专题 章丘电大 李颜.
VOLANS认证培训 ——ARP攻击与防御.

VOLANS认证培训 ——ARP攻击与防御.
第四章 网络层 网络层 网络层 网络层 网络层 网络层.

第四章 网络层 网络层 网络层 网络层 网络层 网络层.
追求卓越、助力发展 是ARP党支部不断奋斗的目标 ARP中心支部“七一”评优报告 2014年6月20日

追求卓越、助力发展 是ARP党支部不断奋斗的目标 ARP中心支部“七一”评优报告 2014年6月20日
“网络问政”给九江新闻网 带来新的发展机遇 -- 九江新闻网 高立东 --.

“网络问政”给九江新闻网 带来新的发展机遇 -- 九江新闻网 高立东 --.

Similar presentations

Ads by Google