Download presentation
Presentation is loading. Please wait.
1
以SNMP偵測阻斷區域網路ARP欺騙行為
郭蕭禎 謝進利 許忠強 遠東科技大學資訊管理系
2
內容 前言 相關研究 研究方法 實做 結論
3
前言 本論文將實做一個非常經濟的偵測方法 經由簡單的判斷即可偵測得知區域網路中是否已經發 生了ARP欺騙的事件
利用提供有SNMP功能的閘道器,讀取其SNMP資訊中 有關網路設備上的IP位址與MAC位址對應的暫存表 經由簡單的判斷即可偵測得知區域網路中是否已經發 生了ARP欺騙的事件 再搭配具有鎖定MAC位址於網路介面的交換器,即可 達成防制ARP欺騙的目的
4
相關研究-ARP協定 Address Resolution Protocol (ARP)位址解析協定是使 用在區域網路中,為了取得IP位址與MAC位址的動態 對應 ARP有兩種主要的訊息: ARP要求:是一個載明了需要轉換成MAC位址的IP位址 的訊框,通常是以廣播的方式在區域網路內傳送。 ARP回應:是一個回覆了相關IP位址所對映到的MAC位 址的訊框,通常是以點對點的方式傳送給發出ARP要求 的電腦主機。
5
相關研究-ARP協定
6
相關研究-ARP弱點 所有的電腦主機對於ARP回應所回覆的MAC位址,都 會毫無懷疑的將它存放在ARP快取記憶體中
沒有記錄訊息的傳送與接收狀態,即使有多次的ARP 回應陸續到來或是在沒有送出任何ARP要求的狀況下, 仍然會接收ARP回應訊息
7
相關研究- ARP欺騙(ARP SPOOFING)
8
相關研究- ARP欺騙(ARP SPOOFING)
阻斷服務DoS(denial-of-service)攻擊 當欺騙的ARP回應使用不存在的MAC位址,被攻擊的主機將 無法正常對外部網路連線 主機假冒攻擊 欺騙者對於被攻擊者的封包以假造的資訊作為回覆 中間人Man-In-The-Middle(MITM)攻擊 資訊已經被攻擊者所監聽,可以輕易獲取敏感的資料,或者 竄改資料
9
相關研究-已知的方法 偵測 阻斷攻擊 區域網路內安裝偵測的主機 在現有區域網路的主機上安裝軟體來偵測 設定靜態的ARP暫存表
10
研究方法 準則一:短時間內同一個IP位址對應到不同的MAC位 址,而且改變的次數過多(阻斷服務攻擊)
偵測ARP欺騙 藉由具備網管功能的閘道器,其SNMP提供ARP暫存表的資 訊 閘道器的ARP暫存表以每隔一段時間讀取一次 判斷所有的MAC位址其前3個位元組是否正常 無法偵測到帶有合法MAC位址的ARP欺騙回應 準則一:短時間內同一個IP位址對應到不同的MAC位 址,而且改變的次數過多(阻斷服務攻擊) 準則二:同一時間一個MAC位址對應的IP個數超過 1個(主機假冒攻擊或中間人攻擊) 此判斷準則適用於同一個網路介面只能擁有一個IP位址 輔以網路管理的規則:規範若有設定兩個以上的IP在同一個 網路介面需求時要提出申請
11
研究方法 ARP欺騙的阻斷 具有埠防禦(port security)功能的交換器
埠防禦功能主要是能將每一個交換器的實體連接埠鎖定在少 數的MAC位址,甚至是一個連接埠只鎖定一個MAC位址 欺騙的ARP回應如果使用了非真實的MAC位址,就沒有 辦法通過交換器送到閘道器或其他主機進行欺騙 偵測得知有ARP欺騙事件時,藉由準則二可以判斷得知 欺騙者的真實MAC位址,利用埠防禦的交換器關閉攻擊 者的實體連接埠
12
實做
13
實做-實驗結果 以每隔1分鐘讀取一次閘道器的ARP暫存表
準則一以最近8分鐘內讀取到的ARP暫存表中同一個IP 位址對應到不同的MAC位址,而且改變的次數超過4 次 我們在區域網路中利用網路攻擊軟體NetCut與 Ettercap來產生ARP欺騙行為
14
實做-實驗結果 NetCut對IP位 址203.64.237.86 電腦進行阻斷 服務DoS攻擊
發生的6分鐘之 後系統立即由 準則一偵測到 此一行為
15
實做-實驗結果 Ettercap軟體對IP 位址203.64.237.89 電腦進行中間人 MITM攻擊來竊聽
攻擊行為發生的1 分鐘之內系統立 即由準則二偵測 到此一行為
16
實做-優點與缺點 優點:在非常節省成本之下做到最大的管理效果 缺點:ARP欺騙若是僅發生在欺騙被攻擊的主機時(沒有 對閘道器進行欺騙)
同時監測很多個區域網路 不需在每個區域網路中安裝偵測主機 不需要求每一位網路使用者必須安裝軟體 不需花費很大的心力去更改閘道器或交換器的韌體 當然不用花大錢去購買更新所有的交換器 缺點:ARP欺騙若是僅發生在欺騙被攻擊的主機時(沒有 對閘道器進行欺騙) 建議在區域網路中的主機,針對預設閘道去設定靜態的ARP 對應 缺點:本系統位在網際網路的遠端進行偵測,若中途網路 擁塞或中斷,則系統反應時間將因此延遲 建議將系統放置於越接近偵測的區域網路預設閘道越好
17
結論 在本論文中,提出一個非常經濟的ARP欺騙偵測阻斷 系統,解決因為ARP欺騙造成網路服務中斷的問題 不需更改目前的協定
也不需在每個區域網路建置其他裝置或修改軟硬體 利用提供有SNMP資訊的閘道器,在遠端即可監控區 網是否已經發生ARP欺騙的行為 再搭配具有埠防禦功能的交換器接收SNMP訊息,即 可自動阻斷ARP欺騙的行為 給網管人員能夠在不需花費太多的前提下,輕鬆的解 決ARP欺騙的問題
18
Q & A
Similar presentations