網路安全管理期末報告 ARP 欺騙攻擊 學生：A0963334 施鈺淇 　　　　　　　　　指導老師：梁明章.

Presentation on theme: "網路安全管理期末報告 ARP 欺騙攻擊 學生：A0963334 施鈺淇 　　　　　　　　　指導老師：梁明章."— Presentation transcript:

1 網路安全管理期末報告 ARP 欺騙攻擊 學生：A 施鈺淇 　　　　　　　　　指導老師：梁明章

2 What is ARP? 位置解析協定(Address Resolution Protocol–簡稱ARP) ，負責把IP位址和MAC位址進行相互轉換對應。 IP資料包→乙太網→IP位址 →乙太網位址 ARP封包只會在同一個子網路內傳送 ARP→取得目的MAC 位址→區網中傳送 ARP表

3 What is ARP Spoofing? 電腦中有一個 ARP 快取記憶體 隨著電腦發出ARP請求或是ARP回應而更新 ARP 回應 電
B 電 腦 C 目的IP 1 目的MAC1 源IP 源MAC2 ARP 快取記憶體的目的是把機器的IP位址和MAC位址相互映射，使得IP資料包在乙太網內得順利而正確找到目的MAC位址，然後正確無誤的傳送。 當機器A上的管理員發出一條FTP命令時---ftp IP3，資料包被送到了Switch，Switch查看資料包中的目的地址，發現MAC為 MAC2 ，於是，他把資料包發到了機器B上，因此成功攻擊機器A。 IP 1 MAC1 IP 2 MAC2 IP 3 MAC3

4 What is the purpose of ARP Spoofing?
Session Hijacking 利用ARP欺騙搶奪使用者正常的連線 Man-in-the-Middle attack 同時欺騙Client端與Server端，使雙方的交談都要透過第三方的轉述，達到欺騙、側錄、竄改資料的目的。 達到欺騙主機、反追蹤或是避開交換器訪問安全存取的安全機制的防護。

5 What is the purpose of ARP Spoofing?
NetCut 製造ARP欺騙封包，讓目標主機的ARP表記錄到錯誤的MAC位址，因此，當目標主機傳送封包後，卻因為收不到回傳的封包而造成連線失敗。 癱瘓網路 龐大的ARP欺騙封包，不僅達到資料側錄、竊取，更可以讓整個網路癱瘓。 達到欺騙主機、反追蹤或是避開交換器訪問安全存取的安全機制的防護。

6 對於ARP Spoofing的束手無策 如果區域網內具有多個子網路，那麼防火牆/IPS入侵偵測設備通常被設置在核心路由交換器之後，根本沒有機會接觸ARP封包，因此對ARP攻擊束手無策。 即使區域網內只有一個網段，防火牆/IPS入侵偵測設備兼具路由器功能也僅能偵測部分ARP廣播包 使用作業系統(如Linux)的TCP/IP Socket(網路應用程式)就難以偵測ARP數據包 因此目前的防火牆/IPS入侵偵測設備幾乎不具有即時防止欺騙位置解析協定攻擊（ARP Spoofing Attack）」的功能 達到欺騙主機、反追蹤或是避開交換器訪問安全存取的安全機制的防護。

7 ARP Spoofing的防禦方法 由二層交換器來偵測及阻擋ARP Spoofing攻擊，可以根本地解決ARP衍伸的負面攻擊
NBAD switch ARP掃描偵測- 主要目的是偵測LAN內部ARP掃描行為 ARP異常偵測- 偵測LAN內部用戶傳送不合法封包 ARP攻擊偵測- 主要目的是偵測出哪些用戶正遭受攻擊，並找出攻擊來源 檢測攻擊前的異常行為，達到即時通知管理者。 用在區域網路底層的佈署，一方面提供正常網路封包的基本交換功能，另ㄧ方面也同時解決網路攻擊或流量異常的偵測，以即時反應邊際端的異常狀況