ARP欺骗攻击的预防及对策项目答辩.ppt

Company LOGO ARP欺骗攻击的预防及对策项目报告 项目组成员： 史隽彬 高舰 谭汉霄 侯锦城 目录 攻击类型及现有解决方案分类 2 我们的设想及遇到的困难 4 项目概述及现状分析 3 1 根本性解决方案猜想 3 3 项目概述 ARP攻击会导致局域网内电脑大面积不能上网，如今许多病毒都会利用这种ARP攻击方式影响局域网，一旦局域网内有机器被感染后，部分电脑就会出现无法正常上网的情况，而且打开网页时断时续。例如，在电子科技大学的部分实验室，存在着明显的IP冲突攻击，整个校园网也因为ARP攻击多次瘫痪。本项目诣在通过对于ARP攻击原理和ARP/rARP协议的研究，优化现有的局域网ARP攻击防御的解决方案。 市场调研及现状分析 由于ARP 攻击愈演愈甚，已有越来越多的人加入防治ARP 攻击的行列，也研发出很多这方面的管理软件和工具软件，这些软件在实现IP地址和MAC 地址的绑定、病毒源头机的定位方面做得比较出色，管理员依靠它们可以大大减轻工作量，但这些功能强大的软件价格往往不菲 现有ARP攻击类型分类 IP地址冲突攻击 A ARP欺骗攻击 C ARP泛洪攻击 B 现有ARP攻击类型分类 ARP泛洪攻击 所有网络设备都保存着一张ARP缓存表，但处理ARP报文需要占用系统资源。攻击者不断发送伪造的ARP广播包，使得交换机处理广播包而消耗网络带宽，同时大量虚假的MAC地址迅速填满了网络设备的ARP缓存表，使设备的ARP缓存表溢出，用户的正常ARP报文不能生成有效ARP表项，造成设备无法根据ARP缓存表正确通信。 现有ARP攻击类型分类 IP地址冲突攻击 计算机检测本机IP地址是否与网上的其他IP地址冲突的方法是：用本机IP作为目的地址，发送ARP请求，收到应答则判定本机IP地址与其他用户的IP地址冲突，本机上弹出IP地址冲突警告，并释放本机IP地址。 现有ARP攻击类型分类 ARP欺骗攻击 ARP欺骗是攻击者通过冒充网关或者主机发送ARP应答，用伪造的IP与MAC的映射来刷新目标主机的ARP缓存表，让送至特定的IP地址的数据包被错误送到攻击者所替换的地方，攻击者将这些数据转到指定的网络或篡改后再转送，使本机不能与网内其他主机进行正常的通信，或进行数据监听。 局域网ARP攻击后果 IP地址冲突攻击 ARP泛洪攻击 ARP欺骗攻击 三者都会干扰局域网的正常通信，亦可进行局域网数据监听，严重会导致网络崩溃 现有解决方案 方案A 方案B 方案C 方案D 利用有管理端口及节点MAC地址功能的网络路由设备，如交换机等，对VLAN进行合理的分段。 IP与MAC绑定。在ARP攻击中，攻击者利用ARP映射表动态更新的特点，通过不断发送伪造的MAC地址来塞满ARP映射表。因此，将IP和MAC对应关系绑定后写入ARP映射表中，不允许随意刷新，即可防止ARP攻击。 设置静态ARP缓存。在网络中，当主机和其他计算机通信时，主要原理是在自己静态的ARP缓存中根据对方IP地址找到对应的MAC地址，然后直接发送给对方，采用静态ARP缓存，若攻击者向主机发送ARP应答，主机不刷新ARP缓存，从而避免了ARP欺骗攻击。 ARP防火墙等网络安全软件，其原理是： ARP 防火墙统计数据包数量急剧增加，ARP 防火墙将所有非广播（ARP 的应答包）拦截，并且一直将网关的 IP/MAC 静态绑定在一起。这就说明ARP 防火墙的安全防护机一些ARP安全软件在一定程度上防止计算机和网关受到攻击，从而保证网络安全。 根本性解决方案猜想 协议本身（建立怀疑机制的 ARP 认证体系是解决 ARP 攻击最根本的办法）： 1、协议从IPV4升级至IPV6。 2、修改ARP协议。Bruschi等提出一种新的协议S- ARP协议替代ARP协议，为鉴别ARP发送方身份引入数字签名技术，本地主机在发送ARP相关信息时，要对其摘要签名，在接收ARP数据时验证签名。 大多数操作系统都是在接收到ARP应答后便更新其ARP缓存,但Solaris系统却采用另一种独特的方式来应对ARP应答,它是在IP/ MAC地址对计时器超时后才更新ARP缓存，这也不失为一种很好的解决方案。 我们的设想 我们的设想： 通过对于现有解决方案的深入研究，在过程中会发现造成它们局限性的原因，并找到突破口，给出更合理更完善的解决方案。 方案实现中的困难 1.客观上，现有的解决方案有局限性，例如某些方案只适合点对点的攻击防御，如果扩展到一个面，在大型网络里并不适用。 2.实现方式在硬件上有局限性。在一个网段之内的测试，很难验证其可靠性。 3.小组成员知识储备有限，并且拥有个人电脑数量少，无法实现对时间的高效利用。 ARP欺骗攻击的预防及对策项目组 * Company LOGO *