gsn新功能：arp立体防御方法介绍.ppt

GSN重拳出击： ARP立体防御方案介绍 产品部 沈世海 2007年4月 GSN：ARP立体防御 ARP欺骗攻击原理 ARP攻击原理简介 通过伪造虚假源IP、源MAC地址的ARP报文，导致网关或主机无法找到正确的通信对象。 ARP攻击利用了ARP协议本身的缺陷，在IPv4的网络大环境中难以彻底根除。 常见ARP攻击类型 以盗取数据为目的：ARP欺骗攻击 冒充网关欺骗主机 冒充主机欺骗网关 冒充主机欺骗其它主机 以捣乱破坏为目的：ARP泛洪攻击 攻击局域网主机 攻击网关 ARP欺骗攻击 冒充网关欺骗主机 攻击者以网关的身份伪造虚假的ARP回应报文，欺骗局域网内的其它主机 主机所有流向外网的流量全部被攻击者截取 ARP欺骗攻击 冒充主机欺骗网关 攻击者以正常用户的身份伪造虚假的ARP回应报文，欺骗网关 网关发给该用户的所有数据全部被攻击者截取 ARP欺骗攻击 ARP欺骗攻击行为 ARP欺骗攻击一般都会结合网关欺骗和主机欺骗两种方式，进行中间人（Man In The Middle）欺骗。 用户的所有正常流量都会被攻击者截取，导致用户重要数据被盗。 常见的有网游盗号工具、恶意木马、病毒等等…… ARP泛洪攻击 捣乱破坏型：ARP泛洪攻击 攻击者伪造大量虚假源MAC和源IP信息的报文，对局域网内的所有主机和网关进行广播，干扰正常通信。 ARP欺骗攻击 ARP泛洪攻击行为 ARP泛洪攻击的对象可以是单个主机或网关，也可以是局域网所有机器。 目的在于令局域网内部的主机或网关找不到正确的通信对象，甚至用虚假地址信息直接占满网关ARP缓存空间，造成用户无法正常上网，属于损人不利己的捣乱攻击行为。 常见的有网络执法官、WinARP Attacker等等…… 常见防御手段 主机端静态绑定 在主机上用“arp -s”命令静态绑定正确的网关ARP信息 效果 可以防御攻击者冒充网关对主机进行欺骗的攻击行为 缺陷 每次系统重启后需要重新静态绑定 需要对每一台主机单独进行手动配置，工作量巨大且可操作性不高 只能进行主机端的防御，如果网关遭到欺骗攻击，该方法无能为力 常见防御手段 网关静态绑定 在网关上静态绑定局域网主机正确的ARP信息 效果 可以防御攻击者冒充主机对网关进行欺骗的攻击行为 缺陷 只能适用于静态IP地址的网络环境 局域网主机数量越多，管理维护工作量越大 只能进行单向的被动防御，不能防止主机受欺骗 常见防御手段 网关定期发送免费ARP 网关定期向局域网广播自己的ARP信息，帮助受欺骗攻击的主机找到正确的网关。 效果 可以防御攻击者冒充主机对网关进行欺骗的攻击行为 缺陷 网关需要定期广播免费ARP报文，占用CPU资源，耗费网络带宽。 网关广播的速度永远也赶不上欺骗报文的发送速度，收效甚微。 常见防御手段 交换机进行ARP检查 由交换机对接收到的每一个ARP报文进行检查，发现伪造虚假网关地址的报文则丢弃处理。 效果 可以防御攻击者冒充网关对主机进行欺骗的攻击行为。 缺陷 不能防御攻击者冒充主机欺骗网关或其它主机的攻击行为。 GSN：ARP立体防御 ARP立体防御技术原理 三重工事，纵深防御 三重工事，纵深防御 第一重：网关防御 SMP通过SAM学习已通过认证的合法用户的IP-MAC对应关系 SMP将用户的ARP信息通知相应网关 网关生成对应用户的可信任ARP表项 三重工事，纵深防御 第一重：网关防御 攻击者冒充用户IP对网关进行欺骗 真正的用户已经在网关的可信任ARP表项中，欺骗行为失败 三重工事，纵深防御 Tips：什么是可信任ARP？ 可信任ARP是GSN功能专署的表项 通过联动SMP，动态学习已通过认证的用户ARP，保障合法用户的上网质量。 可信任ARP是一种介于静态和动态ARP之间的地址表项 与静态ARP不同，可信任ARP也有老化机制，过期自动删除； 可信任ARP有专门预留的地址空间，不会被动态ARP所修改。 能够自动检测用户是否在线 可信任ARP老化时，会自动检测用户在线情况，如果用户在线，会自动恢复生存周期 三重工事，纵深防御 第二重：用户端防御 在SMP上设置网关的正确IP－MAC对应信息 用户认证通过，SMP将网关的ARP信息下传至SU SU静态绑定网关的ARP 三重工事，纵深防御 第二重：用户端防御 攻击者冒充网关欺骗合法用户 用户已经静态绑定网关地址，欺骗攻击无效 三重工事，纵深防御 第三重：交换机非法报文过滤 用户认证通过后，21交换机会在接入端口上绑定用户的IP－MAC对应信息。 21对报文的源地址进行检查，对非法的攻击报文一律丢弃处理。 该操作不占用交换机CPU资源，直接由端口芯片处理。 三重工事，纵深防御 第三重：交换机非法报文过滤 攻击者伪造源IP和MAC地址发起攻击 报文不符合绑定规则，被交换