GSN新功能：ARP立体防御方案介绍

1、GSNGSN：ARPARP立体防御立体防御ARPARP攻击原理与常见防御手段攻击原理与常见防御手段1 1ARPARP立体防御技术原理立体防御技术原理2 2实地测试效果实地测试效果3 3ARPARP立体防御技术优势总结立体防御技术优势总结4 4ARP欺骗攻击原理ARP攻击原理简介l 通过伪造虚假源IP、源MAC地址的ARP报文，导致网关或主机无法找到正确的通信对象。l ARP攻击利用了ARP协议本身的缺陷，在IPv4的网络大环境中难以彻底根除。用户攻击者我是网关，把数据都发给我OK，马上照办！欺骗攻击常见ARP攻击类型以盗取数据为目的：ARP欺骗攻击l 冒充网关欺骗主机l 冒充主机欺骗网关l 冒

2、充主机欺骗其它主机以捣乱破坏为目的：ARP泛洪攻击l 攻击局域网主机l 攻击网关ARP欺骗攻击冒充网关欺骗主机l 攻击者以网关的身份伪造虚假的ARP回应报文，欺骗局域网内的其它主机l 主机所有流向外网的流量全部被攻击者截取正常用户网关我是网关知道了欺骗攻击用户数据攻击者ARP欺骗攻击冒充主机欺骗网关l 攻击者以正常用户的身份伪造虚假的ARP回应报文，欺骗网关l 网关发给该用户的所有数据全部被攻击者截取正常用户网关我是小白知道了欺骗攻击用户数据攻击者ARP欺骗攻击ARP欺骗攻击行为l ARP欺骗攻击一般都会结合网关欺骗和主机欺骗两种方式，进行中间人（Man In The Middle）欺骗。l

3、用户的所有正常流量都会被攻击者截取，导致用户重要数据被盗。l 常见的有网游盗号工具、恶意木马、病毒等等ARP泛洪攻击捣乱破坏型：ARP泛洪攻击l 攻击者伪造大量虚假源MAC和源IP信息的报文，对局域网内的所有主机和网关进行广播，干扰正常通信。正常用户网关我是小白我是网关我是小白在哪？泛洪攻击攻击者网关在哪？ARP欺骗攻击ARP泛洪攻击行为l ARP泛洪攻击的对象可以是单个主机或网关，也可以是局域网所有机器。l 目的在于令局域网内部的主机或网关找不到正确的通信对象，甚至用虚假地址信息直接占满网关ARP缓存空间，造成用户无法正常上网，属于损人不利己的捣乱攻击行为。l 常见的有网络执法官、WinAR

4、P Attacker等等常见防御手段主机端静态绑定l 在主机上用“arp -s”命令静态绑定正确的网关ARP信息效果l 可以防御攻击者冒充网关对主机进行欺骗的攻击行为缺陷l 每次系统重启后需要重新静态绑定l 需要对每一台主机单独进行手动配置，工作量巨大且可操作性不高l 只能进行主机端的防御，如果网关遭到欺骗攻击，该方法无能为力常见防御手段网关静态绑定l 在网关上静态绑定局域网主机正确的ARP信息效果l 可以防御攻击者冒充主机对网关进行欺骗的攻击行为缺陷l 只能适用于静态IP地址的网络环境l 局域网主机数量越多，管理维护工作量越大l 只能进行单向的被动防御，不能防止主机受欺骗常见防御手段网关定期

5、发送免费ARPl 网关定期向局域网广播自己的ARP信息，帮助受欺骗攻击的主机找到正确的网关。效果l 可以防御攻击者冒充主机对网关进行欺骗的攻击行为缺陷l 网关需要定期广播免费ARP报文，占用CPU资源，耗费网络带宽。l 网关广播的速度永远也赶不上欺骗报文的发送速度，收效甚微。常见防御手段交换机进行ARP检查l 由交换机对接收到的每一个ARP报文进行检查，发现伪造虚假网关地址的报文则丢弃处理。效果l 可以防御攻击者冒充网关对主机进行欺骗的攻击行为。缺陷l 不能防御攻击者冒充主机欺骗网关或其它主机的攻击行为。GSNGSN：ARPARP立体防御立体防御ARPARP攻击原理与常见防御手段攻击原理与常见

6、防御手段1 1ARPARP立体防御技术原理立体防御技术原理2 2实地测试效果实地测试效果3 3ARPARP立体防御技术优势总结立体防御技术优势总结4 4ARP立体防御技术原理网网关关防防御御接接入入层层防防御御用用户户端端防防御御三重工事，纵深防御三重工事，纵深防御第一重：网关防御l SMP通过SAM学习已通过认证的合法用户的IP-MAC对应关系l SMP将用户的ARP信息通知相应网关l 网关生成对应用户的可信任ARP表项用户ARP信息RG-SMPRG-SU网关S21XX生成可信任ARP表项：用户A：MACIP端口用户A三重工事，纵深防御第一重：网关防御l 攻击者冒充用户IP对网关进行欺骗l

7、真正的用户已经在网关的可信任ARP表项中，欺骗行为失败RG-SMPRG-SU网关S21XX攻击者可信任ARP表项：用户A：MACIP端口用户A我是用户A三重工事，纵深防御Tips：什么是可信任ARP？l 可信任可信任ARP是是GSN功能专署的表项功能专署的表项l 通过联动SMP，动态学习已通过认证的用户ARP，保障合法用户的上网质量。l 可信任可信任ARP是是一种介于静态和动态一种介于静态和动态ARP之间的地址表项之间的地址表项l 与静态ARP不同，可信任ARP也有老化机制，过期自动删除；l 可信任ARP有专门预留的地址空间，不会被动态ARP所修改。l 能够自动检测用户是否在线能够自动检测用户

8、是否在线l 可信任ARP老化时，会自动检测用户在线情况，如果用户在线，会自动恢复生存周期三重工事，纵深防御第二重：用户端防御l 在SMP上设置网关的正确IPMAC对应信息l 用户认证通过，SMP将网关的ARP信息下传至SUl SU静态绑定网关的ARPRG-SMPRG-SU网关S21XX设置网关ARP信息IPMAC网关信息下传至用户静态绑定网关ARP三重工事，纵深防御第二重：用户端防御l 攻击者冒充网关欺骗合法用户l 用户已经静态绑定网关地址，欺骗攻击无效RG-SMPRG-SU网关S21XX静态绑定网关ARP我是网关三重工事，纵深防御第三重：交换机非法报文过滤l 用户认证通过后，21交换机会在接

9、入端口上绑定用户的IPMAC对应信息。l 21对报文的源地址进行检查，对非法的攻击报文一律丢弃处理。l 该操作不占用交换机CPU资源，直接由端口芯片处理。RG-SMPRG-SU网关S21XX绑定用户的IPMAC信息三重工事，纵深防御第三重：交换机非法报文过滤l 攻击者伪造源IP和MAC地址发起攻击l 报文不符合绑定规则，被交换机丢弃。RG-SMPRG-SU网关S21XX静态绑定网关ARP我是网关GSNGSN：ARPARP立体防御立体防御ARPARP攻击原理与常见防御手段攻击原理与常见防御手段1 1ARPARP立体防御技术原理立体防御技术原理2 2实地测试效果实地测试效果3 3ARPARP立体防

10、御技术优势总结立体防御技术优势总结4 4测试方案一：模拟攻击测试环境l 某校学生宿舍5号、8号楼l 总人数600人，高峰期在线400500人l 250人左右已升级至SU3.04（支持ARP防御功能）l 网关和SMP都已启用防ARP欺骗功能测试方案l 从使用3.0版和3.04版SU的主机中分别随机抽取一台，使用Win ARP Attacker软件假冒网关对两台主机发起攻击，通过ping测试验证攻击效果。模拟攻击测试将测试用PC接入5号楼学生所在网段网段地址：172.22.9.0/24网关地址：172.22.9.1模拟攻击测试确认攻击目标l 在线并且未升级SU的肉鸡：172.22.9.49模拟攻击

11、测试攻击目标机器l 使用Win ARP Attacker伪造网关对目标进行攻击模拟攻击测试验证测试效果模拟攻击测试确定对比测试目标l 另找一台已升级到SU 3.04的肉鸡：172.22.9.25模拟攻击测试继续对目标机器进行攻击模拟攻击测试验证对比测试效果百试不爽的攻击手段失效了！测试方案二：实地测试效果测试环境l 网络中心机房，300多台学生用机，病毒木马泛滥l 机房老师反映网络频繁掉线，存在大量ARP攻击事件测试方案l 使用测试主机接入机房网络，运行ARP防火墙软件观察网络中存在的ARP攻击状况，并在实际使用中观察GSN防ARP攻击功能启用前和启用后的情况实际环境测试将待测主机接入机房网络

12、网段地址：210.34.136.0/24网关地址：210.34.136.1实际环境测试网络环境中ARP欺骗攻击泛滥l 300多台学生用机缺乏管理，成了病毒、木马的动物园l 使用ARP防火墙，在一分钟内便观察到海量攻击事件实际环境测试实际使用情况：l 平均每5分钟掉线一次实际环境测试攻击行为分析l 本地ARP缓存中网关对应表项信息正确，但ping网关失去响应，通过抓包判断网关受到ARP欺骗攻击，导致测试PC断网实际环境测试启用GSN防ARP攻击功能实际环境测试启用防ARP功能后的试运行观察l 试用两个小时，网络正常，没有受到任何影响！风大浪大，依然屹立不倒！GSNGSN：ARPARP立体防御立体

13、防御ARPARP攻击原理与常见防御手段攻击原理与常见防御手段1 1ARPARP立体防御技术原理立体防御技术原理2 2实地测试效果实地测试效果3 3ARPARP立体防御技术优势总结立体防御技术优势总结4 4技术优势总结防御欺骗攻击效果显著l 对各种ARP欺骗攻击软件和病毒、木马能够进行有效的防御，确保网络通信的可靠l 网络执法官、WinARP Attacker、盗号木马、恶性网络病毒、网络嗅探软件零网络负荷l 无需大量广播免费ARP报文，不会对网络造成额外负荷操作简单，配置方便l 只需要简单的配置，便可实现全网ARP的立体防御l 学生注册IP、MAC，老师手动添加静态ARP地址的时代一去不复返了，上万用户的ARP管理成为现实。技术优势总结业界领先l 防ARP攻击方案依托于现有的GSN方案的强大数据源和联动能力，尚没有其它厂商能够实现类似的防ARP欺骗解决方案。l 从各个源头彻底阻断攻击行为的产生，干净利落不留后患。l 效果绝非“ARP防火墙”等小软件可轻易实现。客户反馈良好l 集美大学李主任