GSN新功能：ARP立体防御方案介绍

1、GSN重拳出击：ARP立体防御方案介绍产品部 沈世海2007年4月GSN：ARP立体防御御ARP攻击原理与常见防御手段1ARP立体防御技术原理2实地测试效果3ARP立体防御技术优势总结4ARP欺欺骗攻击击原理ARP攻攻击原理理简介通过伪造造虚假源源IP、源MAC地址址的ARP报文文，导致致网关或或主机无无法找到到正确的的通信对对象。ARP攻攻击利用用了ARP协议议本身的的缺陷，在IPv4的的网络大大环境中中难以彻彻底根除除。用户攻击者我是网关关，把数数据都发发给我OK，马上照照办！欺骗攻击击常见ARP攻击击类型以盗取数数据为目目的：ARP欺欺骗攻击击冒充网关关欺骗主主机冒充主机机欺骗网网关冒充

2、主机机欺骗其其它主机机以捣乱破破坏为目目的：ARP泛泛洪攻击击攻击局域域网主机机攻击网关关ARP欺欺骗攻击击冒充网关关欺骗主主机攻击者以以网关的的身份伪伪造虚假假的ARP回应应报文，欺骗局局域网内内的其它它主机主机所有有流向外外网的流流量全部部被攻击击者截取取正常用户户网关我是网关关知道了欺骗攻击击用户数据据攻击者ARP欺欺骗攻击击冒充主机机欺骗网网关攻击者以以正常用用户的身身份伪造造虚假的的ARP回应报报文，欺欺骗网关关网关发给给该用户户的所有有数据全全部被攻攻击者截截取正常用户户网关我是小白白知道了欺骗攻击击用户数据据攻击者ARP欺欺骗攻击击ARP欺欺骗攻击击行为ARP欺欺骗攻击击一般都都

3、会结合合网关欺欺骗和主主机欺骗骗两种方方式，进进行中间间人（ManInThe Middle）欺欺骗。用户的所所有正常常流量都都会被攻攻击者截截取，导导致用户户重要数数据被盗盗。常见的有有网游盗盗号工具具、恶意意木马、病毒等等等ARP泛泛洪攻击击捣乱破坏坏型：ARP泛泛洪攻击击攻击者伪伪造大量量虚假源源MAC和源IP信息息的报文文，对局局域网内内的所有有主机和和网关进进行广播播，干扰扰正常通通信。正常用户户网关我是小白白我是网关关我是小白在哪哪？泛洪攻击击攻击者网关在哪哪？ARP欺欺骗攻击击ARP泛泛洪攻击击行为ARP泛泛洪攻击击的对象象可以是是单个主主机或网网关，也也可以是是局域网网所有机机器

4、。目的在于于令局域域网内部部的主机机或网关关找不到到正确的的通信对对象，甚甚至用虚虚假地址址信息直直接占满满网关ARP缓缓存空间间，造成成用户无无法正常常上网，属于损损人不利利己的捣捣乱攻击击行为。常见的有有网络执执法官、WinARP Attacker等等常见防御御手段主机端静静态绑定定在主机上上用“arp-s”命令静静态绑定定正确的的网关ARP信信息效果可以防御御攻击者者冒充网网关对主主机进行行欺骗的的攻击行行为缺陷每次系统统重启后后需要重重新静态态绑定需要对每每一台主主机单独独进行手手动配置置，工作作量巨大大且可操操作性不不高只能进行行主机端端的防御御，如果果网关遭遭到欺骗骗攻击，该方法法

5、无能为为力常见防御御手段网关静态态绑定在网关上上静态绑绑定局域域网主机机正确的的ARP信息效果可以防御御攻击者者冒充主主机对网网关进行行欺骗的的攻击行行为缺陷只能适用用于静态态IP地地址的网网络环境境局域网主主机数量量越多，管理维维护工作作量越大大只能进行行单向的的被动防防御，不不能防止止主机受受欺骗常见防御御手段网关定期期发送免免费ARP网关定期期向局域域网广播播自己的的ARP信息，帮助受受欺骗攻攻击的主主机找到到正确的的网关。效果可以防御御攻击者者冒充主主机对网网关进行行欺骗的的攻击行行为缺陷网关需要要定期广广播免费费ARP报文，占用CPU资资源，耗耗费网络络带宽。网关广播播的速度度永远也

6、也赶不上上欺骗报报文的发发送速度度，收效效甚微。常见防御御手段交换机进进行ARP检查查由交换机机对接收收到的每每一个ARP报报文进行行检查，发现伪伪造虚假假网关地地址的报报文则丢丢弃处理理。效果可以防御御攻击者者冒充网网关对主主机进行行欺骗的的攻击行行为。缺陷不能防御御攻击者者冒充主主机欺骗骗网关或或其它主主机的攻攻击行为为。GSN：ARP立体防御御ARP攻击原理与常见防御手段1ARP立体防御技术原理2实地测试效果3ARP立体防御技术优势总结4ARP立立体防御御技术原原理网关防御御接入层防防御用户端防防御三重工事事，纵深深防御三重工事事，纵深深防御第一重：网关防防御SMP通通过SAM学习习已通

7、过过认证的的合法用用户的IP-MAC对对应关系系SMP将将用户的的ARP信息通通知相应应网关网关生成成对应用用户的可可信任ARP表表项用户ARP信息RG-SMPRG-SU网关S21XX生成可信信任ARP表项：用户A：MACIP端口用户A三重工事事，纵深深防御第一重：网关防防御攻击者冒冒充用户户IP对对网关进进行欺骗骗真正的用用户已经经在网关关的可信信任ARP表项项中，欺欺骗行为为失败RG-SMPRG-SU网关S21XX攻击者可信任ARP表项：用户A：MACIP端口用户A我是用户户A三重工事事，纵深深防御Tips：什么么是可信信任ARP？可信任ARP是是GSN功功能专署署的表项项通过联动动SMP

8、，动态态学习已已通过认认证的用用户ARP，保保障合法法用户的的上网质质量。可信任ARP是是一种介于于静态和和动态ARP之之间的地地址表项项与静态ARP不不同，可可信任ARP也也有老化化机制，过期自自动删除除；可信任ARP有有专门预预留的地地址空间间，不会会被动态态ARP所修改改。能够自动动检测用用户是否否在线可信任ARP老老化时，会自动动检测用用户在线线情况，如果用用户在线线，会自自动恢复复生存周周期三重工事事，纵深深防御第二重：用户端端防御在SMP上设置置网关的的正确IPMAC对对应信息息用户认证证通过，SMP将网关关的ARP信息息下传至至SUSU静态态绑定网网关的ARPRG-SMPRG-S

9、U网关S21XX设置网关关ARP信息IPMAC网关信息息下传至用用户静态绑定定网关ARP三重工事事，纵深深防御第二重：用户端端防御攻击者冒冒充网关关欺骗合合法用户户用户已经经静态绑绑定网关关地址，欺骗攻攻击无效效RG-SMPRG-SU网关S21XX静态绑定定网关ARP我是网关关三重工事事，纵深深防御第三重：交换机机非法报报文过滤滤用户认证证通过后后，21交换机机会在接接入端口口上绑定定用户的的IPMAC对应信信息。21对报报文的源源地址进进行检查查，对非非法的攻攻击报文文一律丢丢弃处理理。该操作不不占用交交换机CPU资资源，直直接由端端口芯片片处理。RG-SMPRG-SU网关S21XX绑定用户

10、户的IPMAC信息三重工事事，纵深深防御第三重：交换机机非法报报文过滤滤攻击者伪伪造源IP和MAC地地址发起起攻击报文不符符合绑定定规则，被交换换机丢弃弃。RG-SMPRG-SU网关S21XX静态绑定定网关ARP我是网关关GSN：ARP立体防御御ARP攻击原理与常见防御手段1ARP立体防御技术原理2实地测试效果3ARP立体防御技术优势总结4测试方案案一：模模拟攻击击测试环境境某校学生生宿舍5号、8号楼总人数600人人，高峰峰期在线线400500人250人人左右已已升级至至SU3.04（支持持ARP防御功功能）网关和SMP都都已启用用防ARP欺骗骗功能测试方案案从使用3.0版版和3.04版版SU

11、的的主机中中分别随随机抽取取一台，使用WinARP Attacker软件假假冒网关关对两台台主机发发起攻击击，通过过ping测试试验证攻攻击效果果。模拟攻击击测试将测试用用PC接接入5号号楼学生生所在网网段网段地址址：172.22.9.0/24网关地址址：172.22.9.1模拟攻击击测试确认攻击击目标在线并且且未升级级SU的的肉鸡：172.22.9.49模拟攻击击测试攻击目标标机器使用WinARPAttacker伪伪造网关关对目标标进行攻攻击模拟攻击击测试验证测试试效果模拟攻击击测试确定对比比测试目目标另找一台台已升级级到SU 3.04的的肉鸡：172.22.9.25模拟攻击击测试继续对目目

12、标机器器进行攻攻击模拟攻击击测试验证对比比测试效效果百试不爽爽的攻击手段段失效了了！测试方案案二：实实地测试试效果测试环境境网络中心心机房，300多台学学生用机机，病毒毒木马泛泛滥机房老师师反映网网络频繁繁掉线，存在大大量ARP攻击击事件测试方案案使用测试试主机接接入机房房网络，运行ARP防防火墙软软件观察察网络中中存在的的ARP攻击状状况，并并在实际际使用中中观察GSN防防ARP攻击功功能启用用前和启启用后的的情况实际环境境测试将待测主主机接入入机房网网络网段地址址：210.34.136.0/24网关地址址：210.34.136.1实际环境境测试网络环境境中ARP欺骗骗攻击泛泛滥300多多台

13、学生生用机缺缺乏管理理，成了了病毒、木马的的动物园园使用ARP防火火墙，在在一分钟钟内便观观察到海海量攻击击事件实际环境境测试实际使用用情况：平均每5分钟掉掉线一次次实际环境境测试攻击行为为分析本地ARP缓存存中网关关对应表表项信息息正确，但ping网网关失去去响应，通过抓抓包判断断网关受受到ARP欺骗骗攻击，导致测测试PC断网实际环境境测试启用GSN防ARP攻攻击功能能实际环境境测试启用防ARP功功能后的的试运行行观察试用两个个小时，网络正正常，没没有受到到任何影影响！风大浪大大，依然屹立立不倒！GSN：ARP立体防御御ARP攻击原理与常见防御手段1ARP立体防御技术原理2实地测试效果3AR

14、P立体防御技术优势总结4技术优势势总结防御欺骗骗攻击效效果显著著对各种ARP欺欺骗攻击击软件和和病毒、木马能能够进行行有效的的防御，确保网网络通信信的可靠靠网络执法法官、WinARPAttacker、盗号木木马、恶恶性网络络病毒、网络嗅嗅探软件件零网络负负荷无需大量量广播免免费ARP报文文，不会会对网络络造成额额外负荷荷操作简单单，配置置方便只需要简简单的配配置，便便可实现现全网ARP的的立体防防御学生注册册IP、MAC，老师师手动添添加静态态ARP地址的的时代一一去不复复返了，上万用用户的ARP管管理成为为现实。技术优势势总结业界领先先防ARP攻击方方案依托托于现有有的GSN方案案的强大大数据源源和联动动能力，尚没有有其它厂厂商能够够实现类类似的防防ARP欺骗解解决方案案。从各个源源头彻底底阻断攻攻击行为为的产生生，干净净利落不不留后患患。效果绝非非“ARP防火火墙”等等小软件件可轻易易实现。客户反馈馈良好集美大学学李主任任：“这这个功能能非常好好，我们们早就需需要了！GS