无线网络安全威胁—中间人攻击 (ARP 威胁)
网络安全中的ARP攻击与防御技术
网络安全中的ARP攻击与防御技术网络安全是当今社会亟待解决的问题之一,而ARP攻击是网络安全的一个重要方面。
ARP(Address Resolution Protocol)是在局域网中将IP地址转换为MAC地址的协议。
ARP攻击是指攻击者利用网络重放、欺骗等手段,混淆MAC地址,使数据包传输至错误的设备,从而实现非法窃取、篡改、拦截数据等目的。
本文将阐述ARP攻击的类型、危害以及防御技术。
一、ARP攻击类型1.欺骗攻击欺骗攻击是ARP攻击中最常见的一种类型。
攻击者通过伪造源MAC地址,向目标主机发送虚假的ARP响应包,欺骗其将攻击者的MAC地址误认为是网关的MAC地址,使得目标主机的所有流量都被攻击者所控制。
2.中间人攻击中间人攻击是指攻击者在通信双方之间插入自己,屏蔽双方之间的通信,可用于窃听或篡改通信内容。
攻击者通过欺骗双方主机,使得每个主机都将其MAC地址当做网关的MAC地址,从而使双方都认为它们在与网关通信,实际上却被攻击者所控制。
3.重放攻击重放攻击是指攻击者通过截获数据包,再次发送这些数据包,使得目标主机误认为这些数据包来自于合法的源地址。
攻击者可以基于此窃取敏感信息或篡改通信内容。
二、ARP攻击危害ARP攻击可以造成以下危害:1.窃取信息ARP攻击者可以通过欺骗建立中间人攻击,窃取用户账号、密码等敏感信息。
2.篡改数据攻击者可以在中间人攻击中,篡改数据包的内容,从而影响网络传输过程中数据的真实性,例如拦截传输的文件内容并进行篡改。
3.劫持会话攻击者可以在ARP攻击中,劫持用户的会话,将用户强制下线,并据此进行非法操作。
三、ARP攻击防御技术1.升级路由器固件升级路由器固件可以消除一些已知的网络安全漏洞,提高路由器安全性,从而防止一些ARP攻击。
2.使用ARP防火墙ARP防火墙是通过静态配置软件/硬件设备与网络的关系,来识别并阻断非授权设备与网络中特定子网的通信。
ARP防火墙可以防止接入局域网的恶意主机和非法服务器,以及ARP欺骗等攻击。
中间人攻击原理
中间人攻击原理中间人攻击(Man-in-the-Middle Attack,简称MITM攻击)是一种常见的网络安全威胁,它利用恶意攻击者窃取、篡改或者伪造通信数据的方法,对通信双方进行欺骗,使得双方认为他们正在与对方直接通信,但实际上所有的通信都经过了攻击者的篡改和监控。
中间人攻击的原理非常巧妙,攻击者可以在通信的两端分别与双方建立连接,然后将双方的通信数据全部经过自己的服务器进行处理,实现对通信内容的窃取和篡改。
下面我们将详细介绍中间人攻击的原理及其防范措施。
中间人攻击的原理主要是利用了网络通信的不安全性,攻击者可以通过多种手段介入通信过程,例如ARP欺骗、DNS劫持、SSL劫持等。
在ARP欺骗中,攻击者可以发送伪造的ARP响应包,将受害者的IP地址映射到自己的MAC地址上,从而使得受害者的通信数据都经过攻击者的设备,攻击者可以对通信数据进行窃取和篡改。
在DNS劫持中,攻击者可以篡改DNS解析结果,将受害者的域名解析到攻击者控制的恶意网站上,使得受害者在访问正常网站时被重定向到恶意网站,从而窃取用户的账号密码等信息。
在SSL劫持中,攻击者可以利用自签名证书欺骗受害者,使得受害者认为自己正在和目标网站进行SSL加密通信,但实际上通信数据都经过了攻击者的服务器,攻击者可以窃取SSL通信中的敏感信息。
针对中间人攻击,我们可以采取一些有效的防范措施。
首先,使用加密通信协议可以有效防止中间人攻击,例如HTTPS协议可以保护通信数据的机密性和完整性,使得攻击者无法窃取和篡改通信数据。
其次,使用双向认证可以有效防止中间人攻击,双向认证要求服务端和客户端都需要验证对方的身份,防止攻击者冒充合法的通信对端进行攻击。
此外,加强网络安全意识教育也是防范中间人攻击的重要手段,用户需要警惕不明身份的网络连接和网站,避免在不安全的网络环境下进行重要的通信和交易。
总之,中间人攻击是一种常见的网络安全威胁,攻击者可以利用各种手段窃取、篡改或者伪造通信数据,对通信双方进行欺骗。
ARP攻击防范与解决方案
ARP攻击防范与解决方案ARP(Address Resolution Protocol)攻击是一种常见的网络安全威胁,黑客通过ARP欺骗技术,伪造网络设备的MAC地址,从而实施网络攻击,如中间人攻击、会话劫持等。
为了保护网络安全,我们需要采取一系列的防范措施和解决方案来应对ARP攻击。
1. 防范措施:1.1 使用静态ARP表:静态ARP表是一种手动配置的ARP表,将网络设备的IP地址和MAC地址进行绑定。
这样,即使黑客发起ARP欺骗攻击,也无法修改设备的ARP表,从而有效防止ARP攻击。
1.2 使用ARP防火墙:ARP防火墙可以监控网络中的ARP请求和响应,检测和阻止异常的ARP流量。
它可以根据事先设定的策略,过滤和阻断潜在的ARP攻击。
1.3 使用网络入侵检测系统(NIDS):NIDS可以监测网络中的异常流量和攻击行为,包括ARP攻击。
当NIDS检测到ARP攻击时,可以及时发出警报并采取相应的防御措施。
1.4 使用网络隔离技术:将网络划分为多个虚拟局域网(VLAN),并使用网络隔离技术将不同的用户和设备隔离开来。
这样,即使发生ARP攻击,黑客也无法直接访问其他网络。
2. 解决方案:2.1 实施ARP监控和检测:通过实时监控和检测ARP请求和响应,可以及时发现和识别ARP攻击行为。
可以使用专门的ARP监控工具或网络安全设备来实现。
2.2 使用加密通信:通过使用加密协议和加密算法,可以保护通信过程中的ARP请求和响应,防止黑客窃取或篡改网络设备的MAC地址。
2.3 定期更新网络设备的固件和软件:网络设备厂商会不断修复和更新设备的漏洞和安全问题。
定期更新网络设备的固件和软件,可以及时修复已知的ARP攻击漏洞。
2.4 加强员工的网络安全意识教育:通过加强员工的网络安全意识教育,提高他们对网络攻击的认识和防范能力,减少因员工的疏忽而导致的ARP攻击。
2.5 使用网络流量分析工具:网络流量分析工具可以帮助识别异常的ARP流量和攻击行为。
ARP攻击防范与解决方案
ARP攻击防范与解决方案ARP(Address Resolution Protocol)攻击是一种常见的网络攻击手段,攻击者通过伪造ARP响应包,将目标主机的IP地址与自己的MAC地址进行绑定,从而实现中间人攻击、数据篡改等恶意行为。
为了保障网络安全,我们需要了解ARP 攻击的原理和防范方法。
一、ARP攻击原理1.1 ARP攻击原理:攻击者发送伪造的ARP响应包,欺骗目标主机将攻击者的MAC地址与目标主机的IP地址进行绑定。
1.2 中间人攻击:攻击者获取目标主机的通信数据,进行篡改或窃取敏感信息。
1.3 数据劫持:攻击者截取目标主机的通信数据,对数据进行篡改或篡改。
二、ARP攻击的危害2.1 窃取敏感信息:攻击者可以窃取目标主机的敏感信息,如账号密码、银行卡信息等。
2.2 数据篡改:攻击者可以篡改目标主机的通信数据,导致数据不一致或损坏。
2.3 网络拒绝服务:攻击者可以通过ARP攻击导致网络拥堵,影响网络正常运行。
三、ARP攻击防范方法3.1 ARP缓存监控:定期监控网络设备的ARP缓存表,及时发现异常ARP绑定。
3.2 静态ARP绑定:在网络设备上设置静态ARP绑定表,限制ARP响应包的发送。
3.3 ARP防火墙:使用ARP防火墙软件,对网络中的ARP流量进行监控和过滤。
四、ARP攻击解决方案4.1 使用ARP检测工具:如ARPWatch、ArpON等工具,检测网络中的ARP 攻击行为。
4.2 网络隔离:将网络划分为多个子网,减少ARP攻击的影响范围。
4.3 加密通信:使用加密通信协议,保护通信数据的安全性。
五、总结5.1 ARP攻击是一种常见的网络攻击手段,对网络安全造成严重威胁。
5.2 了解ARP攻击的原理和危害,采取相应的防范措施是保障网络安全的重要举措。
5.3 通过监控ARP缓存、设置静态ARP绑定、使用ARP防火墙等方法,可以有效防范和解决ARP攻击。
ARP攻击防范与解决方案
ARP攻击防范与解决方案简介:ARP(Address Resolution Protocol)攻击是一种常见的网络安全威胁,攻击者通过伪造ARP响应包来欺骗网络设备,从而篡改网络流量的目的地址。
这种攻击可以导致网络中断、信息泄露和数据篡改等严重后果。
为了保护网络安全,我们需要采取一些防范措施和解决方案来避免ARP攻击的发生。
一、防范措施:1. 安全网络设计:合理规划网络拓扑结构,采用分段设计,将重要的服务器和关键设备放置在内部网络,与外部网络隔离。
2. 强化网络设备安全:对路由器、交换机等网络设备进行定期升级和漏洞修复,禁用不必要的服务和端口,启用访问控制列表(ACL)限制不必要的流量。
3. 使用网络设备认证机制:启用设备认证功能,只允许授权设备加入网络,防止未经授权的设备进行ARP攻击。
4. 配置静态ARP表项:将重要设备的IP地址和MAC地址进行绑定,限制ARP请求和响应的范围,减少ARP攻击的可能性。
5. 使用防火墙:配置防火墙规则,限制网络流量,过滤异常ARP请求,阻挠ARP攻击的传播。
6. 监控和检测:部署网络入侵检测系统(IDS)和入侵谨防系统(IPS),实时监控网络流量,及时发现并阻挠ARP攻击。
二、解决方案:1. ARP缓存监控和清除:定期监控网络设备的ARP缓存,发现异常的ARP缓存项,及时清除并重新学习正确的ARP信息。
2. 使用ARP欺骗检测工具:部署ARP欺骗检测工具,实时监测网络中的ARP 请求和响应,发现异常的ARP流量,并采取相应的谨防措施。
3. 使用ARP谨防软件:部署专门的ARP谨防软件,通过对ARP流量进行深度分析和识别,及时发现和阻挠ARP攻击。
4. VLAN隔离:使用VLAN技术将网络划分为多个虚拟局域网,限制不同VLAN之间的通信,减少ARP攻击的影响范围。
5. 加密通信:使用加密协议(如SSL、IPSec)对网络通信进行加密,防止ARP攻击者窃取敏感信息。
网络中间人攻击的识别和预防方法
网络中间人攻击的识别和预防方法第一章:网络中间人攻击的概述网络中间人攻击是一种常见的网络安全威胁,攻击者通过伪装成通信方的一方或者干扰通信,获取敏感信息或者篡改通信内容。
网络中间人攻击对个人隐私、商业机密、国家安全等带来了严重威胁。
为了保护网络通信的安全,我们需要了解如何识别和预防这种攻击。
第二章:常见的网络中间人攻击类型网络中间人攻击可以分为主动攻击和被动攻击。
主动攻击包括Wi-Fi攻击、ARP欺骗、DNS欺骗等等。
被动攻击包括网络嗅探、中间人代理等等。
在这一章节中,我们将介绍网络中间人攻击的具体类型,并且深入分析它们的工作原理和技术手段。
第三章:网络中间人攻击的影响网络中间人攻击对个人、组织和国家的影响很大。
个人的银行账户、社交媒体账户等可能被攻击者窃取;组织的商业机密、客户数据可能被泄露,导致经济损失;国家的重要信息被窃听或者篡改,威胁国家安全。
这一章节中,我们将具体阐述网络中间人攻击对不同实体的具体影响。
第四章:网络中间人攻击的识别方法为了防止网络中间人攻击,我们需要能够及时准确地识别这种攻击。
在这一章节中,我们将介绍几种常用的识别方法,包括TLS/SSL证书检查、安全通信协议的使用、流量分析等等。
同时,我们还将讨论这些方法的优势和劣势,并且提供一些建议用于改善这些方法的可靠性和准确性。
第五章:网络中间人攻击的预防方法识别网络中间人攻击只是第一步,我们还需要采取预防措施来降低攻击的风险。
在这一章节中,我们将介绍一些常见的预防方法,包括加密通信、强密码的使用、访问受信任的网络、定期更新软件等等。
我们还会提供一些实际应用中的案例来说明这些预防方法的有效性和可行性。
第六章:网络中间人攻击的应对策略即使采取了识别和预防措施,仍然无法保证完全阻止网络中间人攻击。
因此,我们需要有应对策略,及时发现并且应对这些攻击。
在这一章节中,我们将探讨一些常用的应对策略,包括疑似攻击流量的监测、网络流量分析、安全事件响应等等。
ARP攻击防范与解决方案
ARP攻击防范与解决方案1. ARP攻击概述ARP(Address Resolution Protocol)是一种用于将IP地址转换为物理MAC地址的协议。
ARP攻击是指攻击者通过伪造或者修改ARP请求和响应消息,来欺骗网络中其他设备的攻击行为。
ARP攻击可以导致网络中断、信息泄露、中间人攻击等安全问题,因此需要采取相应的防范与解决方案。
2. ARP攻击类型2.1 ARP欺骗攻击攻击者发送伪造的ARP响应消息,将自己的MAC地址误导其他设备,使其将数据发送到攻击者的设备上。
2.2 ARP洪泛攻击攻击者发送大量的伪造ARP请求消息,使网络中的设备都将响应发送到攻击者的设备上,导致网络拥塞。
3. ARP攻击防范与解决方案3.1 使用静态ARP表静态ARP表是一种手动配置的ARP表,将IP地址与MAC地址进行绑定,防止ARP欺骗攻击。
管理员可以手动添加ARP表项,并定期检查和更新。
3.2 使用动态ARP检测工具动态ARP检测工具可以实时监测网络中的ARP活动,及时发现和阻挠异常的ARP请求和响应,防止ARP欺骗攻击。
3.3 使用ARP防火墙ARP防火墙可以检测和阻挠网络中的ARP攻击行为,例如过滤伪造的ARP请求和响应消息,限制ARP流量的频率等。
3.4 加密通信使用加密通信协议(如HTTPS)可以防止ARP中间人攻击,保护通信过程中的数据安全。
3.5 使用网络隔离技术将网络划分为多个子网,使用VLAN(Virtual Local Area Network)等技术进行隔离,可以减少ARP攻击的影响范围。
3.6 定期更新设备固件和补丁设备厂商会不断发布固件和补丁来修复安全漏洞,及时更新设备固件和应用程序,可以提高设备的安全性,减少受到ARP攻击的风险。
3.7 强化网络安全意识提高员工和用户的网络安全意识,加强对ARP攻击的认识和防范意识,可以减少因误操作或者不慎行为导致的ARP攻击。
4. ARP攻击应急响应措施4.1 及时发现和确认ARP攻击通过网络监控和日志分析等手段,及时发现和确认网络中的ARP攻击行为,确定攻击的类型和范围。
网络安全中常见的数据包嗅探技术及防范措施分析
网络安全中常见的数据包嗅探技术及防范措施分析网络安全一直是当今世界中最重要的议题之一。
在互联网时代,数据安全问题变得尤为突出,而数据包嗅探技术则成为黑客攻击的一种重要手段。
本文将介绍网络安全中常见的数据包嗅探技术,并探讨相应的防范措施。
数据包嗅探是指通过截获和分析网络数据包来获取网络通信的信息。
黑客可通过数据包嗅探技术获取用户敏感信息、登录凭证等,威胁个人隐私和企业数据安全。
以下是常见的数据包嗅探技术及相应的防范措施:1. ARP欺骗攻击ARP(Address Resolution Protocol)欺骗攻击是一种常见的网络攻击手段,黑客通过伪造网络设备的MAC地址与IP地址的对应关系,截获目标主机与路由器之间的数据包。
在进行ARP欺骗攻击时,黑客会伪装成网络中的合法设备,截取数据包并分析其中的信息。
为了防范ARP欺骗攻击,我们可以使用静态ARP表、ARP防火墙等手段,对网络设备之间的MAC地址和IP地址进行合法性验证。
2. 数据包嗅探工具黑客经常使用各种数据包嗅探工具来执行网络攻击,比如Wireshark、tcpdump等。
这些工具可以捕获网络中的数据包,并提供详细的分析和解码功能。
为了防范这些嗅探工具的使用,我们需要加密网络流量,使黑客无法直接分析和获取信息。
使用加密协议如TLS/SSL等可以有效保护数据的机密性。
3. 端口监听端口监听是黑客通过监视网络上的特定端口来嗅探数据包的一种技术。
黑客可以使用端口监听工具来嗅探网络流量,并分析其中的敏感信息。
为了防范端口监听攻击,我们需要定期检查网络设备上的开放端口,并及时修补存在的漏洞。
此外,可以使用网络入侵检测系统(IDS)来监控异常的端口活动,及时发现并应对攻击。
4. 中间人攻击中间人攻击是指黑客通过伪装成通信双方之间的中间节点,拦截并篡改双方的通信数据。
黑客可以在通信过程中截获数据包,窃取敏感信息或进行恶意篡改。
为了防范中间人攻击,我们可以使用端到端加密来确保通信的机密性和完整性。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
作业三无线网络安全威胁—中间人攻击(ARP威胁)姓名:陈清早学号:PT1400158目录1概述2ARP欺骗攻击3防御ARP欺骗的预防方案概览3.1接入交换机/网关手动绑定3.2主机端手动绑定3.3网关定期发送免费ARP3.4主机安装ARP防御软件4三重立体ARP防御解决方案4.1方案原理4.2方式实现过程及效果4.3方案总结1概述随着科技的发展,无线网络安全越来越受到大家的关注。
在无线网络安全中,存在窃听,通信阻断,数据的注入和篡改,中间人攻击,客户端伪装,匿名攻击,漫游造成的问题等等。
本次作业就针对中间人攻击中的ARP欺骗做一点了解。
用于攻击个人以及企业的最常见的网络攻击方式就是中间人攻击(MITM)。
作为一种主动窃听攻击方式,中间人攻击方式主要是通过与目标机器建立连接并在目标机器间传递信息来发动攻击。
在这种情况下,用户会认为自己正在与另一名用户直接通信,而实际上,通过主机的通信流量正在对用户执行攻击。
最终结果是,攻击主机不仅能截取重要信息,而且能够注入数据流来进一步控制受害用户。
最常被使用的中间人攻击形式,包括ARP缓存中毒攻击(ARP Cache Poisoning)、DNS欺骗(DNS Spoofing)、HTTP会话劫持等。
2ARP欺骗攻击在实验过程中,我的主机(192.168.4.17),telnet虚拟机(192.168.4.116),我的虚拟机(192.168.4.117)作为中间人进行攻击,截获接收方的管理员的密码。
在试验之前使用ARP–a检测我的主机的mac地址表。
(实验时要把telnet设置成启动)我的主机(192.168.4.17)的mac地址;1.打开Cain软件,激活嗅探器,扫描主机.然后设定扫描的mac地址范围.点击配置对话框,设定中间人扫描时使用真实的mac地址2.点击标签切换到ARP窗口。
点击工具栏上+符号类似图标,设置ARP中毒目标IP。
3.点击切换到ARP选项窗口。
点击工具栏类似放射性标志的图标。
表示开始使目标IP 中毒。
4,在主机192.168.4.17端使用telnet去访问主机192.168.4.116。
如下5.打开wireshark软件抓包,过滤arp协议,同时切换到口令窗口。
可以看到中间人将自己的mac地址,换成接收方的mac地址了切换到嗅探器,右键telnet建立的连接条目,查看,可以看到接收方的管理员的密码.6.在主机192.168.4.17查看arp信息如下:可以看到目标192.168.4.116对应的mac为00-0c-29-1a-17-cc。
且为动态的。
实验结果及分析通过这次的实验了解了ARP工作的原理,以及利用ARP协议的漏洞来进行中间人攻击,只是在实验的后面,被中间人攻击后,发送方无法ping通接收方。
可能是中间攻击人所在的虚拟机未完成对发送方帧的发送,致使接收方无法收到。
3防御ARP欺骗的预防方案概览面对ARP欺骗带来的危害日益升级,越来越多的网络深受其害,在网络安全界也涌现出了多种ARP欺骗的防御方案,这里简单加以总结。
3.1接入交换机/网关手动绑定目前主流的安全接入交换机/网关都具有IP、MAC绑定功能,像锐捷网络的安全接入交换机甚至提供了6元素(IP、MAC、VLAN ID、交换机端口号、用户名、密码)的绑定,可以通过在接入交换机上将下联每台主机的IP和MAC地址绑定起来,将不符合IP、Mac绑定信息的报文全部丢弃,这样有效的防住了内网用户冒充网关或其他主机来欺骗内网其他用户的目的。
这种方法的局限性:配置工作量大,每台交换机下所连的所有用户都要一一手动绑定,对于交换机下联客户机变换频繁的场合,基本无可用性;无法防御来自外部的ARP欺骗,只对本交换机所接用户负责;无法适用于采用动态IP的场合;接入交换机/网关手动绑定的方法,是现在采用的比较多的手段,但由于其以上的局限性,所以要配合其他手段才能完善的防御ARP欺骗。
3.2主机端手动绑定通过Windows自带的ARP-S命令,可以将特定的IP地址和Mac地址进行绑定,实现一定的ARP欺骗防御。
这种方法的局限性:配置麻烦,主机需要通信的目标很多,不可能一个一个都绑起来。
容易失效,这种方法进行的绑定,一拔掉网线或者关机、注销就全部失效了,如果想继续使用,就需要重新绑定。
只能进行主机端的防御,如果网关遭欺骗则无能为力。
跟接入交换机绑定一样,主机端手动绑定也是只能实现部分防御,需要与其他方法结合来完善。
3.3网关定期发送免费ARP这是一种抑制的方法,因为ARP表项有老化期,经过一段时间就需要重新更新,所以通过网关定期发送免费ARP,不时的“提醒”主机,真正的网关在这里,来防止伪装成网关的ARP欺骗。
这种方法的局限性:网关定期发送免费ARP,对于网关设备的性能提出了很高的要求,同时,大量的免费ARP报文无疑也大大占用了网络的带宽;由于很多ARP欺骗也是通过频繁大量发送免费ARP报文来实现的,所以如果网关这么做,欺骗只需要将发送的频率加大几倍就依然可以欺骗成功。
3.4主机安装ARP防御软件目前这类软件很多,其基本原理与上一个方法相同,就是每个主机都不停的发送免费ARP广播,来告诉别人自己的IP和MAC的绑定关系,以达到抑制欺骗ARP报文的目的。
这种方法的局限性:同上一个方法一样,这种方法也是通过耗费大量网络带宽来实现的,所以在许多主机安装了ARP防火墙的网络中,网络性能往往都会非常低下,因为大量的带宽都被免费ARP报文占用了。
以上就是目前常见的几种防范ARP欺骗的解决方案,我们可以看到,每个方案各有利弊,都无法完善方便的防住ARP欺骗。
只有通过多种手段的结合,配合完善的内网管理机制,才能实现ARP欺骗的真正防御。
4三重立体ARP防御解决方案ARP欺骗攻击存在的原因,究其根本在于ARP协议本身的不完善,通信双方的交互流程缺乏一个授信机制,使得非法的攻击者能够介入到正常的ARP交互中进行欺骗。
要从根本上解决ARP欺骗的问题,必须要在局域网内的通信双方之间建立起一个可信任的验证体系。
“ARP三重立体防御体系”,正是为了应对现在日益严重的ARP欺骗现象而制定的,整个解决方案遵循以下思路进行:4.1方案原理用户身份合法性验证通过部署解决方案,实行基于IEEE802.1X协议的身份认证系统,所有用户都必须要经过统一集中的身份鉴权认证方能允许接入网络。
统一的身份认证系统确保了所有网络中的在线用户都有合法的身份信息,并且利用802.1X协议基于MAC地址的逻辑端口认证特性,保障了认证系统的中央服务端能够在用户认证过程中获取到用户真实的IP-MAC对应信息。
确保真实ARP信息来源防治ARP欺骗的最重要一个环节是确保ARP信息的真实可靠。
对于局域网通信最主要的两个对象:网关和用户来说,网关的IP-MAC对应关系是不会轻易变更的;而通过在全网实施的入网身份认证系统,能够确保在用户每次上线时的认证过程中都能提交真实的IP-MAC 信息。
网络中各元素的真实ARP信息有了可靠的来源保障。
中立的第三方ARP授信体系前文已经谈到,要从根本上防治ARP欺骗,必须在通信双方之间建立可靠的验证体系。
而由于ARP协议本身的缺陷性,不管是通信双方的网关或是主机都无法胜任对ARP信息的可靠性进行验证的角色,需要通过中立的第三方系统把控ARP协议的通信过程。
GSN系统能够对在线用户的身份信息进行统一的管理,非常适合进行ARP信息的授权管理。
建立可信任ARP(Trusted ARP)机制可信任ARP机制用于在局域网通信的双方之间进行可靠的ARP信息同步,具体到各个不同的网络元素之间的同步过程,可以分为以下两种操作:主机ARP静态绑定:在客户端主机进行网关的ARP静态绑定。
当用户认证上线时,认证服务端在本地保存的网关IP-MAC对应关系表中查找用户所属网关,并将该用户所对应的网关IP和MAC地址进行下发,由802.1X认证客户端程序在用户的主机端进行网关MAC和IP的ARP静态绑定。
客户端在认证成功后进行ARP静态绑定,然后定时进行ARP静态绑定是否被更改的检测,如果被更改,则重新进行绑定,以防止一些木马程序以合法的方式对ARP静态绑定进行的更改,用户下线时删除主机的网关ARP静态绑定。
网关可信任ARP绑定:当用户认证上线时,认证服务端通过接入交换机获取用户真实的IP-MAC关联信息,并根据用户的网关信息,将用户相应的ARP表项在网关进行主机的IP和MAC的ARP静态绑定.该方式同主机ARP静态绑定相结合,能够达到双绑定的效果。
在网关设备上增加可信ARP表项可信任ARP作为一类特殊ARP,添加在交换机端的ARP表中。
可信任ARP同时具有静态ARP和动态ARP两者的特征,其优先级高于动态ARP表项、并且低于静态ARP表项。
可信任ARP具有类似于动态ARP的老化机制――通过记录和刷新每个表项的老化时间来判断该表项是否需要老化。
可信任ARP具有静态ARP的相关特征,即不被动态ARP所覆盖。
可信任ARP 归类为动态ARP,因此对于ARP的相关功能模块,该可信任ARP将被视为动态ARP。
使用这种方式可避免可信任ARP对原有ARP相关模块的影响。
同时,由于静态ARP优先级高于可信任ARP,因此用户手动配置的静态ARP可以覆盖可信任ARP。
因此,在实施了可信任ARP功能之后,对于网络管理员来说,所有操作完全都是透明的,不会对网络管理员的原有网络管理产生任何影响,因为对于原有的网络来说,可信任ARP就是动态ARP。
只有在ARP更新这个地方有了轻微了变化,而且所有的一切动作都是后台进行的。
4.2方式实现过程及效果4.2.1第一重,网关防御网关防御的实现过程如下:MP学习已通过认证的合法用户的IP-MAC对应关系。
SMP将用户的ARP信息通知相应网关。
网关生成对应用户的可信任ARP表项。
GSN网关防御过程如下:攻击者冒充用户IP对网关进行欺骗。
真正的用户已经在网关的可信任ARP表项中,欺骗行为失败。
4.2.2第二重,客户端防御用户端防御的实现方法如下:在SMP上设置网关的正确IP-MAC对应信息。
用户认证通过,SMP将网关的ARP信息下传至SU。
SU静态绑定网关的ARP。
用户端防御的实现过程如下:攻击者冒充网关欺骗合法用户。
用户已经静态绑定网关地址,欺骗攻击无效。
4.2.3第三重,交换机非法报文过滤交换机非法报文过滤,是通过锐捷网络安全智能交换机的安全功能来实现的,具体实现方法如下:用户认证通过后,交换机会在接入端口上绑定用户的IP-MAC对应信息。
交换机对报文的源地址进行检查,对非法的攻击报文一律丢弃处理。
该操作不占用交换机CPU资源,直接由端口芯片处理。
交换机非法报文过滤实现过程如下:攻击者伪造源IP和MAC地址发起攻击。