《2022年2022年科来网络分析系统ARP攻击解决方案 .pdf》由会员分享,可在线阅读,更多相关《2022年2022年科来网络分析系统ARP攻击解决方案 .pdf(6页珍藏版)》请在淘文阁 - 分享文档赚钱的网站上搜索。
1、科来网络分析系统攻击解决方案版权所有?科来软件保留所有权利第 页共页编号 TS-08-0005 科来网络分析系统ARP 攻击解决方案版权所有 ? 2007 科来软件保留所有权利。本文档属商业机密文件,所有内容均为科来软件国内技术支持部独立完成,属科来软件内部机密信息,未经科来软件做出明确书面许可,不得为任何目的、以任何形式或手段(包括电子、机械、复印、录音或其他形式)对本文档的任何部分进行复制、修改、存储、引入检索系统或者传播。汪已明科来软件电话: 86-28-85120922 传真: 86-28-85120911 网址: http:/电子邮件: 地址:成都市高新区九兴大道6 号高发大厦B 幢
2、 1F 名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 1 页,共 6 页 - - - - - - - - - 科来网络分析系统攻击解决方案版权所有?科来软件保留所有权利第 页共页方案背景目前,由于政府、企业、高校以及电子商务的蓬勃发展,使得网络已经融入到社会的各个领域;与此同时,网络用户的多样化,直接导致了蠕虫病毒和网络攻击的持续增多。在这种情况下,快速排查网络攻击,保障网络的持续可靠运行,已日益成为与国家、政府、企事业和个人的利益休戚相关的“ 大事情 ” 。自 2006 年以来,
3、 ARP 攻击就以攻击方法简单、攻击速度快、攻击效果好而深受越来越多恶作剧者的青睐,从而导致近1 年多的时间里,网络中的ARP 攻击无处不在,各大论坛从未停止过ARP 攻击的讨论,一些遭受过ARP 攻击的用户甚至到了谈“ ARP ”色变的程度。能否快速有效地排查ARP 攻击,将直接导致网络的运行是否正常,其意义十分重大。接下来我们就详细地来看如何排查并预防ARP 攻击。ARP 协议工作原理ARP,全称 Address Resolution Protocol ,中文名为地址解析协议,它工作OSI 参考模型的第 2 层(数据链路层) ,用于查找IP 地址所对应物理网卡的MAC 地址。正常情况下,A
4、RP 协议的工作原理如下:1.所有主机都在自己的缓冲区中建立一个IP 地址和MAC 地址的对应关系表,我们称这个表为ARP 表。2.源主机需要发送一个数据包到目的主机时,首先检查自己的ARP 表中是否存在该目的 IP 地址对应的MAC 地址,如果有, 就将数据包发送到这个MAC 地址所对应的网卡;如果没有,就向本地网段中除自己以外的所有主机发起一个ARP 请求广播,以查询目的主机所对的MAC 地址。3.网络中的所有主机收到这个ARP 请求后,都会检查数据包中的目的IP 是否和自己的 IP 地址一致。如果不相同,就丢弃该数据包;如果相同,该主机首先将源主机的 IP 地址和 MAC 地址添加到自己
5、的ARP 表( ARP 表中如果已经存在该IP 的信息,则将其覆盖) ,然后给源主机发送一个 ARP响应数据包,告诉对方自己是它需要查找的MAC 地址;4.源主机收到这个ARP 响应数据包后,将得到的目的主机的IP 地址和 MAC 地址添加到自己的ARP 表,并同时将数据包发往目的主机所对应的网卡。从上述的过程可知,正常情况下的ARP 工作流程是一个请求,一个应答。ARP 攻击原理根据攻击的严重程度,ARP 攻击可以分为三种:ARP 扫描、 ARP 中间人攻击和ARP断网攻击。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师
6、精心整理 - - - - - - - 第 2 页,共 6 页 - - - - - - - - - 科来网络分析系统攻击解决方案版权所有?科来软件保留所有权利第 页共页?ARP 扫描用于查找网络中存活的主机,为后续攻击做准备。其原理是:攻击主机向网段中所有机器挨个发起ARP 请求, 网络中的主机收到此ARP 请求后, 会对攻击主机进行响应。通过ARP 扫描,网络中的主机在攻击者面前将会暴露无疑,同时网络带宽被也会被严重耗费。?ARP 中间人攻击用于窃取信息,其原理是:攻击主机向被攻击主机和网关同时主动发起 ARP 回应,告诉对方自己是它的目标MAC ,从而使被欺骗主机和网关发送给对方的数据都在攻
7、击主机处进行一个跳转,进而完成信息窃取的目的。ARP 中间人攻击,能够导致被攻击主机的信息泄密,同时也会耗费网络带宽。? ARP 断网攻击能使网络通讯中断,危害性最为严重。其原理是:攻击主机向被攻击发起主动发起ARP 回应,告诉对方一个错误的网关MAC ,从而让对方的数据发往错误甚至是不存在的MAC 地址处,从而断网。如果同时对网络中的所有主机进行攻击,则会导致整个局域网全部断网。使用科来网络分析系统排查ARP 攻击在网络中出现攻击时,我们可以借助科来网络分析系统,快速准确定位攻击源,从而保障网络的持续可靠运行。在科来网络分析系统中,可通过以下途径查找ARP 攻击:?诊断视图查看ARP 诊断事
8、件?协议视图查看ARP 的请求与回应数据包?数据包视图查看ARP 数据包的原始信息?端点视图查看节点信息?矩阵视图查看连接信息诊断视图是查找攻击最直观, 最有效途径, 也是我们查找攻击首要选择。 其界面如图 。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 3 页,共 6 页 - - - - - - - - - 科来网络分析系统攻击解决方案版权所有?科来软件保留所有权利第 页共页(图 攻击诊断)图 明确指出网络中存在无请求应答和请求风暴两种攻击事件,并在下面给出了进行攻击的源主机。同
9、时,系统还提供此攻击的原因以及对应的解决方法。协议视图给出了网络中数据包的情况, 如图 。 这里我们需要特别注意(请求)和 (回应)两种数据包的个数,一般情况下,请求和 回应的个数比例大致为:,如果差别较大,就表示网络中很可能存在攻击。(图 请求和回应数据包)图 中的 数据包有个,而 数据包仅有个,通过这样的数据,我们就可以推测网络中可能存在攻击。数据包解码可以告诉我们数据包的原始信息,如图。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 4 页,共 6 页 - - - - - -
10、- - - 科来网络分析系统攻击解决方案版权所有?科来软件保留所有权利第 页共页(图 协议解码)通过对 协议进行数据包解码,可以知道数据包的源和目标,它的作用是什么,并确定这些数据包的真实性。另外, 科来网络分析系统的端点视图,可以知道网络中可能进行欺骗的主机; 矩阵视图可以快速查看网络中通讯的机器。 借助这两个功能, 可以更加快速地定位攻击源。ARP 攻击防护ARP 攻击的常见防护方法,有以下三种: 静态双向绑定在客户端和网关同时做IP 和 MAC 的绑定。客户端(以Windows 操作系统为例)上可使用“ arp -s ip mac”的命令,不同网关设备上arp 绑定的配置方法不同,具体可
11、查阅相应的配置说明。 使用 防护软件名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 5 页,共 6 页 - - - - - - - - - 科来网络分析系统攻击解决方案版权所有?科来软件保留所有权利第 页共页ARP 防护软件会向整个网络发送正确的ARP 信息,可一定程度上预防ARP 攻击。目前此类软件中比较常用的是Antiarp 和欣向 ARP。 具备 防护功能的路由器这种路由器的原理是它会定期向网络中发送正确的ARP 信息,从而保障客户端主机ARP 表的正确性。总结ARP 攻击是目前最为流行的攻击之一,快速排查ARP 攻击,是目前网络管理人员必备工作之一。借助科来网络分析系统,网络管理人员可大幅提高ARP 攻击的排查能力,确保网络不受ARP 攻击之苦,从而保障网络的正常运行。同时,除可以快速有效查找ARP 攻击以外, 科来网络分析系统还可以快速分析网络异常现象,快速定位网络故障点,加强网络安全性,评估并提升网络性能。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 6 页,共 6 页 - - - - - - - - -
限制150内