网络层攻击的安全防护培训材料
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
网络层安全防护培训
网络层攻击原理及防范
OSI参考模型
TCP/IP模型
OSI与TCP/IP对应关系
IP报文格式
ARP攻击原理及防范
ARP攻击原理及防范
• ARP原理: 数据要进行通信时,最终还是靠物理地址进行传 送,但是传输层和网络层都只关心IP地址,因此 就需要一种服务来完成IP地址转成MAC的工作,即 地址解析协议(ARP)
IP Address 1.1.1.5
MAC
Type
3-3-3
Dynamic
ARP表项更新 为
MAC
Type
2-2-2
Dynamic
网关G
已更新
IP Address G MAC G
1.1.1.1
1-1-1
用户A的MAC 更新了
数据流被中断 目的MAC 源MAC …
2-2-2
1-1-1 …
ቤተ መጻሕፍቲ ባይዱ
IP Address B MAC B
IP Address G MAC G
1.1.1.1
1-1-1
网关G
目的MAC 源MAC …
2-2-2
3-3-3 …
数据流被中断
IP Address C MAC C
1.1.1.8
9-9-9
攻击者B
IP Address B MAC B
1.1.1.20
5-5-5
正常用户A
IP Address A MAC A
IP Address
MAC
1.1.0.2
2-2-2
1.1.0.3
2-2-3
1.1.0.4
2-2-4
1.1.0.5
2-2-5
1.1.0.6
2-2-6
……
…….
ARP表项被占满
Type Dynamic Dynamic Dynamic Dynamic Dynamic Dynamic
网关G
已更新
IP Address G MAC G
数据流被中断
网关MAC更新 了
攻击者B
IP Address B MAC B
1.1.1.20
5-5-5
网关的 MAC is 2-2-2 发送伪造ARP信息
已更新
正常用户A
IP Address A MAC A
1.1.1.5
3-3-3
IP Address
MAC
Type
1.1.1.1(网关)
1-1-1
Dynamic
ARP恶作剧
ARP欺骗攻击——仿冒网关
攻击者发送伪造的网关ARP报文,欺骗同网段内的其它主机。 主机访问网关的流量,被重定向到一个错误的MAC地址,导致该用户无法
正常访问外网。
IP Address G MAC G
1.1.1.1
1-1-1
网关G
目的MAC 源MAC …
2-2-2
3-3-3 …
IP Address
ARP表项更新 为
MAC
Type
1.1.1.1(网关) 2-2-2
Dynamic
这种攻击为ARP攻击中最为常见的攻击
ARP欺骗攻击——欺骗网关
攻击者伪造虚假的ARP报文,欺骗网关 网关发给该用户的所有数据全部重定向到一个错误的MAC地址,导致该用
户无法正常访问外网
IP Address 1.1.1.5
机形成保护屏障,过滤掉所有ARP攻击报文。 配置命令
全局模式:dhcp-snooping(全局开关) VLAN模式:ARP detection enable:(使能ARP detection enable检测,限制ARP报文数量) 上行接口:ARP detection trust( 将上行口配置为信任接口不检查ARP)
目的MAC
源MAC
帧类 硬件 协议 型 类型 类型
操作 字段
发送端MAC
发送端IP
目的MAC
目的IP
可以利用帧类型来 识别ARP报文
帧类型—0x0806
协议地址长度 硬件地址长度
ARP欺骗都是通过填写 错误的源MAC-IP对应
关系来实现的
ARP攻击利用ARP协议本身的缺陷来实现!
ARP欺骗
ARP欺骗---中间人攻击
最终数据在2层完成转换
• 局域网内有ARP病毒的现象
– 上网时断时续, 网速变慢, 可能连内网主页也无法打开 – 浏览网页时出现与网页内容无关的弹出窗口
• ARP检查
– 使用nbtscan工具, 配合arp –a 命令
ARP病毒检测
ARP协议缺陷
ARP协议介绍
ARP——Address Resolution Protocol地址解释协议
1.1.1.5
3-3-3
知道了
IP Address 1.1.1.1
IP Address 1.1.1.1
MAC
Type
9-9-9
Dynamic
ARP表项更新
为
MAC
Type
2-2-2
Dynamic
ARP攻击工具
ARP泛洪
ARP泛洪攻击
攻击者伪造大量不同ARP报文在同网段内进行广播,导致网关ARP表项被占满,合法用 户的ARP表项无法正常学习,导致合法用户无法正常访问外网
ARP防范方案——DHCP 监控模式
接入设备 终端
网关
DHCP响应
•监控DHCP报文实现用户的
IP和MAC绑定
•配置实现网关的IP和MAC绑
定
•ARP限速
DHCP请求
监控DHCP交互报文获取合法用户的IP-MAC-port关系 在接入交换机上绑定,实现对ARP报文的检查,过滤掉所有非法报文。
DHCP Snooping模式
方案适合场景 全网采用动态分配IP地址方式 接入交换机采用支持DHCP Snooping的产品 解决方案 第一步:接入交换机通过DHCP Snooping监控用户动态申请IP的过程,获
取用户的IP-MAC对应关系 第二步:接入交换机将用户的IP-MAC-PORT对应关系进行绑定。接入交换
网关G
接入设备
3 客户端防御 绑定网关信息
用户
2 接入设备防御
网关IP/MAC绑定,过滤掉仿冒网关的 报文
合法用户IP/MAC绑定,过滤掉终端仿 冒报文
ARP限速
防御ARP攻击的关键
1 获取合法用户的IP\MAC对应关系 2 利用合法IP\MAC对应关系防止非法ARP报文对终端和网关欺骗
1.1.1.20
5-5-5
攻击者B
IP Address A MAC A
正常用户A 1.1.1.5
3-3-3
ARP欺骗攻击——欺骗终端用户
攻击者伪造虚假的ARP报文,欺骗相同网段内的其他主机。 网段内的其他主机发给该用户的所有数据都被重定向到错误的MAC地址
,同网段内的用户无法正常互访。
用户C的MAC 更新了
1.1.0.1
1-1-1
用户A、A1、A2、 A3…的MAC更
新了
IP Address B MAC B
1.1.1.20
5-5-5
攻击者B
IP Address A MAC A
正常用户A 1.1.1.103
3-3-3
ARP攻击防御的三个控制点
1 网关防御
合法ARP绑定,防御网关被欺 骗
ARP数量限制,防御ARP泛洪 攻击
网络层攻击原理及防范
OSI参考模型
TCP/IP模型
OSI与TCP/IP对应关系
IP报文格式
ARP攻击原理及防范
ARP攻击原理及防范
• ARP原理: 数据要进行通信时,最终还是靠物理地址进行传 送,但是传输层和网络层都只关心IP地址,因此 就需要一种服务来完成IP地址转成MAC的工作,即 地址解析协议(ARP)
IP Address 1.1.1.5
MAC
Type
3-3-3
Dynamic
ARP表项更新 为
MAC
Type
2-2-2
Dynamic
网关G
已更新
IP Address G MAC G
1.1.1.1
1-1-1
用户A的MAC 更新了
数据流被中断 目的MAC 源MAC …
2-2-2
1-1-1 …
ቤተ መጻሕፍቲ ባይዱ
IP Address B MAC B
IP Address G MAC G
1.1.1.1
1-1-1
网关G
目的MAC 源MAC …
2-2-2
3-3-3 …
数据流被中断
IP Address C MAC C
1.1.1.8
9-9-9
攻击者B
IP Address B MAC B
1.1.1.20
5-5-5
正常用户A
IP Address A MAC A
IP Address
MAC
1.1.0.2
2-2-2
1.1.0.3
2-2-3
1.1.0.4
2-2-4
1.1.0.5
2-2-5
1.1.0.6
2-2-6
……
…….
ARP表项被占满
Type Dynamic Dynamic Dynamic Dynamic Dynamic Dynamic
网关G
已更新
IP Address G MAC G
数据流被中断
网关MAC更新 了
攻击者B
IP Address B MAC B
1.1.1.20
5-5-5
网关的 MAC is 2-2-2 发送伪造ARP信息
已更新
正常用户A
IP Address A MAC A
1.1.1.5
3-3-3
IP Address
MAC
Type
1.1.1.1(网关)
1-1-1
Dynamic
ARP恶作剧
ARP欺骗攻击——仿冒网关
攻击者发送伪造的网关ARP报文,欺骗同网段内的其它主机。 主机访问网关的流量,被重定向到一个错误的MAC地址,导致该用户无法
正常访问外网。
IP Address G MAC G
1.1.1.1
1-1-1
网关G
目的MAC 源MAC …
2-2-2
3-3-3 …
IP Address
ARP表项更新 为
MAC
Type
1.1.1.1(网关) 2-2-2
Dynamic
这种攻击为ARP攻击中最为常见的攻击
ARP欺骗攻击——欺骗网关
攻击者伪造虚假的ARP报文,欺骗网关 网关发给该用户的所有数据全部重定向到一个错误的MAC地址,导致该用
户无法正常访问外网
IP Address 1.1.1.5
机形成保护屏障,过滤掉所有ARP攻击报文。 配置命令
全局模式:dhcp-snooping(全局开关) VLAN模式:ARP detection enable:(使能ARP detection enable检测,限制ARP报文数量) 上行接口:ARP detection trust( 将上行口配置为信任接口不检查ARP)
目的MAC
源MAC
帧类 硬件 协议 型 类型 类型
操作 字段
发送端MAC
发送端IP
目的MAC
目的IP
可以利用帧类型来 识别ARP报文
帧类型—0x0806
协议地址长度 硬件地址长度
ARP欺骗都是通过填写 错误的源MAC-IP对应
关系来实现的
ARP攻击利用ARP协议本身的缺陷来实现!
ARP欺骗
ARP欺骗---中间人攻击
最终数据在2层完成转换
• 局域网内有ARP病毒的现象
– 上网时断时续, 网速变慢, 可能连内网主页也无法打开 – 浏览网页时出现与网页内容无关的弹出窗口
• ARP检查
– 使用nbtscan工具, 配合arp –a 命令
ARP病毒检测
ARP协议缺陷
ARP协议介绍
ARP——Address Resolution Protocol地址解释协议
1.1.1.5
3-3-3
知道了
IP Address 1.1.1.1
IP Address 1.1.1.1
MAC
Type
9-9-9
Dynamic
ARP表项更新
为
MAC
Type
2-2-2
Dynamic
ARP攻击工具
ARP泛洪
ARP泛洪攻击
攻击者伪造大量不同ARP报文在同网段内进行广播,导致网关ARP表项被占满,合法用 户的ARP表项无法正常学习,导致合法用户无法正常访问外网
ARP防范方案——DHCP 监控模式
接入设备 终端
网关
DHCP响应
•监控DHCP报文实现用户的
IP和MAC绑定
•配置实现网关的IP和MAC绑
定
•ARP限速
DHCP请求
监控DHCP交互报文获取合法用户的IP-MAC-port关系 在接入交换机上绑定,实现对ARP报文的检查,过滤掉所有非法报文。
DHCP Snooping模式
方案适合场景 全网采用动态分配IP地址方式 接入交换机采用支持DHCP Snooping的产品 解决方案 第一步:接入交换机通过DHCP Snooping监控用户动态申请IP的过程,获
取用户的IP-MAC对应关系 第二步:接入交换机将用户的IP-MAC-PORT对应关系进行绑定。接入交换
网关G
接入设备
3 客户端防御 绑定网关信息
用户
2 接入设备防御
网关IP/MAC绑定,过滤掉仿冒网关的 报文
合法用户IP/MAC绑定,过滤掉终端仿 冒报文
ARP限速
防御ARP攻击的关键
1 获取合法用户的IP\MAC对应关系 2 利用合法IP\MAC对应关系防止非法ARP报文对终端和网关欺骗
1.1.1.20
5-5-5
攻击者B
IP Address A MAC A
正常用户A 1.1.1.5
3-3-3
ARP欺骗攻击——欺骗终端用户
攻击者伪造虚假的ARP报文,欺骗相同网段内的其他主机。 网段内的其他主机发给该用户的所有数据都被重定向到错误的MAC地址
,同网段内的用户无法正常互访。
用户C的MAC 更新了
1.1.0.1
1-1-1
用户A、A1、A2、 A3…的MAC更
新了
IP Address B MAC B
1.1.1.20
5-5-5
攻击者B
IP Address A MAC A
正常用户A 1.1.1.103
3-3-3
ARP攻击防御的三个控制点
1 网关防御
合法ARP绑定,防御网关被欺 骗
ARP数量限制,防御ARP泛洪 攻击