锐捷防ARP欺骗解决方案 锐捷网络 网络解决方案第一品牌公司
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
192.168.0.254 001a.a908.9f0b 192.168.0.1 00d0.f800.0001
PC1
Cheat(ARP Reply)
PC2
192.168.0.2 00d0.f800.0002
10
ARP表变化- Gratuitous ARP
Gratuitous ARP报文更新ARP表的条件
PC1
Cheat( Gratuitous ARP)
PC2
192.168.0.2 00d0.f800.0002
11
理解invalid ARP表项
Invalid ARP表项
ARP表中的MAC地址为全零(Windows主机)或“No completed”(网 络设备)
产生原因
发送ARP Request后,为接收ARP Reply做准备
6
课程内容
第一章:ARP协议原理 第二章:ARP欺骗攻击概述 第三章:常见ARP欺骗“应付”手段 第四章:锐捷网络ARP欺骗解决方案
7
正常情况下的ARP表
PC与设备之间相互通信后形成的ARP表
网关
192.168.0.254 001a.a908.9f0b 192.168.0.1 00d0.f800.0001 192.168.0.2 00d0.f800.0002
192.168.0.1 00d0.f800.0001
Gratuitous ARP PC1
PC2
192.168.0.1 00d0.f800.0002
13
ARP欺骗攻击分类-主机型
主机型ARP欺骗
欺骗者主机冒充网关设备对其他主机进行欺骗
网关
嗨,我是网关
PC 1
欺骗者
14
ARP欺骗攻击分类-网关型
锐捷防ARP欺骗解决方案
技术培训中心
2009-09
修订记录
修订日期
2009-03-14 2009-04-22 2009-09-03
修订版本
V1.0 V1.1 V1.2 初稿完成。
修订描述
添加安全通道环境中防ARP注意事项 添加备注,添加IP Source guard功能,修正部分参数错误
作者
徐立欢 徐立欢 徐立欢
在命令行提示符下执行“arp –a”命令查 看网关对应的MAC地址发生了改变
18
判断ARP欺骗攻击-网关设备
网关设备怎样判断是否受到了ARP欺骗攻击?
ARP表中同一个MAC对应许多IP地址
19
课程内容
第一章:ARP协议原理 第二章:ARP欺骗攻击概述 第三章:常见ARP欺骗“应付”手段 第四章:锐捷网络ARP欺骗解决方案
ARP欺骗实现原理简单,变种极多,通过病毒网页或木马程序即可传播 ,杀毒软件的更新不能及时跟上病毒的变种
ARP欺骗是由于协议缺陷造成的,业界鲜有良好的解决方案
17
判断ARP欺骗攻击-主机
怎样判断是否受到了ARP欺骗攻击?
网络时断时续或网速特别慢 在命令行提示符下执行“arp –d”命令就 能好上一会
PC1
Cheat(ARP Request)
PC2
192.168.0.2 00d0.f800.0002
9
ARP表变化-ARP Reply
ARP Reply报文更新ARP表的条件
ARP报文中Target IP为自己 当前ARP表中已存在Sender IP的表项 用ARP报文中的Sender MAC与Sender IP更新自己的ARP表 网关
大量存在的原因
同网段扫描(主机) 跨网段扫描(网络设备)
12
主机或网络设备怎样判断IP冲突
IP地址发生冲突的条件
收到Gratuitous ARP报文,且Sender/Target IP与当前IP一致,但Sender MAC与当前MAC不同 当针对主机或网络设备发送上述报文时,即为IP冲突攻击 网关
5
ARP过程
正常的ARP通讯过程只需广播ARP Request和单播ARP Replay两个 过程,简单的说就是一问一答:
ARP request
PC1
IP:192.168.0.1 MAC:00d0.f800.0001
ARP reply
PC2
PC3
PCN
IP:192.168.0.2 MAC:00d0.f800.0002
Gratuitous ARP是一种特殊的ARP Request/Replay报文,即Sender IP与Target IP一致 ARP报文中Target IP为自己 用ARP报文中的Sender MAC与Sender IP更新自己的ARP表
网关
192.168.0.254 001a.a908.9f0b 192.168.0.1 00d0.f800.0001
2
学习目标
掌握ARP协议及ARP欺骗原理
掌握锐捷网络防ARP欺骗解决方案的应用场合
掌握锐捷网络防ARP欺骗解决方案的配置
3
课程内容
第一章:ARP协议原理 第二章:ARP欺骗攻击概述 第三章:常见ARP欺骗“应付”手段 第四章:锐捷网络ARP欺骗解决方案
4
ARP协议原理
PC1
PC2
8
ARP表变化-ARP Request
ARP Request报文更新ARP表的条件
ARP报文中Target IP为自己 用ARP报文中的Sender MAC与Sender IP更新自己的ARP表
网关
192.168.0.254 001a.a908.9f0b 192.168.0.1 00d0.f800.0001
网关型ARP欺骗
欺骗者主机冒充其他主机对网关设备进行欺骗
网关
嗨,我是PC1
PC 1
欺骗者
15
ARP欺骗攻击目的
为什么产生ARP欺骗攻击?
表象:网络通讯中断 真实目的:截获网络通讯数据
PC1
网关
主机型
网关型
wenku.baidu.com
欺骗者
16
ARP欺骗攻击缘何泛滥
屡禁不止的ARP欺骗
ARP欺骗的目的是截获数据,例如银行卡、游戏帐户等,巨大的经济利 益驱动了ARP欺骗的发展
ARP协议是“Address Resolution Protocol”(地址解析协议)
的缩写。根据TCP/IP层次模型,在以太网中,一个主机要和另一个主
机进行直接通信,必须知道目标主机的MAC地址。 在现实环境中,一般采用IP地址标示通信的对象,而ARP的功能就
是将IP翻译成对应的MAC地址。
IP:姓名 MAC:姓名对应的手机号 ARP表:电话号码簿
PC1
Cheat(ARP Reply)
PC2
192.168.0.2 00d0.f800.0002
10
ARP表变化- Gratuitous ARP
Gratuitous ARP报文更新ARP表的条件
PC1
Cheat( Gratuitous ARP)
PC2
192.168.0.2 00d0.f800.0002
11
理解invalid ARP表项
Invalid ARP表项
ARP表中的MAC地址为全零(Windows主机)或“No completed”(网 络设备)
产生原因
发送ARP Request后,为接收ARP Reply做准备
6
课程内容
第一章:ARP协议原理 第二章:ARP欺骗攻击概述 第三章:常见ARP欺骗“应付”手段 第四章:锐捷网络ARP欺骗解决方案
7
正常情况下的ARP表
PC与设备之间相互通信后形成的ARP表
网关
192.168.0.254 001a.a908.9f0b 192.168.0.1 00d0.f800.0001 192.168.0.2 00d0.f800.0002
192.168.0.1 00d0.f800.0001
Gratuitous ARP PC1
PC2
192.168.0.1 00d0.f800.0002
13
ARP欺骗攻击分类-主机型
主机型ARP欺骗
欺骗者主机冒充网关设备对其他主机进行欺骗
网关
嗨,我是网关
PC 1
欺骗者
14
ARP欺骗攻击分类-网关型
锐捷防ARP欺骗解决方案
技术培训中心
2009-09
修订记录
修订日期
2009-03-14 2009-04-22 2009-09-03
修订版本
V1.0 V1.1 V1.2 初稿完成。
修订描述
添加安全通道环境中防ARP注意事项 添加备注,添加IP Source guard功能,修正部分参数错误
作者
徐立欢 徐立欢 徐立欢
在命令行提示符下执行“arp –a”命令查 看网关对应的MAC地址发生了改变
18
判断ARP欺骗攻击-网关设备
网关设备怎样判断是否受到了ARP欺骗攻击?
ARP表中同一个MAC对应许多IP地址
19
课程内容
第一章:ARP协议原理 第二章:ARP欺骗攻击概述 第三章:常见ARP欺骗“应付”手段 第四章:锐捷网络ARP欺骗解决方案
ARP欺骗实现原理简单,变种极多,通过病毒网页或木马程序即可传播 ,杀毒软件的更新不能及时跟上病毒的变种
ARP欺骗是由于协议缺陷造成的,业界鲜有良好的解决方案
17
判断ARP欺骗攻击-主机
怎样判断是否受到了ARP欺骗攻击?
网络时断时续或网速特别慢 在命令行提示符下执行“arp –d”命令就 能好上一会
PC1
Cheat(ARP Request)
PC2
192.168.0.2 00d0.f800.0002
9
ARP表变化-ARP Reply
ARP Reply报文更新ARP表的条件
ARP报文中Target IP为自己 当前ARP表中已存在Sender IP的表项 用ARP报文中的Sender MAC与Sender IP更新自己的ARP表 网关
大量存在的原因
同网段扫描(主机) 跨网段扫描(网络设备)
12
主机或网络设备怎样判断IP冲突
IP地址发生冲突的条件
收到Gratuitous ARP报文,且Sender/Target IP与当前IP一致,但Sender MAC与当前MAC不同 当针对主机或网络设备发送上述报文时,即为IP冲突攻击 网关
5
ARP过程
正常的ARP通讯过程只需广播ARP Request和单播ARP Replay两个 过程,简单的说就是一问一答:
ARP request
PC1
IP:192.168.0.1 MAC:00d0.f800.0001
ARP reply
PC2
PC3
PCN
IP:192.168.0.2 MAC:00d0.f800.0002
Gratuitous ARP是一种特殊的ARP Request/Replay报文,即Sender IP与Target IP一致 ARP报文中Target IP为自己 用ARP报文中的Sender MAC与Sender IP更新自己的ARP表
网关
192.168.0.254 001a.a908.9f0b 192.168.0.1 00d0.f800.0001
2
学习目标
掌握ARP协议及ARP欺骗原理
掌握锐捷网络防ARP欺骗解决方案的应用场合
掌握锐捷网络防ARP欺骗解决方案的配置
3
课程内容
第一章:ARP协议原理 第二章:ARP欺骗攻击概述 第三章:常见ARP欺骗“应付”手段 第四章:锐捷网络ARP欺骗解决方案
4
ARP协议原理
PC1
PC2
8
ARP表变化-ARP Request
ARP Request报文更新ARP表的条件
ARP报文中Target IP为自己 用ARP报文中的Sender MAC与Sender IP更新自己的ARP表
网关
192.168.0.254 001a.a908.9f0b 192.168.0.1 00d0.f800.0001
网关型ARP欺骗
欺骗者主机冒充其他主机对网关设备进行欺骗
网关
嗨,我是PC1
PC 1
欺骗者
15
ARP欺骗攻击目的
为什么产生ARP欺骗攻击?
表象:网络通讯中断 真实目的:截获网络通讯数据
PC1
网关
主机型
网关型
wenku.baidu.com
欺骗者
16
ARP欺骗攻击缘何泛滥
屡禁不止的ARP欺骗
ARP欺骗的目的是截获数据,例如银行卡、游戏帐户等,巨大的经济利 益驱动了ARP欺骗的发展
ARP协议是“Address Resolution Protocol”(地址解析协议)
的缩写。根据TCP/IP层次模型,在以太网中,一个主机要和另一个主
机进行直接通信,必须知道目标主机的MAC地址。 在现实环境中,一般采用IP地址标示通信的对象,而ARP的功能就
是将IP翻译成对应的MAC地址。
IP:姓名 MAC:姓名对应的手机号 ARP表:电话号码簿