日本综合一区二区|亚洲中文天堂综合|日韩欧美自拍一区|男女精品天堂一区|欧美自拍第6页亚洲成人精品一区|亚洲黄色天堂一区二区成人|超碰91偷拍第一页|日韩av夜夜嗨中文字幕|久久蜜综合视频官网|精美人妻一区二区三区

RELATEED CONSULTING
相關(guān)咨詢(xún)
選擇下列產(chǎn)品馬上在線(xiàn)溝通
服務(wù)時(shí)間:8:30-17:00
你可能遇到了下面的問(wèn)題
關(guān)閉右側(cè)工具欄

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營(yíng)銷(xiāo)解決方案
如何通過(guò)動(dòng)態(tài)ARP檢測(cè)中間人攻擊

中間人攻擊對(duì)于企業(yè)來(lái)說(shuō)是一種相當(dāng)頭疼的攻擊方式,通過(guò)截獲和偽裝企業(yè)之間的通訊數(shù)據(jù),可以達(dá)到偽裝成數(shù)據(jù)發(fā)送方的目的。其間很多企業(yè)的敏感數(shù)據(jù)都面臨著被泄露的危機(jī),那么ARP協(xié)議作為一柄雙刃劍,我們就利用其優(yōu)勢(shì)方面,通過(guò)動(dòng)態(tài)ARP檢測(cè)和防止中間人攻擊。

創(chuàng)新互聯(lián)公司是一家專(zhuān)注于成都網(wǎng)站設(shè)計(jì)、做網(wǎng)站與策劃設(shè)計(jì),山海關(guān)網(wǎng)站建設(shè)哪家好?創(chuàng)新互聯(lián)公司做網(wǎng)站,專(zhuān)注于網(wǎng)站建設(shè)10年,網(wǎng)設(shè)計(jì)領(lǐng)域的專(zhuān)業(yè)建站公司;建站業(yè)務(wù)涵蓋:山海關(guān)等地區(qū)。山海關(guān)做網(wǎng)站價(jià)格咨詢(xún):18980820575

一、中間人攻擊案例模擬 

有三臺(tái)終端同時(shí)連接到同一個(gè)工作組交換機(jī)中。(實(shí)際情況可能會(huì)有更多的終端,為了簡(jiǎn)單起見(jiàn),筆者以三個(gè)終端為例)。此時(shí)如果主機(jī)A需要訪(fǎng)問(wèn)主機(jī)B(第一次訪(fǎng)問(wèn)時(shí)只知道對(duì)方的IP地址而不知道MAC地址),就需要先發(fā)送一個(gè)ARP請(qǐng)求。向各臺(tái)主機(jī)詢(xún)問(wèn),IP地址為多少的主機(jī)其MAC地址為多少,并會(huì)附上主機(jī)A的MAC地址。這個(gè)ARP請(qǐng)求會(huì)以廣播的形式在網(wǎng)絡(luò)中傳播,即網(wǎng)絡(luò)中的每一臺(tái)客戶(hù)端都將受到這個(gè)信息。正常情況下,除了B以外的不相關(guān)的主機(jī)都會(huì)丟棄這個(gè)數(shù)據(jù)包。而只有主機(jī)B接收到這個(gè)請(qǐng)求后,才會(huì)進(jìn)行響應(yīng)。主機(jī)B首先會(huì)在自己的ARP緩存中創(chuàng)建主機(jī)A IP地址與MAC地址的相關(guān)記錄(如果已經(jīng)存在這個(gè)IP地址,則會(huì)進(jìn)行更新),并向主機(jī)A發(fā)送ARP響應(yīng)。此時(shí)的ARP響應(yīng)是一個(gè)單播數(shù)據(jù)包,即直接發(fā)送給主機(jī)A,而不是以廣播的形式發(fā)送。

以上是一個(gè)比較正常的ARP處理流程。但是在這個(gè)處理的過(guò)程中,如果沒(méi)有采取恰當(dāng)?shù)陌踩胧?,則很可能會(huì)引發(fā)中間人攻擊。如上圖所示,如果終端設(shè)備C在收到主機(jī)A發(fā)送的ARP請(qǐng)求之后,沒(méi)有拋棄這個(gè)數(shù)據(jù)包,而是發(fā)送了偽造的ARP響應(yīng)(將自己的MAC地址替代主機(jī)B的MAC地址),其就可以發(fā)起中間人攻擊。在接收到主機(jī)C的ARP響應(yīng)之后,主機(jī)A將不能夠擁有主機(jī)B的正確MAC地址與IP地址。對(duì)于主機(jī)A來(lái)說(shuō),它就會(huì)錯(cuò)誤的認(rèn)為主機(jī)C就是其要發(fā)送數(shù)據(jù)的對(duì)象。從而將數(shù)據(jù)直接發(fā)送給主機(jī)C。此時(shí)對(duì)于主機(jī)A和主機(jī)B之間的任何通信,就會(huì)被發(fā)送到主機(jī)C上。然后主機(jī)C在獲取相關(guān)的內(nèi)容之后,可能進(jìn)行流量的重定向。在這個(gè)過(guò)程中,主機(jī)C就被稱(chēng)為中間人。這個(gè)過(guò)程就被稱(chēng)為中間人攻擊。

二、通過(guò)動(dòng)態(tài)ARP檢測(cè)來(lái)防止中間人攻擊

為了有效防止中間人攻擊,在思科的網(wǎng)絡(luò)產(chǎn)品中設(shè)計(jì)了動(dòng)態(tài)ARP檢測(cè)。其原理比較簡(jiǎn)單,就是交換機(jī)的相關(guān)端口會(huì)自動(dòng)檢測(cè)ARP數(shù)據(jù)包來(lái)自于正確的端口,并且沒(méi)有被攻擊者所更改或者欺騙。這個(gè)原理說(shuō)起來(lái)簡(jiǎn)單,其實(shí)要實(shí)現(xiàn)起來(lái)需要經(jīng)過(guò)許多的技術(shù)處理。通常情況下,通過(guò)DHCP監(jiān)聽(tīng)綁定表,交換機(jī)能夠確定正確的端口。如果交換機(jī)能夠數(shù)據(jù)來(lái)自錯(cuò)誤的端口,則會(huì)自動(dòng)拋棄這個(gè)數(shù)據(jù)包,并會(huì)將相關(guān)的信息記錄在案。而且還會(huì)將違規(guī)端口設(shè)置為err-disable狀態(tài),攻擊者將不能夠?qū)W(wǎng)絡(luò)進(jìn)行進(jìn)一步的破壞工作。

如果要在這個(gè)環(huán)境中啟用動(dòng)態(tài)ARP檢測(cè)技術(shù),需要執(zhí)行如下幾個(gè)步驟。

第一步是需要在各個(gè)交換機(jī)端口上啟用DHCP監(jiān)聽(tīng)。如上所示,動(dòng)態(tài)ARP檢測(cè)需要判斷數(shù)據(jù)的端口是否來(lái)自合法的端口。而要檢測(cè)這個(gè)內(nèi)容的話(huà),必須要有DHCP監(jiān)聽(tīng)綁定表。而這個(gè)表則是有DHCP監(jiān)聽(tīng)程序創(chuàng)建的。這里需要注意,要在交換機(jī)所有的接口上啟用這個(gè)監(jiān)聽(tīng)服務(wù)。否則的話(huà),就可能會(huì)出現(xiàn)問(wèn)題。

第二步是比較關(guān)鍵,是需要將交換機(jī)間的連接配置為DAI(動(dòng)態(tài)ARP檢測(cè))信任端口。在上面舉例子的時(shí)候,筆者為了簡(jiǎn)單起見(jiàn),只畫(huà)了一個(gè)工作組交換機(jī)。而在實(shí)際工作中,企業(yè)往往是有多個(gè)交換機(jī)共同組成一個(gè)網(wǎng)絡(luò)。此時(shí)如果讓多個(gè)交換機(jī)之間也能夠啟用動(dòng)態(tài)ARP檢測(cè)功能呢?其需要做的配置,就是將交換機(jī)之間的鏈路配置為DAI信任端口。可以使用命令ip arp inspection trust來(lái)實(shí)現(xiàn)。

當(dāng)啟用了動(dòng)態(tài)ARP檢測(cè)功能,如果再發(fā)生中間人攻擊事件的話(huà),交換機(jī)會(huì)如何應(yīng)對(duì)呢?如上圖所示,當(dāng)攻擊者C連接到工作組交換機(jī),并且試圖發(fā)送虛假的ARP響應(yīng)時(shí),交換機(jī)會(huì)根據(jù)DHCP監(jiān)聽(tīng)綁定表檢測(cè)到這種攻擊行為,并會(huì)丟棄這個(gè)ARP數(shù)據(jù)包。然后交換機(jī)會(huì)將這個(gè)攻擊者C所連接的端口設(shè)置為err-disable狀態(tài),并向管理員發(fā)出警報(bào)。

當(dāng)啟用了動(dòng)態(tài)ARP檢測(cè)的時(shí)候,需要注意其誤診斷的情況。如上圖所示,如果中間人C其不是直接連接在工作組交換機(jī)上。而是連接在一個(gè)集線(xiàn)器上。然后再通過(guò)這個(gè)集線(xiàn)器連接到交換機(jī)。此時(shí)當(dāng)其發(fā)出中間者攻擊時(shí),交換機(jī)會(huì)將這個(gè)接口關(guān)閉掉。此時(shí)連接在這個(gè)接口上的所有主機(jī)都將無(wú)法與網(wǎng)絡(luò)進(jìn)行通信。這個(gè)“一人有罪,全家受罰”的辦法,往往會(huì)涉及到無(wú)辜。網(wǎng)絡(luò)管理員在啟用這個(gè)功能時(shí),需要考慮到這個(gè)負(fù)面作用。在后續(xù)排除故障的時(shí)候,也會(huì)有參考的價(jià)值。

三、動(dòng)態(tài)ARP檢測(cè)在其他方面的作用

ARP動(dòng)態(tài)檢測(cè)功能在防止中間人攻擊方面有比較特殊的表現(xiàn)。但是其功能還遠(yuǎn)遠(yuǎn)不止這個(gè)方面。如ARP動(dòng)態(tài)檢測(cè)功能還可以實(shí)現(xiàn)ARP抑制。即限制入站ARP數(shù)據(jù)包的速率。如果當(dāng)ARP數(shù)據(jù)包的速率達(dá)到一個(gè)指定的數(shù)值之后,此時(shí)可能網(wǎng)絡(luò)中存在著ARP攻擊。在這種情況下,交換機(jī)會(huì)自動(dòng)將這個(gè)接口設(shè)置為disable狀態(tài)。要啟用ARP抑制功能,需要在交換機(jī)中進(jìn)行額外的配置。如可以通過(guò)如下命令來(lái)實(shí)現(xiàn):ip arp inspection limit rate (ARP數(shù)據(jù)包速率)。執(zhí)行這個(gè)配置并不難,其難點(diǎn)在于如何確定這個(gè)速率。如果速率設(shè)置的比較高,那么起不到ARP抑制的功能。相反,如果設(shè)置的比較低的話(huà),又可能會(huì)影響到網(wǎng)絡(luò)的正常使用。

四、動(dòng)態(tài)ARP檢測(cè)需要使用的相關(guān)技術(shù)

從以上的分析中可以看出,動(dòng)態(tài)ARP檢測(cè)并不是一門(mén)獨(dú)立的技術(shù),其必須要有其他的技術(shù)的幫助才能夠?qū)崿F(xiàn)。故筆者更喜歡將其稱(chēng)為一個(gè)技術(shù)的組合。如需要啟用DHCP監(jiān)聽(tīng)程序才能夠幫助交換機(jī)判斷數(shù)據(jù)來(lái)源接口的合法性等等。當(dāng)啟用ARP檢測(cè)技術(shù)的時(shí)候,交換機(jī)會(huì)自動(dòng)判斷是否啟用了一些必須的輔助技術(shù)。如果沒(méi)有啟用的話(huà),交換機(jī)會(huì)報(bào)錯(cuò),并終止用戶(hù)的請(qǐng)求。所以在配置這個(gè)功能的時(shí)候,網(wǎng)絡(luò)管理員還需要了解其他與之關(guān)聯(lián)的技術(shù)。特別是需要了解其實(shí)現(xiàn)的一些前提條件,即需要先啟用哪些技術(shù)。

在實(shí)際工作中,如像用戶(hù)介紹或者培訓(xùn)過(guò)程中,筆者將動(dòng)態(tài)ARP檢測(cè)技術(shù)當(dāng)作一個(gè)安全的解決方案(幾種技術(shù)的組合),而不是一門(mén)單獨(dú)的技術(shù)。這無(wú)論是在學(xué)習(xí)還是在配置中都需要引起重視。筆者再?gòu)?qiáng)調(diào)一次,動(dòng)態(tài)ARP檢測(cè)是一種結(jié)合DHCP監(jiān)聽(tīng)技術(shù)、IPSG技術(shù)等等的安全方案,其主要用來(lái)解決跟ARP攻擊相關(guān)的安全問(wèn)題。它能夠有效保護(hù)多層交換網(wǎng)絡(luò)中接入層的ARP攻擊,如ARP中間人攻擊、ARP欺騙、ARP擴(kuò)散攻擊,實(shí)現(xiàn)ARP抑制等等。當(dāng)然在實(shí)現(xiàn)的過(guò)程中,也會(huì)存在一些負(fù)面作用。其最大的負(fù)面影響就是會(huì)使得連接在同一個(gè)接口上的其他無(wú)辜用戶(hù)遭受到損失。在設(shè)計(jì)與部署動(dòng)態(tài)ARP檢測(cè)功能的時(shí)候,需要考慮到這個(gè)問(wèn)題。如當(dāng)連接到某個(gè)接口的終端出現(xiàn)網(wǎng)絡(luò)故障,而其他接口運(yùn)作正常時(shí),就需要考慮到是否是這個(gè)原因所造成的。


網(wǎng)頁(yè)題目:如何通過(guò)動(dòng)態(tài)ARP檢測(cè)中間人攻擊
文章源于:http://www.dlmjj.cn/article/dhedjcs.html