亚洲AV无码乱码在线观看不卡|最新大伊香蕉精品视频在线|亚洲不卡av一区二区|国产美女无遮挡免费

 　　作為公司網(wǎng)絡(luò)管理員的我們恐怕最擔(dān)心的就是員工計(jì)算機(jī)或者服務(wù)器的上網(wǎng)問題了，畢竟目前很多應(yīng)用和服務(wù)都是建立在網(wǎng)絡(luò)連通基礎(chǔ)上的。網(wǎng)絡(luò)攻擊也是造成網(wǎng)絡(luò)連接中斷的最主要因素，而ARP欺騙攻擊可謂是最難解決的問題了，很多網(wǎng)絡(luò)管理員都遇到此故障，非法計(jì)算機(jī)通過ARP(Address Resolution Protocol)欺騙工具來阻止其他計(jì)算機(jī)上網(wǎng)；感染了病毒的計(jì)算機(jī)也會無意識的發(fā)送ARP欺騙數(shù)據(jù)包來擾亂網(wǎng)絡(luò)體系中的ARP地址列表。那么我們這些網(wǎng)絡(luò)管理員該如何應(yīng)對ARP欺騙攻擊手段呢？今天我們就為大家介紹一下ARP欺騙的基本原理并為大家推薦一款能夠有效抵御ARP欺騙攻擊的NEWDON NBADswitchII+系列交換機(jī)。

基本原理

　　Address Resolution Protocol (ARP) 地址解析協(xié)議，用于同Vlan中IP與MAC地址的映射解析，在交換機(jī)網(wǎng)絡(luò)中，同VLan之間的通信是根據(jù)主機(jī)的MAC地址來做數(shù)據(jù)的轉(zhuǎn)發(fā)，ARP封包類型為0x806。

解析過程

ARP封包有兩種典型的類型Request-Broadcast Frame 、ARP Reply –uncast，解析過程如下：

　　如圖 A 在與B 通信之前，查詢B的MAC地址，在初始時(shí)，由A主動發(fā)送一個(gè)MAC地址為全F的廣播查詢幀，并且表明B的IP為10.0.0.2。

　　同一局域網(wǎng)中的主機(jī)都會收到A的ARP Request查詢幀，但僅僅B的IP地址跟要查詢的10.0.0.2匹配，B會回應(yīng)一個(gè)ARP Response幀給給A。最后交換機(jī)中的會完成A、B的MAC和端口的對應(yīng)MAC 地址列表。

欺騙防護(hù)

攻擊實(shí)現(xiàn)原理

Arp Spoofing Attacks

　　如圖攻擊主機(jī)C，主動發(fā)送一個(gè)ARP回應(yīng)封包給主機(jī)A，回應(yīng)包中將攜帶主機(jī)B的IP地址，標(biāo)明MAC為0666，主機(jī)A將更新本地的ARP表。

 

　　哄騙之后達(dá)成的結(jié)果：比如Host A需要去Telnet B，去往B的的Telnet流要到主機(jī)C上。

ARP欺騙防護(hù)

　　針對ARP欺騙目前很多交換機(jī)廠商都要推出相應(yīng)的解決方案，其中常用做法是在交換機(jī)端口上使用IP+MAC捆綁來過濾大部分ARP欺騙，但對于Netcut ARP欺騙攻擊的并不完全有效，如下圖標(biāo)注了NetCut攻擊中最為典型的一種特征：

　　通過紅線標(biāo)記處發(fā)現(xiàn)，攻擊者也會使用自己真實(shí)的Source MAC，僅只篡改Send MAC 的ARP欺騙封包，而對這種欺騙使用IP+MAC綁定過濾是無效的，需要更深度的檢測才可以被檢測到，其中NEWDON NBADswitch II系列交換機(jī)提供了NetCut ARP 檢測以及豐富的ACL功能特性功能來防止ARP欺騙行為。

IP+MAC+端口綁定

　　使用NEWDON NBADswitchII的IP+MAC+端口綁定可以過濾或減輕ARP欺騙攻擊行為。

Private-Vlan

　　使用NEWDON NBADswitchII的Private-VLAN，對同一子網(wǎng)的端端口進(jìn)行隔離，減少廣播留和無關(guān)的流量，從而減少來自同VLAN內(nèi)用戶的ARP欺騙攻擊。

Netcut ACL

　　NEWDON NBADswitch針對NetCut的ARP攻擊的特征單獨(dú)定制了相關(guān)的特征過濾策略。

　　開啟NEWDON NBADswitchII+ 中Security Setting Wizard>Blocked Defense>Netcut ARP Attack功能，過濾NetCut的欺騙、攻擊封包。

ACL

　　NEWDON NBADswitchII同時(shí)也提供了非常豐富的ACL參數(shù)，以供用戶可以自定義策略。如下圖的ARP的參數(shù)中可以定義 ARP的封包的源MAC地址、目的MAC地址，Sender MAC、Target MAC、封包類型等詳細(xì)參數(shù)。

　　相信通過這邊文章，大家對于ARP欺騙攻擊也會有進(jìn)一步的了解。而文中介紹的NEWDON NBADswitchII+系列交換機(jī)是紐盾科技旗下的產(chǎn)品，該公司雖然是一家新興成立的網(wǎng)絡(luò)安全設(shè)備供應(yīng)商，但憑借出色的產(chǎn)品質(zhì)量、強(qiáng)大的研發(fā)能力、雄厚的技術(shù)實(shí)力以及完善周到的售后服務(wù)讓紐盾的產(chǎn)品擁有強(qiáng)悍的市場競爭力，有興趣的朋友不妨可以關(guān)注一下。

電話：021-51619288
傳真：021-51619298
mail：sales@newdon.net
網(wǎng)址：www.newdon.net