symantec_ARP_病毒安全解决方案.pptVIP

* 主机入侵防御系统 —— SPA客户端的拦截效果 上述防护模块的防护效果（3） * 上述防护模块的防护效果（4） * 上述防护模块的防护效果（5） * 其他常见问题解答 终端已经建立起来了ARP缓存表，为什么欺骗程序还可以得逞？ 防范规则中，只允许ndisiuo.sys对外发送ARP数据包（协议号0x806），其他的全部禁止，这样有效果吗？ IPS功能也只有当我的ARP缓存表中有IP-MAC对应关系才能报警和拦截，如果我的ARP缓存表中没有IP-MAC对应关系，我是怎么判断他是不是欺骗行为？ * 补充说明 SSEP在针对ARP欺骗的现场实施中出现的一些问题的针对说明； 请参见后面的现场抓图即原理分析 * 关于SEP在实施过程中出现断网现象的解释 现象描述（一）：未安装SPA的电脑 我们在内网中随便找了一台电脑测试 这台电脑的IP地址 * 正确的MAC地址 地址各不相同 错误的MAC地址 关于测试过程中断网现象的解释 现象描述（一）：未安装SPA的电脑 机器很快中招，网关MAC被修改为攻击者的MAC 在被欺骗时网络不中断，用户以为没有被攻击，其实回话已被劫持 有时候也会断线 * 恢复正常 关于测试过程中断网现象的解释 现象描述（一）：未安装SPA的电脑 如果攻击包暂停发送，网关MAC恢复正常 在被欺骗和恢复正常的过程中，网络不中断，用户以为没有被攻击，其实回话已被劫持 * 关于测试过程中断网现象的解释 现象描述（二）：安装了SPA的电脑 正确的MAC地址 地址各不相同 * 关于测试过程中断网现象的解释 现象描述（二）：安装了SPA的电脑 开始被攻击 刷新缓存后才正常 错误的MAC地址 正确的MAC地址 刷新缓存表 * 关于测试过程中断网现象的解释 现象描述（二）：安装了SPA的电脑 因为SPA拦截了攻击源，造成上互联网的数据包丢失，这期间网络会闪断一次，用户感觉明显，但是SPA其实是阻止了回话劫持 错误的MAC地址 正确的MAC地址 刷新缓存表 * 测试过程中断网现象的解决办法 原因分析 ARP协议是不可信的通信 解决办法 给攻击源安装SPA 全网部署SPA 防火墙部署策略阻止攻击源MAC地址 实际意义不大，因为ARP是双向攻击 IP-MAC绑定 Arp –s ip mac 目前暂时是最好的解决办法 * 测试过程中断网现象的解决办法 ARP –s IP MAC绑定后的ARP表 * 测试过程中断网现象的解决办法 再次受到攻击时，网络也不中断，因为网关的MAC不会被更改 攻击者虽然伪造了IP-MAC报文，仍然无功而返 Q A * * 防间谍软件 * 怎么评价Sygate Protection Agent的保护能力？ 从攻防的原理来看，双方争夺的焦点是主机资源的控制权。从攻方来看有这些手段…… 从防守的角度来看，Sygate竟然在每一个领域都提供了对应的反制能力。这在业内也是罕见的，充分反应了Sygate方案的技术实力。 实际上，sygate＋symantec的杀毒，可以说是双剑合并，天下无敌。 2005年度最佳安全解决方案 SC Magazine（计算机安全杂志） 963个产品，291家厂商 2004安全管理类年度产品大奖 Information Security（信息安全杂志） 2004年度技术创新大奖 Computer World（计算机世界杂志） 2004年度用户选择大奖 Secure Enterprise（企业信息安全杂志） 依据用户反馈意见评选 Network Computing NAC Forum Copyright ? 2007 Symantec Corporation. All rights reserved. ARP 病毒安全解决方案 Eric Yao zhen_yao@ * Agenda ARP协议原理 1 ARP漏洞和攻击原理 2 ARP攻击的常用对策 3 Symantec终端安全解决方案 4 * Agenda ARP协议原理 1 ARP漏洞和攻击原理 2 ARP攻击的常用对策 3 Symantec终端安全解决方案 4 * 地址解析协议（Address Resolution Protocol，ARP）是在仅知道主机的IP地址时确定其物理地址的一种协议。 ARP协议使用的是广播包的形式发送 ARP的机制是信任局域网内的所有用户 ARP协议介绍 * 路由 00-11-22-33-44-01 A 00-11-22-33-44-02 B 00-11-22-33-44-03 广播一个ARP请求包 广播一个ARP请求包 ARP应答 ARP协议工作原理 * ARP命令的使用 1.ARP命令的功能 查看、添加和删除高速缓存区中的ARP表项 2.Wind