文档编号:884
浏览:7906 评分:20
最后更新于:2011-03-30
测试环境:
测试过程:
在路由器与交换机未作任何防攻击策略时,攻击电脑(IP地址为192.168.1.32)使用一款常见的攻击软件,对局域网中另一台电脑(IP地址为192.168.1.46)进行网络攻击。
图1:攻击软件演示
从受攻击电脑(IP地址为192.168.1.46)受到攻击前后的ping局域网网关192.168.1.1与ping www.baidu.com的情况可以看到:ping局域网网关不丢包(图2中的右图),延时正常;ping www.baidu.com则发生持续丢包现象(图2中的左图),被攻击电脑无法访问互联网。
图2:被攻击电脑受攻击时ping网关、百度域名情况
攻击数据分析:
通过在攻击电脑上使用抓包软件,获取到攻击数据,我们可以看到(如图3所示):攻击电脑伪造了受攻击电脑的MAC(00:25:56:b7:2f:0b)地址向局域网中发出了大量非IP类型的数据,构成了在局域网中的伪造MAC地址欺骗。因攻击数据中不具备IP地址信息,即使通过在路由器与受攻击电脑上设置IP/MAC双向绑定也无法解决这种非ARP欺骗的问题。
图3:抓包软件获取到攻击电脑发出的攻击数据
解决方案:
局域网中使用艾泰SG 2124或SG 3124R型号的交换机,在交换机的安全日志功能里可以观察到内网某个端口存在MAC地址欺骗事件(如图4所示),可通过交换机的MAC管理功能,将攻击电脑的MAC地址与其所连交换机的端口(PORT)进行绑定,并开启该端口的端口保护功能后(如图5所示),能将攻击的数据过滤掉,使之无法进入到交换机当中,实现在局域网中防御伪造MAC地址欺骗。
图4:交换机安全日志功能
图5:交换机MAC管理功能
实施效果:
通过艾泰交换机SG 2124或SG 3124R的MAC管理功能,能轻松将内网攻击数据堵截,既能使受攻击电脑能正常上网不受影响(如图6所示),还能让攻击电脑也能正常上网只不过是过滤其发出来的攻击类型的数据。
图6:受攻击电脑由“未受攻击”—“受攻击”—“被交换机保护”的ping网关、百度域名情况