freepeople性欧美熟妇, 色戒完整版无删减158分钟hd, 无码精品国产vα在线观看DVD, 丰满少妇伦精品无码专区在线观看,艾栗栗与纹身男宾馆3p50分钟,国产AV片在线观看,黑人与美女高潮,18岁女RAPPERDISSSUBS,国产手机在机看影片

正文內容

arp攻擊防御解決方案(畢業(yè)論文)(編輯修改稿)

2024-09-10 11:06 本頁面
 

【文章內容簡介】 通信,A 首先會在自己的 ARP 緩存表項中查看有無B 的 ARP 表項。如果沒有, A 在局域網(wǎng)上廣播一個 ARP 請求,查詢 B 的 IP 地址所對應的MAC 地址。本局域網(wǎng)上的所有主機都會收到該 ARP 請求。 所有收到 ARP 請求的主機都學習 A 所對應的 ARP 表項。如果 B 收到該請求,則發(fā)送一個 ARP 應答給 A,告知 A 自己的 MAC 地址。主機 A 收到 B 的 ARP 應答后,會在自己的 ARP 緩存中寫入主機 B 的 ARP 表項。如上所述,利用 ARP 協(xié)議,可以實現(xiàn)相同網(wǎng)段內的主機之間正常通信或者通過網(wǎng)關與外網(wǎng)進行通信。但由于 ARP 協(xié)議是基于網(wǎng)絡中的所有主機或者網(wǎng)關都為可信任的前提制定。導致在 ARP 協(xié)議中沒有認證的機制,從而導致針對ARP 協(xié)議的欺騙攻擊非常容易。3 解決方案介紹根據(jù) ARP 的攻擊原理,我們可以很容易發(fā)現(xiàn)當前 ARP 攻擊防御的關鍵所在:如何獲取到合法用戶和網(wǎng)關的 IPMAC 對應關系,并如何利用該對應關系對 ARP 報文進行檢查,過濾掉非法 ARP 報文。我們可以采取兩個模式來監(jiān)控,即認證模式和 DHCP 監(jiān)控模式。分別對用戶認證的過程和 IP 地址申請過程的監(jiān)控,獲取到合法用戶的 IPMAC 對應關系,從而解決不同環(huán)境下的 ARP 防攻擊問題。 認證模式 總體思路通過增強用戶的認證機制來獲取上線用戶的 IPMAC 對應關系,并且利用認證的手段來確認當前用戶的合法性。從而有效的解決難以獲取合法用戶的 IPMAC 對應關系的問題。同時通過事先在認證服務器上配置網(wǎng)關的 IPMAC 對應關系的方式來集中管理網(wǎng)絡中存在的網(wǎng)關的 IPMAC 信息。當合法用戶上線時,可以利用上述的兩個關鍵信息對網(wǎng)絡中存在的虛假 ARP 報文以過濾或者綁定合法的 ARP 信息,從而有效的防御 ARP 欺騙行為。 H3C 的防御手段充分的考慮了方案實施的適應性要求,對虛假 ARP 報文加以過濾或者綁定合法 ARP 信息的功能可以根據(jù)網(wǎng)絡的條件分開使用。具體模式如下圖所示:圖 5 認證模式示意圖 認證模式之終端防護在用戶進行 認證的過程中,通過 CAMS 服務器下發(fā)預定的網(wǎng)關 IPMAC 映射到 iNode 客戶端,iNode 客戶端在用戶 PC 上針對所有網(wǎng)卡查找匹配的網(wǎng)關,并將匹配網(wǎng)關的 IPMAC 映射關系在 PC 上形成靜態(tài) ARP 綁定,從而有效防止針對主機的網(wǎng)關仿冒 ARP 攻擊。如下所示圖:圖 6 認證模式之終端防護示意圖iNode 客戶端,通過同 CAMS 服務器配合,由管理員在 CAMS 上設置正確的網(wǎng)關 IP、MAC 對應列表,并傳送至客戶端,客戶端無論當前 ARP 緩存是何種狀態(tài),均按照 CAMS 系統(tǒng)下發(fā)的 IP、MAC 列表更新本地的 ARP 緩存,并周期性更新,保證用戶主機網(wǎng)關 MAC 地址的正確性,從而保證用戶主機報文發(fā)往正確的設備。詳細處理流程如下:i N o d e 客戶端C A M S 服務器i N o d e 客戶端發(fā)起 1 x 認證流程1 x 認證成功 , C A M S 返回用戶預設置的 A R P 列表信息i N o d e 發(fā)起并處理 D H C P 請求根據(jù)下發(fā) C A M S 下發(fā) A R P 列表信息 , 更新本地 A R P 列表圖 7 iNode 設置本地 ARP 流程CAMS 服務器上,由管理員預先設置正確的網(wǎng)關 IPMAC 映射列表;待iNode 客戶端的認證請求成功通過,CAMS 服務器通過 Radius 報文將預設的網(wǎng)關 IPMAC 列表下發(fā)到客戶 PC 的接入交換機上,再由接入交換機透傳給客戶PC 上的 iNode 客戶端。iNode 客戶端收到 CAMS 服務器下發(fā)的網(wǎng)關 IPMAC 映射列表后,在客戶PC 上針對所有網(wǎng)卡查找匹配的網(wǎng)關(客戶 PC 存在多個網(wǎng)卡的情況下, iNode只匹配每個網(wǎng)卡的 default gateway) ,然后依據(jù) CAMS 服務器下發(fā)的網(wǎng)關映射列表將匹配網(wǎng)關的 IPMAC 映射在客戶 PC 上形成靜態(tài) ARP 表項并更新本地 ARP緩存,從而保證客戶 PC 的數(shù)據(jù)報文發(fā)往正確的網(wǎng)關設備;為防止用戶再次上線過程中網(wǎng)關 ARP 信息被篡改,iNode 客戶端會根據(jù)CAMS 服務器下發(fā)的正確的網(wǎng)關 IPMAC 映射信息周期性的更新本地 ARP 緩存。 認證模式之接入綁定在用戶進行 認證的過程中,通過擴展 協(xié)議報文,在 eapol的 response 報文(code=1 、type=2)中攜帶用戶 PC 的 IP 地址(iNode 客戶端需選定“上傳 IP 地址”選項,且推薦客戶 PC 上手工配置 IP 地址及網(wǎng)關) ,接入交換機通過監(jiān)聽 認證過程的協(xié)議報文,將用戶 PC 的 IP 地址、MAC 地址和接入端口形成綁定關系,在接入交換機上建立 IPMACPort 映射表項,并據(jù)此對用戶發(fā)送的 ARP/IP 報文進行檢測,從而有效防止用戶的非法 ARP/IP 報文進入網(wǎng)絡。如下所示圖:圖 8 認證模式之接入綁定示意圖首先,H3C iNode 客戶端通過 協(xié)議向 CAMS 服務器發(fā)起認證,并在 協(xié)議的 Response 報文中攜帶客戶 PC 的 IP 地址。接入交換機監(jiān)聽客戶 PC 上傳的 認證報文,從客戶 PC 回應的Response 報文(code=type=2)中提取客戶 PC 的 IP、MAC ,待客戶認證成功,將其與客戶 PC 的接入端口進行綁定,建立 IPMACPort 映射表項(周期
點擊復制文檔內容
環(huán)評公示相關推薦
文庫吧 www.dybbs8.com
備案圖片鄂ICP備17016276號-1