中文字幕av专区_日韩电影在线播放_精品国产精品久久一区免费式_av在线免费观看网站

溫馨提示×

溫馨提示×

您好,登錄后才能下訂單哦!

密碼登錄×
登錄注冊×
其他方式登錄
點擊 登錄注冊 即表示同意《億速云用戶服務條款》

SEP如何抵御MAC欺騙

發布時間:2020-07-20 10:28:25 來源:網絡 閱讀:3315 作者:飛鴻踏雪Ben 欄目:安全技術

Title

What behavior to expect from Symantec Endpoint Protection client when anti-mac spoofing is enabled

Body

This is how Symantec Endpoint Protection (SEP) determines if a mac spoofing attack is in progress:


1. If the ARP packet was sent as a response to a request from the client, then SEP allows the inbound and outbound ARP traffic if an ARP request was made to that specific host. SEP blocks all other unexpected ARP traffic.

如果ARP報文是某一請求的響應,則SEP允許此兩個主機間的ARP流量。其他非此類ARP流量均攔截。這意味著,如果主機A想跟主機B通信,主機A會發一個ARP請求到主機B。如果主機A發了ARP請求,那么SEP允許此請求包之后10秒內的ARP響應包。

This means that when Computer A wants to communicate with computer B, computer A may send an ARP request to computer B. If Computer A sends an ARP request message, this client allows the corresponding ARP response message within a period of 10 seconds.


2. If there is already a cached entry for this MAC address 如果ARP緩存中已有此MAC地址的記錄

3. If the cached entry has a different IP-address then what is in the ARP packet如果緩存記錄里的IP地址跟ARP包里的IP地址不同


If the response was not requested and If the IP address is different than the cached entry.如果ARP響應包不是源于ARP請求或ARP響應包里的IP跟緩存不同


In these cases SEP will see this as a spoofing attack and block the attack.


NOTE: If there is a third party NAC product in the network with SEP (to enable anti MAC spoofing), and if the third party NAC product is using mac spoofing technology, SEP may detect packets associated with the product as a spoofing attack.



未經請求的ARP響應(免費ARP,gratuitous ARP):

有多種原因,包括但不僅限于:

-數據包源感染病毒,即發送免費ARP報文的主機或其他設備感染病毒

-網絡環境問題

-應用程序問題


關于網絡環境或應用程序的未經請求的ARP響應

免費ARP是ARP是一種特殊的ARP報文,設備通過發送免費ARP主要實現以下功能:

- 確定其它設備的IP地址是否與本機的IP地址沖突。當其它設備收到免費ARP報文后,如果發現報文中的IP地址和自己的IP地址相同,則給發送免費ARP報文的設備返回一個ARP應答,告知該設備IP地址沖突

-設備改變了硬件地址,通過發送免費ARP報文通知其它設備更新ARP表項


如果懷疑報文源主機或設備中毒:

定位源主機,掃描病毒,參考http://www.symantec.com/docs/TECH122466以及可以啟用SEP的風險追蹤(Risk Tracer)功能來定位病毒源http://www.symantec.com/business/support/index?page=content&id=TECH94526


如果懷疑是環境或程序問題:

建議使用Wireshark來確認源。Wireshark下載http://www.wireshark.org/download.html


一般而言,如果僅是一臺機器發報文,是應用程序問題,但也不完全排除環境問題;如果源是交換機或其他設備,一般是環境問題,即設備應用免費ARP來實現某些功能。應用程序問題如果不是by design的,可能是感染病毒。













向AI問一下細節
推薦閱讀:
  1. 防止ARP欺騙
  2. arp欺騙

免責聲明:本站發布的內容(圖片、視頻和文字)以原創、轉載和分享為主,文章觀點不代表本網站立場,如果涉及侵權請聯系站長郵箱:is@yisu.com進行舉報,并提供相關證據,一經查實,將立刻刪除涉嫌侵權內容。

AI

闻喜县| 甘孜县| 百色市| 义马市| 临夏市| 清新县| 兴隆县| 绵阳市| 萨嘎县| 长沙市| 东丽区| 富蕴县| 梁山县| 筠连县| 三河市| 昔阳县| 普兰店市| 孟津县| 建平县| 黎川县| 丹阳市| 水富县| 长海县| 新蔡县| 温州市| 绩溪县| 台前县| 黑龙江省| 长寿区| 拉萨市| 本溪| 栾城县| 滦平县| 定兴县| 余江县| 来宾市| 会昌县| 凤冈县| 阜新| 运城市| 定西市|