江苏省高校图情工委.ppt

《江苏省高校图情工委.ppt》由会员分享，可在线阅读，更多相关《江苏省高校图情工委.ppt（138页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、恭祝恭祝江苏省高校图情工委江苏省高校图情工委现代技术专业委员会年会现代技术专业委员会年会顺利召开顺利召开局域网的网络安全防范与技术局域网的网络安全防范与技术孙国梓孙国梓 博士博士南京邮电大学计算机学院南京邮电大学计算机学院主要内容主要内容v局域网环境简介局域网环境简介v局域网的安全威胁局域网的安全威胁v局域网监听与防范局域网监听与防范v局域网局域网ARP攻击与防范攻击与防范v局域网病毒入侵与防范局域网病毒入侵与防范v快速关闭端口防止入侵快速关闭端口防止入侵v局域网共享资源安全防范局域网共享资源安全防范v无线局域网嗅探与防范无线局域网嗅探与防范v局域网上网的安全防范与技巧局域网上网的安全防范与技

2、巧局域网环境简介局域网环境简介v计算机网算机网络的分的分类按作用范按作用范围的大小分的大小分广域网（广域网（WANWAN）也叫也叫远程网。作用范程网。作用范围通常通常为几十到几千公里，是几十到几千公里，是一种可跨越国家及地区的遍布全球的一种可跨越国家及地区的遍布全球的计算机网算机网络城域网（城域网（MANMAN）也叫市域网。它的范也叫市域网。它的范围约为几千米到几十千米几千米到几十千米局域网（局域网（LANLAN）也叫局部网。一般将微机通也叫局部网。一般将微机通过高速通信高速通信线路相路相连，范范围一般在几百米到几千米一般在几百米到几千米局域网环境简介局域网环境简介v局域网的基本概念局域网的基

3、本概念Local Area NetworkLocal Area Network (LAN)(LAN)是是计算机网算机网络的一种的一种一个通信系一个通信系统范范围在一定的地理区域在一定的地理区域(一个一个办公室、一幢楼、一家工厂公室、一幢楼、一家工厂或方或方圆几公里几公里远的地域等的地域等)内内功效功效利用通信利用通信线路将众多路将众多计算机算机(一般一般为微机微机)及外及外围设备连接起来，达到数据通信和接起来，达到数据通信和资源共享的目的源共享的目的局域网环境简介局域网环境简介v局域网最主要的特点局域网最主要的特点覆盖的地理范覆盖的地理范围较小，小，几米到几公里几米到几公里以微机为主要联网对象

4、以微机为主要联网对象通常为某个单位或部门所有通常为某个单位或部门所有具有较高的数据传输速率、较低的时延和较小的误码率具有较高的数据传输速率、较低的时延和较小的误码率易于安装、配置和维护简单，造价低易于安装、配置和维护简单，造价低实用性强，已经成为计算机网络中使用最广的形式实用性强，已经成为计算机网络中使用最广的形式v局域网一般分为令牌网和以太网两种局域网一般分为令牌网和以太网两种令牌网主要用于广域网及大型局域网的主干部分，其操令牌网主要用于广域网及大型局域网的主干部分，其操作系统大多是作系统大多是UNIX。组建和管理非常繁琐，需专业人员。组建和管理非常繁琐，需专业人员胜任胜任以太网是当今世界应

5、用范围最广的一种网络技术，组建以太网是当今世界应用范围最广的一种网络技术，组建较为容易，各设备之间的兼容性较好，较为容易，各设备之间的兼容性较好，Windows和和Netware都支持它都支持它局域网的组成局域网的组成v局域网由网局域网由网络硬件和网硬件和网络软件两部分件两部分组成成网网络硬件用于硬件用于实现局域网的物理局域网的物理连接接为连接在局域网上的接在局域网上的计算机之算机之间的通信提供一条物的通信提供一条物理信道和理信道和实现局域网局域网间的的资源共享源共享网网络软件件则主要用于控制主要用于控制并具体并具体实现信息的信息的传送和网送和网络资源的分配与共享源的分配与共享这两部分互相依两

6、部分互相依赖,共同完成局域网的通信功能共同完成局域网的通信功能局域网的拓朴结构局域网的拓朴结构最常见的局域网拓朴结构有星型、环型、总线型最常见的局域网拓朴结构有星型、环型、总线型和树型和树型集线器(a)星型网星型网*(b)环型网环型网(c)总线网总线网(d)树型网树型网注：图注：图(a)在物理上是一个星型网，在物理上是一个星型网，但在逻辑上仍是一个总线网但在逻辑上仍是一个总线网干线耦合器干线耦合器匹配电阻匹配电阻(1)星型拓朴星型拓朴每每一一个个站站点点通通过过点点-点点链链路路连连至至中中心心节节点点，所所有有的的通通信信都都由由中中心心节节点点控控制制，一一般般采采用用线线路路交交换换。中

7、中心心节节点点也也可可以以有有数数据据处处理理能能力并提供共享资源力并提供共享资源近近年年来来由由于于集集线线器器(hub)的的出出现现和和双双绞绞线线大大量量用用于于局局域域网网中中,星星形网以及形网以及多级结构多级结构的星形网获得了非常广泛的应用的星形网获得了非常广泛的应用基基本本特特性性优优点点建网容易，配置方便建网容易，配置方便每个连接的故障容易排除，不影响全网每个连接的故障容易排除，不影响全网控制协议相对简单控制协议相对简单缺缺点点在同样覆盖面积内；所用电缆量较大在同样覆盖面积内；所用电缆量较大扩展不方便，需要预留或增设电缆扩展不方便，需要预留或增设电缆对对中中心心节节点点要要求求非

8、非常常高高，一一旦旦中中心心节节点点产产生故障生故障,全网将不能工作全网将不能工作集线器集线器或交换机或交换机(2)环型拓朴环型拓朴由由一一些些中中继继器器通通过过点点到到点点链链路路连连成成的的一一个个闭闭合合环环。入入网网设设备备连连到到中中继继器器上上。中中继继器器是是较较简简单单的的设设备备，无无存存储储转转发发功功能能。它它从从一一条条链链路路上上接接收收数数据据,以以相相同同速速率率在在另另一一条条链链路路上上输输出出。数数据据在在环环上上是是单向传输的单向传输的由由于于所所有有站站点点共共享享一一个个环环，因因此此要要对对站站点点对对环环的的访访问问进进行行控控制制。控制采用分布

9、的办法，即每个站都有控制发送和接收的访问逻辑控制采用分布的办法，即每个站都有控制发送和接收的访问逻辑基基本本特特性性优优点点电线长度较短，与总线拓扑类似电线长度较短，与总线拓扑类似适于采用光缆连接，从而提高数据速率适于采用光缆连接，从而提高数据速率缺缺点点某段链路或某个中继器有故障会使全网不能工作某段链路或某个中继器有故障会使全网不能工作站点离网、入网都较困难站点离网、入网都较困难(3)总线拓朴总线拓朴将将所所有有站站点点通通过过硬硬件件接接口口连连接接到到单单根根传传输输介介质质共共享享总总线线上上。在在IEEE802标标准准中中IEEE802.3(即即以以太太网网)和和IEEE802.4(

10、令牌总线令牌总线)都是总线拓扑都是总线拓扑基基本本特特性性优优点点与星型拓扑相比，所需电缆长度较短与星型拓扑相比，所需电缆长度较短结构简单，可靠性高结构简单，可靠性高扩充扩充(如增加站点、延长电缆等如增加站点、延长电缆等)较容易较容易缺缺点点故故障障检检测测不不很很容容易易，如如总总线线有有故故障障需需分分段段查查找，如站点有故障需一个一个查找，如站点有故障需一个一个查站点需要提供访问控制功能站点需要提供访问控制功能按网络使用的传输介质分类按网络使用的传输介质分类v局域网使用的局域网使用的传输介介质有双有双绞线,光光纤,同同轴电缆,无无线电波波,微波等微波等v对应的局域网有双的局域网有双绞线网

11、网,光光纤网网,同同轴电缆网网,无无线局域网局域网,微波网微波网v目前小型局域网大都是双目前小型局域网大都是双绞线网网,而而较大型局域网大型局域网则采用光采用光纤和双和双绞线传输介介质的混合型网的混合型网络v近年来近年来,无无线网网络技技术发展迅速展迅速,它将成它将成为未来局域未来局域网的一个重要网的一个重要发展方向展方向局域网环境简介局域网环境简介v无无线局域网局域网Wireless LAN可提供所有无可提供所有无线局域网的功能，而不需局域网的功能，而不需要物理要物理线路路连接接数据先被数据先被调制到射制到射频载波中，然后以大气波中，然后以大气为载体体进行行传输典型速率典型速率为11Mbps

12、和和54Mbps，但，但实际应用中得到的用中得到的速率通常速率通常为此速率的一部分此速率的一部分无无线局域网的局域网的实现可以非常可以非常简单，只要在，只要在计算机上安算机上安装无装无线网卡即可网卡即可如果想和有如果想和有线网网络连接在一起需要添加一个无接在一起需要添加一个无线接入接入点点AP。AP一般位于无一般位于无线客客户端的中心接入位置端的中心接入位置Wireless LAN的优缺点的优缺点v优点：点：移移动性性安装安装安装的灵活性安装的灵活性减少用减少用户投入投入易于易于扩展展v缺点：缺点：Wireless LAN和有和有线局域网相比速率局域网相比速率较低低无无线网网络的硬件投入会高于

13、有的硬件投入会高于有线网网络主要内容主要内容v局域网环境简介局域网环境简介v局域网的安全威胁局域网的安全威胁v局域网监听与防范局域网监听与防范v局域网局域网ARP攻击与防范攻击与防范v局域网病毒入侵与防范局域网病毒入侵与防范v快速关闭端口防止入侵快速关闭端口防止入侵v局域网共享资源安全防范局域网共享资源安全防范v无线局域网嗅探与防范无线局域网嗅探与防范v局域网上网的安全防范与技巧局域网上网的安全防范与技巧局域网安全威胁局域网安全威胁v局域网技术将网络资源共享的特性体现得局域网技术将网络资源共享的特性体现得淋漓尽致淋漓尽致不仅能提供软件资源、硬件资源共享不仅能提供软件资源、硬件资源共享还提供还提

14、供InternetInternet连接共享等各种网络共享服务连接共享等各种网络共享服务越来越多的局域网被应用在学校、写字楼，办越来越多的局域网被应用在学校、写字楼，办公区公区 局域网的安全威胁局域网的安全威胁v目前绝大多数的局域网使用的协议都是和目前绝大多数的局域网使用的协议都是和InternetInternet一样的一样的TCP/IPTCP/IP协议协议各种黑客工具一样适用于局域网各种黑客工具一样适用于局域网v局域网中的计算机更多体现的是共享和服局域网中的计算机更多体现的是共享和服务务因此局域网的安全隐患较之于因此局域网的安全隐患较之于InternetInternet更是有过更是有过之而无不

15、及之而无不及局域网的安全威胁局域网的安全威胁v目前的局域网基本上都采用以广播为技术基目前的局域网基本上都采用以广播为技术基础的以太网础的以太网任何两个节点之间的通信数据包，不仅为这两任何两个节点之间的通信数据包，不仅为这两个节点的网卡所接收，也同时为处在同一以太个节点的网卡所接收，也同时为处在同一以太网上的任何一个节点的网卡所截取网上的任何一个节点的网卡所截取 v黑客只要接入以太网上的任一节点进行侦听黑客只要接入以太网上的任一节点进行侦听就可以捕获发生在这个以太网上的所有数据包，就可以捕获发生在这个以太网上的所有数据包，对其进行解包分析，从而窃取关键信息，这就对其进行解包分析，从而窃取关键信息

16、，这就是以太网所固有的安全隐患是以太网所固有的安全隐患安全无内、外之分安全无内、外之分长期以来，对于信息安全问题，通常认为安全长期以来，对于信息安全问题，通常认为安全问题主要源于外面因素，都希望在互联网接入问题主要源于外面因素，都希望在互联网接入处，把病毒和攻击挡在门外，就可安全无忧处，把病毒和攻击挡在门外，就可安全无忧有许多重大的网络安全问题正是由于内部员工有许多重大的网络安全问题正是由于内部员工引起引起一些间谍软件、木马程序等恶意软件就会不知不觉一些间谍软件、木马程序等恶意软件就会不知不觉地被下载到电脑中地被下载到电脑中在员工浏览色情网站、利用即时通讯和访问购物网站时在员工浏览色情网站、利

17、用即时通讯和访问购物网站时这些恶意软件还会在企业内部网络中进行传播，不这些恶意软件还会在企业内部网络中进行传播，不仅会产生安全隐患，而且还会影响到网络的使用率仅会产生安全隐患，而且还会影响到网络的使用率特别值得注意的是，企业的机密资料、客户数据等特别值得注意的是，企业的机密资料、客户数据等信息可能会由于恶意软件的存在，不知不觉被盗取信息可能会由于恶意软件的存在，不知不觉被盗取局域网内的安全误区局域网内的安全误区v局域网中无需单机防火墙局域网中无需单机防火墙 v没有人会针对我没有人会针对我v安装杀毒软件和病毒防火墙就不怕病毒安装杀毒软件和病毒防火墙就不怕病毒v安装了安装了SP2SP2的的Wind

18、ows XPWindows XP就安全了就安全了主要内容主要内容v局域网环境简介局域网环境简介v局域网的安全威胁局域网的安全威胁v局域网监听与防范局域网监听与防范v局域网局域网ARP攻击与防范攻击与防范v局域网病毒入侵与防范局域网病毒入侵与防范v快速关闭端口防止入侵快速关闭端口防止入侵v局域网共享资源安全防范局域网共享资源安全防范v无线局域网嗅探与防范无线局域网嗅探与防范v局域网上网的安全防范与技巧局域网上网的安全防范与技巧以太网协议工作方式以太网协议工作方式v将要发送的数据包发往连接在一起的所有将要发送的数据包发往连接在一起的所有主机主机包中包含着应该接收数据包主机的正确地址包中包含着应该接

19、收数据包主机的正确地址只有与数据包中目标地址一致的那台主机才能只有与数据包中目标地址一致的那台主机才能接收接收v当主机网卡设置为混杂模式时当主机网卡设置为混杂模式时(监听模式监听模式)经过自己网络接口的那些数据包经过自己网络接口的那些数据包无论数据包中的目标地址是什么，主机都将接无论数据包中的目标地址是什么，主机都将接收（监听）收（监听）以太网协议工作方式以太网协议工作方式v现在网络中使用的大部分协议都是很早设现在网络中使用的大部分协议都是很早设计的计的许多协议的实现都是基于一种非常友好的、通许多协议的实现都是基于一种非常友好的、通信的双方充分信任的基础之上信的双方充分信任的基础之上许多信息以

20、明文发送许多信息以明文发送局域网监听与防范局域网监听与防范v局域网中采用广播方式局域网中采用广播方式在某个广播域中可以监听到所有的信息包在某个广播域中可以监听到所有的信息包黑客通过对信息包进行分析，就能获取局域网黑客通过对信息包进行分析，就能获取局域网上传输的一些重要信息上传输的一些重要信息很多黑客入侵时都把局域网扫描和侦听作为其很多黑客入侵时都把局域网扫描和侦听作为其最基本的步骤和手段，原因是想用这种方法获最基本的步骤和手段，原因是想用这种方法获取其想要的密码等信息取其想要的密码等信息v对黑客入侵活动和其它网络犯罪进行侦查、取证对黑客入侵活动和其它网络犯罪进行侦查、取证时，也可以使用网络监听

21、技术来获取必要的信息时，也可以使用网络监听技术来获取必要的信息因此，了解以太网监听技术的原理、实现方法因此，了解以太网监听技术的原理、实现方法和防范措施就显得尤为重要和防范措施就显得尤为重要网络监听网络监听v网络监听技术本来是提供给网络安全管理人员进网络监听技术本来是提供给网络安全管理人员进行管理的工具，可以用来监视网络的状态、数据行管理的工具，可以用来监视网络的状态、数据流动情况以及网络上传输的信息等流动情况以及网络上传输的信息等当信息以明文的形式在网络上传输时，使用监当信息以明文的形式在网络上传输时，使用监听技术进行攻击并不是一件难事，只要将网络听技术进行攻击并不是一件难事，只要将网络接口

22、设置成监听模式，便可以源源不断地将网接口设置成监听模式，便可以源源不断地将网上传输的信息截获上传输的信息截获网络监听可以在网上的任何一个位置实施，如网络监听可以在网上的任何一个位置实施，如局域网中的一台主机、网关上或远程网的调制局域网中的一台主机、网关上或远程网的调制解调器之间等解调器之间等网络监听的应用场景网络监听的应用场景v如果用户的账户名和口令等信息也以明文的方式如果用户的账户名和口令等信息也以明文的方式在网上传输在网上传输只要具有初步的网络和只要具有初步的网络和TCP/IPTCP/IP协议知识，便能协议知识，便能轻易地从监听到的信息中提取出感兴趣的部分轻易地从监听到的信息中提取出感兴趣

23、的部分黑客或网络攻击者会利用此方法进行网络监听黑客或网络攻击者会利用此方法进行网络监听v正确使用网络监听技术也可以发现入侵并对入侵正确使用网络监听技术也可以发现入侵并对入侵者进行追踪定位者进行追踪定位在对网络犯罪进行侦查取证时获取有关犯罪行在对网络犯罪进行侦查取证时获取有关犯罪行为的重要信息，成为打击网络犯罪的有力手段为的重要信息，成为打击网络犯罪的有力手段使用使用sniffer pro进行监听进行监听v获取邮箱密码获取邮箱密码通过对用监听工具捕获的数据帧进行分析，可通过对用监听工具捕获的数据帧进行分析，可以很容易的发现敏感信息和重要信息以很容易的发现敏感信息和重要信息对一些明码传输的邮箱用户

24、名和口令可以直接对一些明码传输的邮箱用户名和口令可以直接显示出来显示出来网络监听的相关软件网络监听的相关软件v密码监听器密码监听器(01)(01)http:/ stackIP stack不再次反向检查的话，就会响应不再次反向检查的话，就会响应对可能存在的网络监听的检测对可能存在的网络监听的检测v2)2)可向网上发送大量目的地址根本不存在的数据可向网上发送大量目的地址根本不存在的数据包包由于监听程序要分析和处理大量的数据包会占由于监听程序要分析和处理大量的数据包会占用很多的用很多的CPUCPU资源，这将导致性能下降资源，这将导致性能下降通过比较前后该机器性能加以判断通过比较前后该机器性能加以判断

25、这种方法难度比较大这种方法难度比较大v3)3)使用反监听工具如使用反监听工具如antisnifferantisniffer等进行检测等进行检测对网络监听的检测对网络监听的检测v当前，有两个比较可行的办法当前，有两个比较可行的办法搜索网上所有主机运行的进程搜索网上所有主机运行的进程网络管理员使用网络管理员使用UNIXUNIX或或Windows NTWindows NT的主机，可以很的主机，可以很容易地得到当前进程的清单容易地得到当前进程的清单确定是否有一个进程被从管理员主机上启动确定是否有一个进程被从管理员主机上启动搜查监听程序搜查监听程序现在监听程序只有有限的几种，管理员可以检查目现在监听程序

26、只有有限的几种，管理员可以检查目录，找出监听程序录，找出监听程序对网络监听的检测对网络监听的检测v还有两个方法比较有效，缺点也是难度较大还有两个方法比较有效，缺点也是难度较大检查被怀疑主机中是否有一个随时间不断增长的检查被怀疑主机中是否有一个随时间不断增长的文件存在文件存在因为网络监听输出的文件通常很大，且随时间不断增长因为网络监听输出的文件通常很大，且随时间不断增长通过运行通过运行ipconfigipconfig命令，检查网卡是否被设置成了命令，检查网卡是否被设置成了监听模式监听模式或使用或使用IfstatusIfstatus工具，定期检测网络接口是否处于监听状工具，定期检测网络接口是否处于

27、监听状态态当网络接口处于监听状态时，可能是入侵者侵入了系统，当网络接口处于监听状态时，可能是入侵者侵入了系统，并正在运行一个监听程序，就要有所注意并正在运行一个监听程序，就要有所注意对网络监听的防范措施对网络监听的防范措施v从逻辑或物理上对网络分段从逻辑或物理上对网络分段v以交换式集线器代替共享式集线器以交换式集线器代替共享式集线器控制单播包而无法控制广播包和多播包控制单播包而无法控制广播包和多播包v使用加密技术使用加密技术v划分划分VLANVLAN运用运用VLANVLAN（虚拟局域网）技术，将以太网通信（虚拟局域网）技术，将以太网通信变为点到点通信，可以防止大部分基于网络监变为点到点通信，可

28、以防止大部分基于网络监听的入侵听的入侵主要内容主要内容v局域网环境简介局域网环境简介v局域网的安全威胁局域网的安全威胁v局域网监听与防范局域网监听与防范v局域网局域网ARP攻击与防范攻击与防范v局域网病毒入侵与防范局域网病毒入侵与防范v快速关闭端口防止入侵快速关闭端口防止入侵v局域网共享资源安全防范局域网共享资源安全防范v无线局域网嗅探与防范无线局域网嗅探与防范v局域网上网的安全防范与技巧局域网上网的安全防范与技巧ARP协议协议vAddress Resolution Protocol(Address Resolution Protocol(地址解析协议地址解析协议)v在局域网中，网络中实际传输

29、的是在局域网中，网络中实际传输的是“帧帧”帧里面是有目标主机的帧里面是有目标主机的MACMAC地址的地址的v在以太网中，一个主机要和另一个主机进行直接在以太网中，一个主机要和另一个主机进行直接通信，必须要知道目标主机的通信，必须要知道目标主机的MACMAC地址地址v但这个目标但这个目标MACMAC地址是如何获得的呢地址是如何获得的呢通过地址解析协议获得通过地址解析协议获得ARP协议原理协议原理v所谓所谓“地址解析地址解析”就是主机在发送帧前将目标就是主机在发送帧前将目标IPIP地址转换成目标地址转换成目标MACMAC地址的过程地址的过程ARPARP协议的基本功能就是通过目标设备的协议的基本功能

30、就是通过目标设备的IPIP地址，地址，查询目标设备的查询目标设备的MACMAC地址，以保证通信的顺利地址，以保证通信的顺利进行进行v在局域网中，通过在局域网中，通过ARPARP协议来完成协议来完成IPIP地址转换为第地址转换为第二层物理地址二层物理地址 (即即MACMAC地址地址)的的ARPARP协议对网络安全具有重要的意义协议对网络安全具有重要的意义通过伪造通过伪造IPIP地址和地址和MACMAC地址实现地址实现ARPARP欺骗，能够欺骗，能够在网络中产生大量的在网络中产生大量的ARPARP通信量使网络阻塞通信量使网络阻塞局域网内部的局域网内部的ARP攻击攻击vARPARP协议的基本功能就是

31、通过目标设备的协议的基本功能就是通过目标设备的IPIP地址，地址，查询目标设备的查询目标设备的MACMAC地址，以保证通信的进行地址，以保证通信的进行v基于基于ARPARP协议的这一工作特性，黑客向对方计算机协议的这一工作特性，黑客向对方计算机不断发送有欺诈性质的不断发送有欺诈性质的ARPARP数据包数据包数据包内包含有与当前设备重复的数据包内包含有与当前设备重复的MacMac地址地址使对方在回应报文时，由于简单的地址重复错使对方在回应报文时，由于简单的地址重复错误而导致不能进行正常的网络通信误而导致不能进行正常的网络通信受受ARP攻击可能出现的现象攻击可能出现的现象v1)1)不断弹出不断弹出

32、“本机的本机的XXXXXX段硬件地址与网络中的段硬件地址与网络中的XXXXXX段地址冲突段地址冲突”的对话框的对话框v2)2)计算机不能正常上网，出现网络中断的症状计算机不能正常上网，出现网络中断的症状v因为这种攻击是利用因为这种攻击是利用ARPARP请求报文进行请求报文进行“欺骗欺骗”的，的，所以防火墙会误以为是正常的请求数据包，不予所以防火墙会误以为是正常的请求数据包，不予拦截拦截v普通的防火墙很难抵挡这种攻击普通的防火墙很难抵挡这种攻击ARP 病毒攻击症状病毒攻击症状v现在局域网中感染现在局域网中感染ARP ARP 病毒的情况比较多病毒的情况比较多清理和防范都比较困难，给不少的网络管理员

33、清理和防范都比较困难，给不少的网络管理员造成了很多的困扰造成了很多的困扰v症状症状有时候无法正常上网，有时候有好了，包括访有时候无法正常上网，有时候有好了，包括访问网上邻居也是如此，拷贝文件无法完成，出问网上邻居也是如此，拷贝文件无法完成，出现错误现错误局域网内的局域网内的ARP ARP 包爆增包爆增使用使用Arp Arp 查询的时候会发现不正常的查询的时候会发现不正常的MacMac地址，地址，或错误的或错误的Mac Mac 地址对应，还有就是一个地址对应，还有就是一个Mac Mac 地地址对应多个址对应多个IP IP 的情况也会有出现的情况也会有出现ARP 攻击的原理攻击的原理vARP AR

34、P 欺骗攻击的包一般有以下两个特点，满足之欺骗攻击的包一般有以下两个特点，满足之一可视为攻击包报警一可视为攻击包报警以太网数据包头的源地址、目标地址和以太网数据包头的源地址、目标地址和ARP ARP 数数据包的协议地址不匹配据包的协议地址不匹配ARPARP数据包的发送和目标地址不在自己网络网数据包的发送和目标地址不在自己网络网卡卡MAC MAC 数据库内，或者与自己网络数据库内，或者与自己网络MAC MAC 数据库数据库MAC/IP MAC/IP 不匹配不匹配ARP 攻击的原理攻击的原理v这些统统第一时间报警这些统统第一时间报警查这些数据包查这些数据包(以太网数据包以太网数据包)的源地址的源地

35、址(也有可也有可能伪造能伪造)，就大致知道哪台机器在发起攻击了，就大致知道哪台机器在发起攻击了v现在有网络管理工具现在有网络管理工具比如网络执法官、比如网络执法官、P2P P2P 终结者也会使用同样的终结者也会使用同样的方式来伪装成网关，欺骗客户端对网关的访问方式来伪装成网关，欺骗客户端对网关的访问也就是会获取发到网关的流量，从而实现网络也就是会获取发到网关的流量，从而实现网络流量管理和网络监控等功能流量管理和网络监控等功能同时也会对网络管理带来潜在的危害，就是可同时也会对网络管理带来潜在的危害，就是可以很容易的获取用户的密码等相关敏感信息以很容易的获取用户的密码等相关敏感信息ARP攻击软件攻

36、击软件vWinArpAttacker WinArpAttacker ARPARP攻击器攻击器(02)(02)http:/60.28.178.201/down?cid=FFD08C9FD517C57D9http:/60.28.178.201/down?cid=FFD08C9FD517C57D9C9F162AC1C35DA8D72CDE1F&t=2&fmt=-C9F162AC1C35DA8D72CDE1F&t=2&fmt=-ARPARP机器列表扫描机器列表扫描基于基于ARPARP的各种攻击方法的各种攻击方法定时定时IPIP冲突冲突/IP/IP冲突洪水冲突洪水/禁止上网禁止上网/禁止与其他机器通讯禁

37、止与其他机器通讯/监听与监听与网关和其他机器的通讯数据网关和其他机器的通讯数据/ARP/ARP代理代理ARPARP攻击检测攻击检测/主机状态检测主机状态检测/本地本地ARPARP表变化检测表变化检测检测到其他机器的检测到其他机器的ARPARP监听攻击后可进行防护，自动恢监听攻击后可进行防护，自动恢复正确的复正确的ARPARP表表把把ARPARP数据包保存到文件数据包保存到文件可发送手工定制可发送手工定制ARPARP包包ARP 攻击的处理方法攻击的处理方法v先保证网络正常运行先保证网络正常运行v找到感染找到感染ARP ARP 病毒的机器病毒的机器v采取一定的预防措施采取一定的预防措施先保证网络正

38、常运行先保证网络正常运行v在能上网时，进入在能上网时，进入MS-DOSMS-DOS窗口，输入命令窗口，输入命令arp arp a a 查看网关查看网关IPIP对应的正确对应的正确MACMAC地址，将其记地址，将其记录下来录下来如果已经不能上网，则先运行一次命令如果已经不能上网，则先运行一次命令arp arp d d将将arparp缓存中的内容删空，计算机可暂时恢复上缓存中的内容删空，计算机可暂时恢复上网（攻击如果不停止的话）网（攻击如果不停止的话）一旦能上网就立即将网络断掉（禁用网卡或拔一旦能上网就立即将网络断掉（禁用网卡或拔掉网线），再运行掉网线），再运行arp arp a a先保证网络正常

39、运行先保证网络正常运行v如果已经有网关的正确如果已经有网关的正确MACMAC地址地址在不能上网时，手工将网关在不能上网时，手工将网关IPIP和正确和正确MACMAC绑定，绑定，可确保计算机不再被攻击影响可确保计算机不再被攻击影响手工绑定可在手工绑定可在MS-DOSMS-DOS窗口下运行以下命令：窗口下运行以下命令：arp arp s s 网关网关IP IP 网关网关MAC MAC 例如：假设计算机所处网段的网关为例如：假设计算机所处网段的网关为218.197.192.254218.197.192.254，本机地址为，本机地址为218.197.192.1218.197.192.1在计在计算机上运

40、行算机上运行arp arp a a后输出如下：后输出如下：C:Documents and Settingsarp C:Documents and Settingsarp a aInterface:218.197.192.1-0 x2Interface:218.197.192.1-0 x2Internet Address Internet Address Physical Address Physical Address TypeType218.197.192.254 218.197.192.254 00-01-02-03-04-05 00-01-02-03-04-05 dynamic dyna

41、mic 先保证网络正常运行先保证网络正常运行v被攻击后，再用该命令查看被攻击后，再用该命令查看会发现该会发现该MACMAC已经被替换成攻击机器的已经被替换成攻击机器的MACMAC如果希望能找出攻击机器，彻底根除攻击如果希望能找出攻击机器，彻底根除攻击可以在此时将该可以在此时将该MACMAC记录下来记录下来,为以后查找做准备为以后查找做准备v手工绑定的命令为：手工绑定的命令为：arp arp s 218.197.192.254 00-01-02-03-04-05 s 218.197.192.254 00-01-02-03-04-05 v绑定完，可再用绑定完，可再用arp arp a a查看查看a

42、rparp缓存缓存C:Documents and Settingsarp C:Documents and Settingsarp a aInterface:218.197.192.1-0 x2Interface:218.197.192.1-0 x2Internet Address Internet Address Physical Address Physical Address TypeType218.197.192.254 218.197.192.254 00-01-02-03-04-05 00-01-02-03-04-05 staticstatic先保证网络正常运行先保证网络正常运行v需

43、要说明的是，手工绑定在计算机关机重开机后需要说明的是，手工绑定在计算机关机重开机后就会失效，需要再绑定就会失效，需要再绑定所以，要彻底根除攻击，只有找出网段内被病所以，要彻底根除攻击，只有找出网段内被病毒感染的计算机，令其杀毒，方可解决毒感染的计算机，令其杀毒，方可解决v找出病毒计算机的方法：找出病毒计算机的方法：如果已有病毒计算机的如果已有病毒计算机的MACMAC地址，可使用软件地址，可使用软件NBTSCANNBTSCAN找出网段内与该找出网段内与该MACMAC地址对应的地址对应的IPIP即病毒计算机的即病毒计算机的IPIP地址，然后可报告校网络中地址，然后可报告校网络中心对其进行查封心对其

44、进行查封先保证网络正常运行先保证网络正常运行v1)1)编辑个编辑个*.bat.bat 文件文件echo off echo off arp arp d d arp-s 192.168.16.254 00-22-aa-00-22-aa arp-s 192.168.16.254 00-22-aa-00-22-aa 将文件中的网关将文件中的网关IPIP地址和地址和MACMAC地址更改为您自地址更改为您自己的网关己的网关IPIP地址和地址和MACMAC地址即可地址即可将这个批处理软件拖到将这个批处理软件拖到“Windows-Windows-开始开始-程程序序-启动启动”中中先保证网络正常运行先保证网络正

45、常运行v2)2)编辑一个注册表文件，键值如下：编辑一个注册表文件，键值如下：Windows Registry Editor Version 5.00 Windows Registry Editor Version 5.00 HKEY_LOCAL_MACHINESOFTWAREmicrosoftWiHKEY_LOCAL_MACHINESOFTWAREmicrosoftWindowsCurrentVersionRun ndowsCurrentVersionRun“macmac”=“arp-s arp-s 网关网关IP IP 地址网关地址网关Mac Mac 地址地址 然后保存成然后保存成Reg Re

46、g 文件以后在每个客户端上点击文件以后在每个客户端上点击导入注册表导入注册表找到感染找到感染ARP 病毒的机器病毒的机器v在电脑上在电脑上ping ping 一下网关的一下网关的IP IP 地址地址使用使用ARP ARP a a 的命令看得到的网关对应的命令看得到的网关对应 的的MAC MAC 地址是否与实际情况相符地址是否与实际情况相符如不符，可去查找与该如不符，可去查找与该MAC MAC 地址对应的电脑地址对应的电脑v使用抓包工具，分析所得到的使用抓包工具，分析所得到的ARP ARP 数据报数据报有些有些ARP ARP 病毒是会把通往网关的路径指向自己病毒是会把通往网关的路径指向自己有些是

47、发出虚假有些是发出虚假ARP ARP 回应包来混淆网络通信回应包来混淆网络通信v使用使用mac mac 地址扫描工具，地址扫描工具，nbtscan nbtscan 扫描全网段扫描全网段IP IP 地地址和址和MAC MAC 地址对应表地址对应表有助判断感染有助判断感染ARP ARP 病毒对应病毒对应MAC MAC 地址和地址和IP IP 地址地址ARP攻击防护软件攻击防护软件vARPARP防火墙防火墙 (03)(03)http:/ 使用方法使用方法1 1、填入网关、填入网关IPIP地址地址点击获取网关地址将会显示出网关的点击获取网关地址将会显示出网关的MACMAC地址地址点击点击 自动防护自动

48、防护 即可保护当前网卡与该网关的通信即可保护当前网卡与该网关的通信不会被第三方监听不会被第三方监听注意：如出现注意：如出现ARPARP欺骗提示，这说明攻击者发送了欺骗提示，这说明攻击者发送了ARPARP欺骗数据包来获取网卡的数据包，如果您想追欺骗数据包来获取网卡的数据包，如果您想追踪攻击来源请记住攻击者的踪攻击来源请记住攻击者的MACMAC地址，利用地址，利用MACMAC地地址扫描器可以找出址扫描器可以找出IP IP 对应的对应的MACMAC地址地址防护防护ARP攻击软件最终版攻击软件最终版2 2、IPIP地址冲突地址冲突如频繁的出现如频繁的出现IPIP地址冲突，这说明攻击者频繁发送地址冲突，

49、这说明攻击者频繁发送ARPARP欺骗数据包，才会出现欺骗数据包，才会出现IPIP冲突的警告，利用冲突的警告，利用Anti Anti ARP SnifferARP Sniffer可以防止此类攻击可以防止此类攻击3 3、您需要知道冲突的、您需要知道冲突的MACMAC地址，地址，WindowsWindows会记会记录这些错误录这些错误注意注意:如果您想恢复默认如果您想恢复默认MACMAC地址地址,请点击请点击 恢复默认恢复默认,为了使为了使MACMAC地址生效请禁用本地网卡然后再启用网卡地址生效请禁用本地网卡然后再启用网卡预防措施预防措施v及时升级客户端的操作系统和应用程式补丁及时升级客户端的操作系

50、统和应用程式补丁 v安装和更新杀毒软件安装和更新杀毒软件 v如果网络规模较少，尽量使用手动指定如果网络规模较少，尽量使用手动指定IP IP 设置，设置，而不是使用而不是使用DHCP DHCP 来分配来分配IP IP 地址地址 v如果交换机支持，在交换机上绑定如果交换机支持，在交换机上绑定MAC MAC 地址与地址与IP IP 地址地址主要内容主要内容v局域网环境简介局域网环境简介v局域网的安全威胁局域网的安全威胁v局域网监听与防范局域网监听与防范v局域网局域网ARP攻击与防范攻击与防范v局域网病毒入侵与防范局域网病毒入侵与防范v快速关闭端口防止入侵快速关闭端口防止入侵v局域网共享资源安全防范局