arp网络安全

网络安全知识介绍网络ARP地址欺骗攻击防护课程ARP地址欺骗攻击现象分析ARP地址欺骗造成具体网络现象1.办公局域网中访问互联网资源数据通信会出现时断时续现象。2.打开任何网页出现报错无法打开、网页跳转现象。3.任何正常的互联网资源访问防护监控提示发现病毒。4.局域网中大面积计算机无法访问互联网资源出现断网现象。5.计算机用户本地信息被窃取，破坏。时断时续现象ARP地址欺骗攻击现象分析常见通信软件：IE浏览器、腾讯QQ、MSN等通信异常。访问网页跳转IE浏览网页被劫持，出现跳转，IE主页被篡改。网络出现断网网络中大量计算机出现无法访问断网情况。北京瑞星国际软件有限公司《计算机节点网络通信原理》网络ARP地址欺骗攻击防护课程ARP地址欺骗攻击现象分析ARP欺骗攻击不仅仅是病毒传播，更主要结合网络通信协议漏洞，网络地址欺骗攻击等多种攻击形式，威胁波及范围包含网络中所有计算机的安全。所以针对此类安全威胁防护方法，不仅仅是单台计算机安全防护。需要采用有整体网络防护措施，才可以有效预防此类网络安全攻击。ARP欺骗攻击现象概述计算机节点网络通信原理网络通信节点局域网络中的每一台计算机都是通信节点，大家常见的路由器各个不同网段的网络接口（也称作网关）也属于通信节点，在同一网段中，每个通信节点都对应一个网络接口，每个网络接口都对应唯一的IP地址（32位2进制编码），与物理mac地址标识（48位2进制编码）。计算机节点网络通信原理通信节点数据传输过程：这里我们模拟局域网中通信通信节点流程并列举了3个通信节点实例客户节点AIP地址：192.168.1.1mac地址：00-11-21-d6-75-01网关节点BIP地址：192.168.1.2mac地址：00-11-21-d6-75-02服务节点CIP地址：192.168.1.3mac地址：00-11-21-d6-75-03客户机A与服务器C通信流程：计算机节点网络通信原理服务器C－互联网internet－网关节点B－客户机A（数据通信方向从C到A）客户机A－网关节点B－互联网internet－服务器C（数据通信方向从A到C）计算机节点网络通信原理在同一网段网络环境中，任何通信节点间在传输应用数据之前，需要知道对发的mac地址：只有知道对方的mac地址后，才可以把应用数据包发送给指定通信节点。（由于交换机通过数据报文的目的mac地址判断转发数据。）这里面客户机A在发送应用数据包给网关节点B之前，获取网关通信节点的mac地址。本机如何获取对方通信节点的mac地址，这里就用arp通过协议来完成询问获取对发通信节点的mac地址。客户机A与服务器C通信流程：ARP通信协议详解什么是ARP？英文：AddressResolutionProtocol中文：（RFC-826）地址解析协议局域网中，网络中实际传输的是“帧”，里面有目标主机的MAC地址的。“地址解析”就是主机在发送帧前将目标IP地址转换成目标MAC地址的过程。ARP协议的基本功能就是通过目标设备的IP地址，查询目标设备的MAC地址以保证通信的顺利进行。ARP的高速缓存列表ARP通信协议详解ARP高效运行的关键是由于每个主机上都有一个ARP高速缓存列表。这个高速缓存存放了最近IP地址到硬件地址之间的映射记录。高速缓存中每一项的生存时间一般为20分钟，起始时间从被创建时开始算起.可以用ARP命令来检查ARP高速缓存。参数-a的意思是显示高速缓存中所有的内容。计算机本地ARP缓存列表显示：ARP通信协议详解ARP数据分组格式ARP通信协议详解ARP命令参数ARP通信协议详解语法arp[-a[InetAddr][-NIfaceAddr]][-g[InetAddr][-NIfaceAddr]][-dInetAddr[IfaceAddr]][-sInetAddrEtherAddr[IfaceAddr]]arp－a查看缓冲列表arp－d删除arp缓冲（包含静态）arp－s绑定IP+MACARP地址解析流程当一台主机把以太网数据帧发送到位于同一局域网上的另一台主机时，是根据48bit的以太网地址来确定目的接口的。ARP通信协议详解ARP（地址解析协议）和RARP（逆地址解析协议）ARP地址欺骗原理分析ARP欺骗方式：1对路由器交换机ARP表的欺骗2对内网计算机ARP表中网关IP、mac记录欺骗ARP攻击欺骗原理：ARP地址欺骗原理分析通过发送广播arp通信欺骗包，改变网络中所有正常通信的计算机的本地arp缓存列表中网络通信节点的IP与mac的正确对应关系。（尤其网关通信节点的IP与mac对应关系）这样改变所有计算机的通信流向。欺骗攻击实例：这里我们模拟局域网中通信通信节点流程并列举了3个通信节点实例客户节点AIP地址：192.168.1.1mac地址：00-11-21-d6-75-00网关节点BIP地址：192.168.1.2mac地址：00-11-21-d6-75-01服务节点CIP地址：211.1.21.5mac地址：00-11-21-d6-75-02ARP地址欺骗原理分析客户机A与服务器C通信流程：服务器C－互联网internet－网关节点B－客户机A（数据通信方向从C到A）客户机A－网关节点B－互联网internet－服务器C（数据通信方向从A到C）ARP地址欺骗原理分析局域网正常网络流量状态ARP地址欺骗原理分析ARP地址欺骗原理分析如果现在网络中存在欺骗源计算机D（IP：192.168.1.4）mac地址：macD不断发送arp欺骗包，包的内容网关节点IP：192.168.1.2与mac地址：macD（是欺骗源计算机D的mac地址）。这样所有计算机的arp表中的网关的IP的对应的mac正确记录被篡改，前面介绍，节点通信是利用对方的mac地址所以所有计算机arp中的网关IP记录被篡改后，改变了计算机的通信方向。局域中出现ARP欺骗源计算机局域网中异常计算机发送大量APR协议欺骗广播包ARP地址欺骗原理分析ARP地址欺骗原理分析1.客户机节点A－欺骗源节点D－网关节点B－互联网－服务器节点C（数据通信方向从A到C）2.服务器节点C－互联网－网关节点B－欺骗源节点D－客户机节点A（数据通信方向从C到A）计算机遭受arp攻击后会出现以下情况ARP欺骗目的：ARP地址欺骗原理分析网络通信网络中转攻击后进行黑客很容易在所有通信数据中实现病毒入侵。这样主机A与服务器C的通信，中间数据被中转监听，窃取。所有正常数据流相对ARP欺骗源计算机D，是透明的,可以任意篡改数据包中的内容，植入大量木马病毒与黑客程序，目的：获取用户信息。网络APR地址欺骗攻击改变计算机通信路径ARP地址欺骗原理分析IP地址非法攻击现象1非法的IP地址即IP地址不在规划的局域网范围内。2重复的IP地址与已经分配且正在局域网运行的合法的IP地址发生资源冲突，使合法用户无法上网。3冒用合法用户的IP地址当合法用户不在线时，冒用其IP地址联网，使合法用户无法正常访问网络。ARP地址欺骗原理分析网络ARP地址欺骗的主动防护ARP欺骗不仅仅是病毒传播，更结合网络通信漏洞＋网络地址欺骗攻击＋病毒传播所以针对此类安全攻击，需要考虑整体安全防护与网络通信安全，不仅仅是单台计算机的安全防护。ARP攻击防护方法1.计算机本地arp表记录绑定2.网络中限制arp欺骗包传播如何启用计算机ARP主动防御1制作MAC地址绑定批处理文件2生成文件加入计算机启动项，开机自动运行网络ARP地址欺骗的主动防护计算机如何手动设置防范ARP攻击网络ARP地址欺骗的主动防护1计算机“新建”→“文本文档”2在文本中输入如下内容：arp–darp–s网关IP地址网关MAC地址网络ARP地址欺骗的主动防护例如：编写完文件名后，另存为.bat文件格式，同时防护计算启动目录即可。计算机启用ARP主动防御特点1简单有效2方案可操作性3快速部署4主动防御ARP欺骗攻击5保障企业业务资源正常运行网络ARP地址欺骗的主动防护根据企业的实际情况网络安全管理进行规划网络ARP地址欺骗的主动防护ARP绑定往往简单有效是最实用的，只要主机绑定，就不会收到arp攻击，通信数据不会被中转窃取，也不会感染后期中转植入病毒，计算机不会出现时断时续现象，同时不会出现网页跳转，并且arp记录绑定方法方式很多。网络ARP地址欺骗的主动防护网络划Vlan作用会降低不同网段中计算机arp攻击的风险，因为arp属于2层通信广播，不会跨网段传播但不会在客户机启到防护作用。只是arp波及范围在某几个特定的网段。企业网络规模很大的arp防护管理，主要首先确定网络基础环境与应用。ARP攻击防护更重要的是网络通信漏洞防护网络ARP地址欺骗的主动防护结合企业网络的实际应用情况实施防护大型企业可采用比较流行的智能交换机，在交换机2层通信进行限制，主要针对监听2层arp广播通信，发现arp包的内容中的IP与mac地址不正确的数据包进行处理限制，使其他计算机不会收到arp欺骗包。网络中如何快速定位ARP欺骗源1arp－a网关mac记录arp－darp－a前提计算机没有应用层或程序网络通信应出现Noarp的情况。如何手动确定自己的网络中是否存在arp攻击ping网关后，查看arp列表确定arp表中网关IP对应的mac记录是否正确。网络中如何快速定位ARP欺骗源如何快速定位网络中ARP欺骗发包源计算机往往利用的是欺骗源的mac地址，arp机欺骗源计算机的目的：不是让大家不上网，而是大家网络通信，只是用户通信数据被中转，这样黑客才可以获取用户信息，所以arp源发生欺骗的同时也暴露的自己的mac地址，所以通过看到网关IP对应的mac地址就是欺骗源的mac地址寻找发包源的方式很多，手动查看，相关工具收集arp广播信息，查询目的都是一样的确定欺骗网关IP对应的mac地址。网络ARP地址欺骗案例分析企业计算机信息管理用户名称；计算机名称；IP地址；MAC地址；房间号；具体物理位置；目的：发现欺骗的MAC地址利用前期计算机管理备案信息直接定位ARP欺骗计算机的物理位置。网络ARP地址欺骗案例分析ARP欺骗计算机定位后如何找到ARP欺骗协议发包程序：实例分析异常程序文件路径C:\windows\system32\drivers\scvhost.exeidx0–ip192.168.1.1-192.168.1.255计算机双向通信，ARP绑定需要本地与网关双向绑定典型例子计算机ping其他计算机正常，网关ping不通，更换IP正常。处理方法：1检查防火墙mac规则；2查看计算机本地网关mac地址；3绑定路由器的内网网络接口的arp表；4软件监控网络中是否存在ARP欺骗攻击；网络ARP地址欺骗案例分析网络ARP地址欺骗案例分析计算机双向通信，ARP绑定需要本地与网关双向绑定网络安全威胁趋势发展不是断态变化的，采取防护方法也与随着不同，重视企业网络安全管理，建立良好的操作习惯，更加重要。简单实用的操作习惯往往是预防网络安全威胁的有效方法。网络ARP地址欺骗防护总结VPN（虚拟专用网）技术概述——VPN技术需求的提出虚拟专用网（VPN）是通过一个公用网络建立一个临时的、安全的连接，是一条穿过混乱的公用网络的安全、稳定的隧道。虚拟专用网是对企业内部网的扩展。虚拟专用网至少应能提供如下功能：1.加密数据，以保证通过公网传输的信息即使被他人截获也不会泄露。2.信息认证和身份认证，保证信息的完整性、合法性，并能鉴别用户的身份。3.提供访问控制，不同的用户有不同的访问权限。VPN的分类1.远程访问VPN(AccessVPN)通常针对移动用户或出差在外职员提供对企业内部网或外部网的远程访问2.IntranetVPN分布各地的各种办事机构、分公司等，各个分公司之间数据的安全传输方案3.ExtranetVPN能帮助业务往来的企业之间容易地部署和集中地管理外部网，将企业重要客户、供应商、合作伙伴连接到企业内部网。VPN的第二层隧道协议PPTP（Point-to-PointTunneling