计算机网络安全——ARP攻击与防范ppt-PowerPo

计算机网络安全——ARP攻击与防范常规企业局域网架构局域网正常网络流量状态ARP地址欺骗攻击现象分析黑客利用ARP协议存在的缺陷，侵入某台电脑之后发送ARP欺骗攻击数据包，造成局域网内所有用户在访问网络时，收到的都是带毒的网页。如果中毒电脑是位于数据中心内的服务器，则其所在vlan内的其他网站服务器在响应用户的http请求时，返回的页面也将带毒，这样遭受危害的客户端机器会以几何级数迅速增多，危害极为严重。ARP地址欺骗攻击现象分析攻击现象实例1攻击现象实例ARP地址欺骗攻击现象分析攻击现象实例2黑客侵入一台Web服务器后植入网页木马，使用ARP病毒感染该服务器，该服务器开始向网络内其他服务器发起ARP欺骗攻击，修改同一网络内其他服务器向客户端响应的服务数据，导致其他服务器本身虽然没有感染病毒，但是通过网关向客户端返回的http数据均被插入网页木马。ARP地址欺骗攻击现象分析攻击现象实例3位于一个企业网络内的主机A在访问该中毒服务器时，被网页木马所带的ARP病毒感染，于是也在企业网络内发起ARP欺骗攻击，ARP病毒修改了本网内所有主机访问外部网络的http数据，在所有http页面中插入了网页木马，主机A成为传播ARP病毒的帮凶，通过这种方式，该病毒将会迅速传播。ARP地址欺骗攻击现象分析攻击现象实例4病毒制造者结合电子邮件、USB设备、IM软件、局域网共享、入侵大型网站“挂马”等传播方式，病毒可以在很短的时间内影响整个互联网。在感染用户计算机以后与安全软件对抗，窃取用户资料、破坏计算机系统是此类蠕虫的危害所在，会造成极大的经济损失。ARP地址欺骗攻击现象分析ARP地址欺骗造成具体网络现象1.办公局域网中,访问互联网资源数据,通信会出现时断时续现象。2.打开任何网页出现报错无法打开、网页跳转现象。3.访问任何正常的互联网资源,防护监控提示发现病毒。4.局域网中大面积计算机无法访问互联网资源,并出现断网现象。5.计算机用户本地信息被窃取，破坏。时断时续现象ARP地址欺骗攻击现象分析常见通信软件：IE浏览器、腾讯QQ、MSN等通信异常。访问网页跳转IE浏览网页被劫持，出现跳转，IE主页被篡改。网络出现断网网络中大量计算机出现无法访问断网情况。计算机节点网络通信原理ARP欺骗攻击不仅仅是病毒传播，更主要结合网络通信协议漏洞，网络地址欺骗攻击等多种攻击形式，威胁波及范围包含网络中所有计算机的安全。所以针对此类安全威胁防护方法，不仅仅是单台计算机安全防护。需要采用有整体网络防护措施，才可以有效预防此类网络安全攻击。ARP欺骗攻击现象概述计算机节点网络通信原理计算机节点网络通信原理网络通信节点局域网络中的每一台计算机都是通信节点，大家常见的路由器，不同网段的网络接口（也称作网关）也属于通信节点，在同一网段中，每个通信节点都对应一个网络接口，每个网络接口都对应唯一的IP地址（32位2进制编码），与物理mac地址标识（48位2进制编码）。IPCONFIG-all计算机节点网络通信原理通信节点数据传输过程：这里我们模拟局域网中通信通信节点流程并列举了3个通信节点实例客户节点AIP地址：192.168.1.1mac地址：00-11-21-d6-75-00网关节点BIP地址：192.168.1.2mac地址：00-11-21-d6-75-01服务节点CIP地址：211.1.21.5mac地址：00-11-21-d6-75-02客户机A与服务器C通信流程：计算机节点网络通信原理服务器C－互联网internet－网关节点B－客户机A（数据通信方向从C到A）客户机A－网关节点B－互联网internet－服务器C（数据通信方向从A到C）计算机节点网络通信原理在同一网段网络环境中，任何通信节点间在传输数据之前，需要知道对方的mac地址：只有知道对方的mac地址后，才可以把应用数据包发送给指定通信节点。客户机A在发送应用数据包给网关节点B之前，获取网关通信节点的mac地址。本机如何获取对方通信节点的mac地址，这里就用arp通过协议来完成询问获取对发通信节点的mac地址。客户机A与服务器C通信流程：ARP通信协议详解ARP通信协议详解什么是ARP？英文：AddressResolutionProtocol中文：（RFC-826）地址解析协议局域网中，网络中实际传输的是“帧”，里面有目标主机的MAC地址的。“地址解析”就是主机在发送帧前，将目标IP地址转换成目标MAC地址的过程。ARP协议的基本功能就是通过目标设备的IP地址，查询目标设备的MAC地址以保证通信的顺利进行。ARP的高速缓存列表ARP通信协议详解ARP高效运行的关键是由于每个主机上都有一个ARP高速缓存列表。这个高速缓存存放了最近IP地址到硬件地址之间的映射记录。高速缓存中每一项的生存时间一般为20分钟，起始时间从被创建时开始算起.可以用ARP命令来检查ARP高速缓存。参数-a的意思是显示高速缓存中所有的内容。计算机本地ARP缓存列表显示：ARP通信协议详解ARP命令参数ARP通信协议详解语法arp[-a[InetAddr][-NIfaceAddr]][-g[InetAddr][-NIfaceAddr]][-dInetAddr[IfaceAddr]][-sInetAddrEtherAddr[IfaceAddr]]arp－aarp－darp－sARP地址欺骗原理分析ARP欺骗的原理：所谓的ARP欺骗又大致分两种：一种是对网关进行欺骗——原理是通知网关一系列错误的内网MAC地址，并按一定频率使网关不断的进行更新，从而导致真实的地址信息无法保存在网关的ARP列表中。结果网关就会把所有的数据发送给错误的并不存在的地址去，造成正常的客户端无法收到信息，所以内网的PC就无法上网；另一种是对内网PC的欺骗——原理是通过发布假的ARP信息伪造网关，误导其他的PC向假网关发送数据，而不是通过正常的路由进行外网访问的，造成在同一网关的所有PC都无法访问外网。目前好像这种情况更多一些。另外，由于病毒发出大量的广播包充斥网络，所以对网络的流量也会造成很大冲击，对网络设备的处理能力也是一个严峻的考验。防范和应对ARP欺骗病毒ARP地址欺骗原理分析ARP欺骗方式：1对路由器ARP表的欺骗2对内网计算机ARP表中网关IP、mac记录欺骗欺骗攻击实例：这里我们模拟局域网中通信通信节点流程并列举了3个通信节点实例客户节点AIP地址：192.168.1.1mac地址：00-11-21-d6-75-00网关节点BIP地址：192.168.1.2mac地址：00-11-21-d6-75-01服务节点CIP地址：211.1.21.5mac地址：00-11-21-d6-75-02ARP地址欺骗原理分析客户机A与服务器C通信流程：服务器C－互联网internet－网关节点B－客户机A（数据通信方向从C到A）客户机A－网关节点B－互联网internet－服务器C（数据通信方向从A到C）ARP地址欺骗原理分析局域网正常网络流量状态ARP地址欺骗原理分析如果现在网络中存在欺骗源计算机D（IP：192.168.1.4）mac地址：macD不断发送arp欺骗包，包的内容网关节点IP：192.168.1.2与mac地址：macD（是欺骗源计算机D的mac地址）。这样所有计算机的arp表中的网关的IP的对应的mac正确记录被篡改，前面介绍，节点通信是利用对发的mac地址所以所有计算机arp中的网关IP记录被篡改后，改变了计算机的通信方向。局域中出现ARP欺骗源计算机ARP地址欺骗原理分析1.客户机节点A－欺骗源节点D－网关节点B－互联网－服务器节点C（数据通信方向从A到C）2.服务器节点C－互联网－网关节点B－欺骗源节点D－客户机节点A（数据通信方向从C到A）计算机遭受arp攻击后会出现以下情况ARP地址欺骗原理分析ARP欺骗目的：网络通信网络中转攻击后进行黑客很容易在所有通信数据中实现病毒入侵。这样主机A与服务器C的通信，中间数据被中转监听，窃取。所有正常数据流相对ARP欺骗源计算机D，是透明的,可以任意篡改数据包中的内容，植入大量木马病毒与黑客程序，目的：获取用户信息。ARP地址欺骗原理分析局域网中异常计算机发送大量APR协议欺骗广播包ARP地址欺骗原理分析网络APR地址欺骗攻击改变计算机通信路径ARP地址欺骗原理分析ARP欺骗造成具体网络现象原因分析1.办公局域网中访问互联网资源数据通信会出现时断时续现象。2.打开任何网页出现报错无法打开、网页跳转现象。3.任何正常的互联网资源访问防护监控提示发现病毒。4.局域网中大面积计算机无法访问互联网资源出现断网现象。5.计算机用户本地信息被窃取，破坏。ARP地址欺骗原理分析IP地址非法攻击现象1、非法的IP地址即IP地址不在规划的局域网范围内。2、重复的IP地址与已经分配且正在局域网运行的合法的IP地址发生资源冲突，使合法用户无法上网。3、冒用合法用户的IP地址当合法用户不在线时，冒用其IP地址联网，使合法用户无法正常访问网络。ARP地址欺骗原理分析ARP地址欺骗的主动防护网络ARP地址欺骗的主动防护ARP欺骗不仅仅是病毒传播，更结合网络通信漏洞＋网络地址欺骗攻击＋病毒传播所以针对此类安全攻击，需要考虑整体安全防护与网络通信安全，不仅仅是单台计算机的安全防护。ARP攻击防护方法1.计算机本地arp表记录绑定2.网络中限制arp欺骗包传播如何启用计算机ARP主动防御1、制作MAC地址绑定批处理文件2、生成文件加入计算机启动项，开机自动运行网络ARP地址欺骗的主动防护关于应对，操作起来最大的困难，就在于难于定位攻击的源头所在。对于第一种类型的欺骗，即：欺骗网关，告诉它错误的终端MAC，以使数据收不回来。通常的解决办法是在网关上对每台客户端都作IP和MAC地址的绑定等。对于第二种类型的欺骗，即：广播错误的网关MAC，以使PC找到不真正的网关。通常的解决方法就是在每台PC上都作静态ARP设定，即新建.cmd文件，写入内容：arp-s192.168.x.1xx-xx-xx-xx-xx并在每次系统启动后都运行该脚本。治本之法是要定位病毒源主机和病毒源文件，然后将相关的病毒样本提交给反病毒厂商分析处理，最后通过更新病毒库，使用网络版全网统一查杀。关于定位，可以使用Sniffer等抓包分析工具或者根据交换机日志信息，定位病毒源主机，并断开其网络连接，利用进程分析工具检查并结束可疑系统进程。防范和应对ARP欺骗病毒计算机如何手动设置防范ARP攻击网络ARP地址欺骗的主动防护1、计算机“新建”→“文本文档”2、在文本中输入如下内容：arp–darp–s网关IP地址网关MAC地址网络ARP地址欺骗的主动防护例如：编写完文件名后，另存为.bat文件格式，同时防护计算启动目录即可。根据企业的实际情况网络安全管理进行规划ARP绑定只要主机绑定，就不会收到arp攻击，通信数据不会被中转窃取，也不会感染后期中转植入病毒，计算机不会出现时断时续现象，同时不会出现网页跳转，并且arp记录绑定方法方式很多。网络ARP地址欺骗的主动防护网络划Vlan作用会降低不同网段中计算机arp攻击的风险，为arp属于2层通信广播，不会跨网段传播但不会在客户机启到防护作用。只是arp波及范围在某几个特定的网段。企业网络规模很大的arp防护管理，主要首先确定网络基础环境与应用。ARP攻击防护更重要的是网络通信漏洞防护网络ARP地址欺骗的主动防护结合企业网络的实际应用情况实施防护大型企业可采用比较流行的智能交换机，在交换机2层通信进行限制，主要针对监听2层arp广播通信，发现arp包的内容中的IP与mac地址不正确的数据包进行处理限制，使其他计算机不会收到arp欺骗包。网络ARP地址欺骗的主动防护计算机双向通信，ARP绑定需要本地与网关双向绑定网络ARP地址欺骗的主动防护1．增强安全意识，不要浏览一些缺乏可信度的网站；2．不要轻易下载和安装盗版的、不可信任的软件或者程序；3．不要随便打开不明来历的电子邮件，尤其是邮件