《2022年瑞星安全技术培训 .pdf》由会员分享,可在线阅读,更多相关《2022年瑞星安全技术培训 .pdf(8页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、C U S T O MERS ER VCEC E N T E R客 户 服 务 中 心瑞星安全技术培训ARP 地址欺骗攻击防护专题1.ARP地址欺骗攻击现象分析1)攻击现象实例1黑客利用 ARP协议存在的缺陷,侵入某台电脑之后发送ARP欺骗攻击数据包,造成局域网内所有用户在访问网络时,收到的都是带毒的网页。如果中毒电脑是位于数据中心内的服务器,则其所在vlan 内的其他网站服务器在响应用户的http 请求时,返回的页面也将带毒,这样遭受危害的客户端机器会以几何级数迅速增多,危害极为严重。2)攻击现象实例2黑客侵入一台Web 服务器后植入网页木马,使用ARP病毒感染该服务器,该服务器开始向网络内
2、其他服务器发起ARP欺骗攻击,修改同一网络内其他服务器向客户端响应的服务数据,导致其他服务器本身虽然没有感染病毒,但是通过网关向客户端返回的http 数据均被插入网页木马。3)攻击现象实例3位于一个企业网络内的主机A 在访问该中毒服务器时,被网页木马所带的ARP病毒感染,于是也在企业网络内发起ARP欺骗攻击,ARP病毒修改了本网内所有主机访问外部网络的 http 数据,在所有http 页面中插入了网页木马,主机A成为传播ARP病毒的帮凶,通过这种方式,该病毒将会迅速传播。4)攻击现象实例4再加上病毒制造者结合电子邮件传播、USB设备传播、IM 软件传播、局域网共享传播、入侵大型网站“挂马”等传
3、播方式,病毒可以在很短的时间内影响整个互联网。在感染用户计算机以后与安全软件对抗,窃取用户资料、破坏计算机系统是该类蠕虫的危害所在,可以造成极大的经济损失。5)ARP 地址欺骗造成具体网络现象z办公局域网中访问互联网资源数据通信会出现时断时续现象。z打开任何网页出现报错无法打开、网页跳转现象。第 1/8 页 北京瑞星信息技术有限公司名师资料总结-精品资料欢迎下载-名师精心整理-第 1 页,共 8 页 -C U S T O MERS ER VCEC E N T E R客 户 服 务 中 心z任何正常的互联网资源访问防护监控提示发现病毒。z局域网中大面积计算机无法访问互联网资源出现断网现象。z计算
4、机用户本地信息被窃取,破坏。6)ARP 欺骗攻击现象概述ARP欺骗攻击不仅仅是病毒传播,更主要结合网络通信协议漏洞,网络地址欺骗攻击等多种攻击形式,威胁波及范围包含网络中所有计算机的安全。所以针对此类安全威胁防护方法,不仅仅是单台计算机安全防护。需要采用有整体网络防护措施,才可以有效预防此类网络安全攻击。2.计算机节点网络通信原理1)网络通信节点局域网络中的每一台计算机都是通信节点,大家常见的路由器各个不同网段的网络接口(也称作网关)也属于通信节点,在同一网段中,每个通信节点都对应一个网络接口,每个网络接口都对应唯一的IP地址(32 位 2 进制编码),与物理 mac 地址标识(48 位 2
5、进制编码)。2)客户机 A 与服务器 C通信流程客户机 A 网关节点B互联网 internet 服务器 C(数据通信方向从A到 C)在同一网段网络环境中,任何通信节点间在传输应用数据之前,需要知道对发的mac地址:只有知道对方的mac 地址后,才可以把应用数据包发送给指定通信节点。(由于交换机通过数据报文的目的mac 地址判断转发数据。)这里面客户机A 在发送应用数据包给网关节点B之前,获取网关通信节点的mac 地址。本机如何获取对方通信节点的mac 地址,这里就用arp 通过协议来完成询问获取对发通信节点的mac 地址。3.ARP通信协议详解1)什么是 ARP?英文:Address Reso
6、lution Protocol中文:(RFC 826)地址解析协议局域网中,网络中实际传输的是“帧”,里面有目标主机的MAC 地址的。“地址解析”就是主机在发送帧前将目标IP地址转换成目标MAC地址的过程。ARP协议的基本功能就是通过目标设备的IP 地址,查询目标设备的MAC 地址以保证通信的顺利进行。第 2/8 页 北京瑞星信息技术有限公司名师资料总结-精品资料欢迎下载-名师精心整理-第 2 页,共 8 页 -C U S T O MERS ER VCEC E N T E R客 户 服 务 中 心2)ARP 的高速缓存列表ARP高效运行的关键是由于每个主机上都有一个ARP高速缓存列表。这个高速
7、缓存存放了最近 IP地址到硬件地址之间的映射记录。高速缓存中每一项的生存时间一般为2 0分钟,起始时间从被创建时开始算起.可以用 ARP命令来检查ARP高速缓存。参数 a 的意思是显示高速缓存中所有的内容。3)计算机本地 ARP 缓存列表显示:4)ARP 命令参数语法arp a InetAddr g InetAddr d InetAddr IfaceAddr s InetAddr EtherAddr IfaceAddrarp aarp darp s4.ARP地址欺骗原理分析1)ARP 欺骗方式:1对路由器 ARP 表的欺骗第 3/8 页 北京瑞星信息技术有限公司名师资料总结-精品资料欢迎下载-
8、名师精心整理-第 3 页,共 8 页 -C U S T O MERS ER VCEC E N T E R客 户 服 务 中 心2对内网计算机ARP表中网关IP、mac 记录欺骗2)ARP 攻击欺骗原理:通过发送广播arp 通信欺骗包,改变网络中所有正常通信的计算机的本地arp 缓存列表中网络中通信节点的IP与 mac 的正确对应关系。(尤其网关通信节点的IP 与 man 对应关系)这样改变所有计算机的通信流向。3)局域网正常网络流量状态4)局域中出现 ARP 欺骗源计算机如果现在网络中存在欺骗源计算机D(IP:192.168.1.4)mac 地址:macD 不断发送arp欺骗包,包的内容网关节
9、点IP:192.168.1.2 与 mac 地址:macD(是欺骗源计算机D 的 mac地址)。这样所有计算机的arp 表中的网关的IP的对应的 mac 正确记录被篡改,前面介绍,节点通信是利用对发的mac 地址所以所有计算机arp 中的网关IP记录被篡改后,改变了计算机的通信方向。5)ARP 欺骗目的:网络通信网络中转攻击后进行黑客很容易在所有通信数据中实现病毒入侵。这样主机A与服务器 C 的通信,中间数据被中转监听,窃取。所有正常数据流相对ARP欺骗源计算机D,是透明的,可以任意篡改数据包中的内容,植入大量木马病毒与黑客程序,目的:获取用户信息。第 4/8 页 北京瑞星信息技术有限公司名师
10、资料总结-精品资料欢迎下载-名师精心整理-第 4 页,共 8 页 -C U S T O MERS ER VCEC E N T E R客 户 服 务 中 心6)网络APR 地址欺骗攻击改变计算机通信路径7)ARP 欺骗造成具体网络现象原因分析z办公局域网中范围互联网资源数据通信会出现时断时续现象z打开任何网页出现报错无法打开、网页跳转现象z任何正常的互联网资源访问防护监控提示发现病毒。z局域网中大面积计算机无法访问互联网资源出现断网现象z计算机用户本地信息被窃取、破坏8)IP地址非法攻击现象1非法的 IP地址即 IP地址不在规划的局域网范围内。2重复的 IP地址与已经分配且正在局域网运行的合法的
11、IP地址发生资源冲突,使合法用户无法上网。3冒用合法用户的IP地址当合法用户不在线时,冒用其IP地址联网,使合法用户无法正常访问网络。5.网络 ARP地址欺骗的主动防护1)ARP 欺骗不仅仅是病毒传播,更结合网络通信漏洞网络地址欺骗攻击病毒传播所以针对此类安全攻击,需要考虑整体安全防护与网络通信安全,不仅仅是单台计算机的安全防护。第 5/8 页 北京瑞星信息技术有限公司名师资料总结-精品资料欢迎下载-名师精心整理-第 5 页,共 8 页 -C U S T O MERS ER VCEC E N T E R客 户 服 务 中 心2)ARP 攻击防护方法1.计算机本地arp 表记录绑定2.2.网络中
12、限制arp 欺骗包传播3)如何启用计算机 ARP 主动防御1 制作 MAC 地址绑定批处理文件2 生成文件加入计算机启动项,开机自动运行4)计算机如何手动设置防范ARP 攻击1 计算机“新建”“文本文档”2在文本中输入如下内容:arpdarps网关 IP地址网关 MAC 地址例如:5)计算机启用 ARP 主动防御特点z简单有效z方案可操作性z快速部署z主动防御 ARP欺骗攻击z保障企业业务资源正常运行第 6/8 页 北京瑞星信息技术有限公司名师资料总结-精品资料欢迎下载-名师精心整理-第 6 页,共 8 页 -C U S T O MERS ER VCEC E N T E R客 户 服 务 中
13、心6)根据企业的实际情况网络安全管理进行规划ARP 绑定往往简单有效是越使用的,只要主机绑定,就不会收到arp 攻击,通信数据不会被中转窃取,也不会感染后期中转植入病毒,计算机不会出现时断时续现象,同时不会出现网页跳转,并且arp 记录绑定方法方式很多。7)ARP 攻击防护更重要的是网络通信漏洞防护网络划 Vlan 作用会降低不同网段中计算机arp 攻击的风险,为arp 属于 2 层通信广播,不会跨网段传播但不会在客户机启到防护作用。只是 arp 波及范围在某几个特定的网段。企业网络规模很大的arp 防护管理,主要首先确定网络基础环境与应用。8)结合企业网络的实际应用情况实施防护大型企业可采用
14、比较流行的智能交换机,在交换机2 层通信进行限制,主要针对监听2层 arp 广播通信,发现arp 包的内容中的IP与 mac 地址不正确的数据包进行处理限制,使其他计算机不会收到arp 欺骗包。9)如何手动确定自己的网络中是否存在arp攻击1 arp a 网关 mac 记录arp darp a前提计算机没有应用层或程序网络通信应出现Noarp 的情况。2 ping 网关后,查看arp 列表确定 arp 表中网关IP对应的 mac 记录是否正确。10)如何快速定位网络中 ARP 欺骗发包源计算机往往利用的是欺骗源的mac 地址,arp 机欺骗源计算机的目的:不是让大家不上网,而是大家网络通信,只
15、是用户通信数据被中转,这样黑客才可以获取用户信息,所以arp 源发生欺骗的同时也暴露的自己的mac 地址,所以通过看到网关IP 对应的 mac 地址就是欺骗源的 mac 地址寻找发包源的方式很多,手动查看,相关工具收集arp 广播信息,查询目的都是一样的确定欺骗网关IP对应的 mac 地址。6.网络 ARP地址欺骗案例分析企业计算机信息管理用户名称、计算机名称、IP地址、MAC地址、房间号、具体物理位置。目的:第 7/8 页 北京瑞星信息技术有限公司名师资料总结-精品资料欢迎下载-名师精心整理-第 7 页,共 8 页 -第 8/8 页 北京瑞星信息技术有限公司C U S T O MERS ER
16、 VCEC E N T E R客 户 服 务 中 心发现欺骗的MAC 地址利用前期计算机管理。备案信息直接定位ARP欺骗计算机的物理置。计算机双向通信,ARP绑定需要本地与网关双向绑定典型案例计算机 ping 其他计算机正常,网关ping 不同,更换IP正常。处理方法:1检查防火墙mac 规则;2查看计算机本地网关mac 地址;3绑定路由器的内网网络接口的arp 表;4软件监控网络中是否存在ARP欺骗攻击;计算机双向通信,ARP绑定需要本地与网关双向绑定7.网络 ARP地址欺骗防护总结网络安全威胁趋势发展不是断态变化的,采取防护方法也与随着不同,重视企业网络安全管理,建立良好的操作习惯,更加重要。简单实用的操作习惯往往是预防网络安全威胁的有效方法。名师资料总结-精品资料欢迎下载-名师精心整理-第 8 页,共 8 页 -