《信息系统安全PPT讲稿.ppt》由会员分享,可在线阅读,更多相关《信息系统安全PPT讲稿.ppt(249页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、信息系信息系统安全安全第1页,共249页,编辑于2022年,星期五信息系统安全信息系统安全一、提高信息系统安全意识二、提高系统维护效率三、网络攻击与防范技术四、Windows系统安全加固技术第2页,共249页,编辑于2022年,星期五一、一、提高信息系统安全意识提高信息系统安全意识(一)信息系统安全的重要性(二)破坏信息系统安全的因素(三)互联网安全威胁现状第3页,共249页,编辑于2022年,星期五(一)信息系统安全的重要性(一)信息系统安全的重要性信息系统安全信息系统安全是指信息系统的硬件、软件及其系统中的数据受到是指信息系统的硬件、软件及其系统中的数据受到保护,不受偶然的或者恶意的原因而
2、遭到破坏、更改、泄露,保护,不受偶然的或者恶意的原因而遭到破坏、更改、泄露,系统连续可靠正常地运行,网络服务不中断。系统连续可靠正常地运行,网络服务不中断。“黑客黑客”的特征,在近两年已经发生了明显的改变,网络攻击已的特征,在近两年已经发生了明显的改变,网络攻击已经从表现特征明显、以炫耀技术为目的转变为有组织的、更经从表现特征明显、以炫耀技术为目的转变为有组织的、更加隐秘的、以赚取经济利益为目的。网络犯罪也从全球范围加隐秘的、以赚取经济利益为目的。网络犯罪也从全球范围的普遍爆发,转向瞄准具体组织进行敲诈勒索的小范围、更的普遍爆发,转向瞄准具体组织进行敲诈勒索的小范围、更秘密的攻击,更像是秘密的
3、攻击,更像是“游击战游击战”了。了。第4页,共249页,编辑于2022年,星期五(二)破坏网络安全的因素(二)破坏网络安全的因素1.物理上的2.技术上的3.管理上的4.用户意识第5页,共249页,编辑于2022年,星期五用户意识用户意识请先试着回答下面几个假设的问题:请先试着回答下面几个假设的问题:1)1)你的计算机用户名和你的你的计算机用户名和你的E-mailE-mail账户名、账户名、QQQQ昵称、网络游戏昵称、网络游戏IDID、论坛昵称等是否有几个是一致的?论坛昵称等是否有几个是一致的?2)2)以上用户名对应的密码是否有几个是完全一样的?以上用户名对应的密码是否有几个是完全一样的?3)3
4、)你常用的密码是否和你的名字拼音、生日或者手机、电话号码有你常用的密码是否和你的名字拼音、生日或者手机、电话号码有关?关?4)4)你在网上常用的数字密码是否和你持有的各类银行卡密码亦你在网上常用的数字密码是否和你持有的各类银行卡密码亦有关联,甚至一样?有关联,甚至一样?第6页,共249页,编辑于2022年,星期五(三)互联网安全威胁现状(三)互联网安全威胁现状病毒木马肉鸡虚拟交易的灰色链条肉鸡就是被黑客控制的计算机,黑客可以控制该肉鸡对其它服务器进行攻击(肉鸡作为帮凶)。在中国,有上百万的网民毫无察觉地为网络黑色产业链无偿地“贡献着力量”。第7页,共249页,编辑于2022年,星期五(三)互联
5、网安全威胁现状(三)互联网安全威胁现状僵尸网络僵尸网络:(英文名称叫英文名称叫BotNet)BotNet),是互联网上受到黑客集中控制的一群计算机,往往被黑客用来发起大规模的网络攻击,如分布式拒绝服务攻击(DDoS)、海、海量垃圾邮件等,同时黑客控制的这些计算机所保存的量垃圾邮件等,同时黑客控制的这些计算机所保存的信息也都可被黑客随意信息也都可被黑客随意“取用取用”。目前,中国的互联网世界中,有目前,中国的互联网世界中,有5个僵尸网络操控的个僵尸网络操控的“肉肉鸡鸡”规模超过规模超过10万台,个别僵尸网络能达到万台,个别僵尸网络能达到3030万台的规万台的规模。这些僵尸网络可以被租借、买卖,黑
6、客们每年可以模。这些僵尸网络可以被租借、买卖,黑客们每年可以有上百万元的收入。有上百万元的收入。第8页,共249页,编辑于2022年,星期五(三)互联网安全威胁现状(三)互联网安全威胁现状黑客产业主要有两种典型模式。模式一:黑客侵入个人、企业电脑窃取机密资料在互联网上出售获取金钱。模式二:黑客侵入大型网站,在网站上植入病毒用户浏览后中毒,网游账号和装备被窃取黑客把账号装备拿到网上出售获取金钱。第9页,共249页,编辑于2022年,星期五(三)互联网安全威胁现状(三)互联网安全威胁现状互联网病毒地下交易市场初步形成,获取利益的渠道更为广泛。黑客产业分工明确中国每天有数百甚至上千种病毒被制造出来,
7、其中大部分是木马和后门病毒,占到全球该类病毒的三分之一左右。这个产业链每年的整体利润预计高达数亿元。第10页,共249页,编辑于2022年,星期五二、二、提高系统维护效率提高系统维护效率(一)系统维护(二)系统备份及还原(三)硬盘保护卡(还原卡)及还原软件第11页,共249页,编辑于2022年,星期五(一)系统维护(一)系统维护尽量使用正版品牌机使用OEM版的操作系统熟练使用Ghost之类的磁盘备份还原软件维护工具(自启动光盘)深山红叶PE工具箱V30http:/ WinPE(老毛桃最终修改版)V09.11 http:/ 为连接在局域网上的计算机之间的通信提供一条物理信道和实现局域为连接在局域
8、网上的计算机之间的通信提供一条物理信道和实现局域网间的资源共享网间的资源共享网络软件则主要用于控制网络软件则主要用于控制 并具体实现信息的传送和网络资源的分配与共享并具体实现信息的传送和网络资源的分配与共享这两部分互相依赖这两部分互相依赖,共同完成局域网的通信功能共同完成局域网的通信功能第20页,共249页,编辑于2022年,星期五局域网的拓朴结构局域网的拓朴结构最常见的局域网拓朴结构有星型、环型、总线型和树最常见的局域网拓朴结构有星型、环型、总线型和树型型集线器(a)星型网星型网*(b)环型网环型网(c)总线网总线网(d)树型网树型网注:图注:图(a)在物理上是一个星型网,但在物理上是一个星
9、型网,但在逻辑上仍是一个总线网在逻辑上仍是一个总线网干线耦合器干线耦合器匹配电阻匹配电阻第21页,共249页,编辑于2022年,星期五按网络使用的传输介质分类按网络使用的传输介质分类局域网使用的传输介质有双绞线局域网使用的传输介质有双绞线,光纤光纤,同轴电缆同轴电缆,无线电波无线电波,微波等微波等对应的局域网有双绞线网对应的局域网有双绞线网,光纤网光纤网,同轴电缆网同轴电缆网,无线局域网无线局域网,微波网微波网目前小型局域网大都是双绞线网目前小型局域网大都是双绞线网,而较大型局域网则采用光纤和双绞线传输介质的混合而较大型局域网则采用光纤和双绞线传输介质的混合型网络型网络近年来近年来,无线网络技
10、术发展迅速无线网络技术发展迅速,它将成为未来局域网的一个重要发展方向它将成为未来局域网的一个重要发展方向第22页,共249页,编辑于2022年,星期五局域网环境简介局域网环境简介无线局域网无线局域网Wireless LANWireless LAN可提供所有无线局域网的功能,而不需要物理线路连接可提供所有无线局域网的功能,而不需要物理线路连接数据先被调制到射频载波中,然后以大气为载体进行传输数据先被调制到射频载波中,然后以大气为载体进行传输典型速率为典型速率为11Mbps11Mbps和和54Mbps54Mbps,但实际应用中得到的速率通常为此速率的一部分,但实际应用中得到的速率通常为此速率的一部
11、分无线局域网的实现可以非常简单,只要在计算机上安装无线网卡即可无线局域网的实现可以非常简单,只要在计算机上安装无线网卡即可如果想和有线网络连接在一起需要添加一个无线接入点如果想和有线网络连接在一起需要添加一个无线接入点APAP。APAP一般位于无线客户端的中一般位于无线客户端的中心接入位置心接入位置第23页,共249页,编辑于2022年,星期五WirelessLAN的优缺点的优缺点优点:优点:移动性移动性安装安装安装的灵活性安装的灵活性减少用户投入减少用户投入易于扩展易于扩展缺点:缺点:Wireless LANWireless LAN和有线局域网相比速率较低和有线局域网相比速率较低无线网络的硬
12、件投入会高于有线网络无线网络的硬件投入会高于有线网络第24页,共249页,编辑于2022年,星期五三、网络攻击与防范技术三、网络攻击与防范技术局域网环境简介局域网的安全威胁局域网的安全威胁局域网的安全威胁局域网的安全威胁局域网监听与防范局域网监听与防范局域网监听与防范局域网监听与防范局域网局域网局域网局域网ARPARP攻击与防范攻击与防范攻击与防范攻击与防范局域网病毒入侵与防范局域网病毒入侵与防范局域网病毒入侵与防范局域网病毒入侵与防范快速关闭端口防止入侵快速关闭端口防止入侵快速关闭端口防止入侵快速关闭端口防止入侵局域网共享资源安全防范局域网共享资源安全防范局域网共享资源安全防范局域网共享资源
13、安全防范无线局域网嗅探与防范无线局域网嗅探与防范无线局域网嗅探与防范无线局域网嗅探与防范局域网上网的安全防范与技巧局域网上网的安全防范与技巧局域网上网的安全防范与技巧局域网上网的安全防范与技巧第25页,共249页,编辑于2022年,星期五局域网安全威胁局域网安全威胁局域网技术将网络资源共享的特性体现得淋漓尽致局域网技术将网络资源共享的特性体现得淋漓尽致不仅能提供软件资源、硬件资源共享不仅能提供软件资源、硬件资源共享还提供还提供InternetInternet连接共享等各种网络共享服务连接共享等各种网络共享服务越来越多的局域网被应用在学校、写字楼,办公区越来越多的局域网被应用在学校、写字楼,办公
14、区 第26页,共249页,编辑于2022年,星期五局域网的安全威胁局域网的安全威胁目前绝大多数的局域网使用的协议都是和目前绝大多数的局域网使用的协议都是和InternetInternet一样的一样的TCP/IPTCP/IP协议协议各种黑客工具一样适用于局域网各种黑客工具一样适用于局域网局域网中的计算机更多体现的是共享和服务局域网中的计算机更多体现的是共享和服务因此局域网的安全隐患较之于因此局域网的安全隐患较之于InternetInternet更是有过之而无不及更是有过之而无不及第27页,共249页,编辑于2022年,星期五局域网的安全威胁局域网的安全威胁目前的局域网基本上都采用以广播为技术基础
15、的以太网目前的局域网基本上都采用以广播为技术基础的以太网任何两个节点之间的通信数据包,不仅为这两个节点的网卡所接收,也同时为任何两个节点之间的通信数据包,不仅为这两个节点的网卡所接收,也同时为处在同一以太网上的任何一个节点的网卡所截取处在同一以太网上的任何一个节点的网卡所截取 黑客只要接入以太网上的任一节点进行侦听黑客只要接入以太网上的任一节点进行侦听就可以捕获发生在这个以太网上的所有数据包,对其进行解包分析,从而窃取就可以捕获发生在这个以太网上的所有数据包,对其进行解包分析,从而窃取关键信息,这就是以太网所固有的安全隐患关键信息,这就是以太网所固有的安全隐患第28页,共249页,编辑于202
16、2年,星期五安全无内、外之分安全无内、外之分长期以来,对于信息安全问题,通常认为安全问题主要源于外面因素,都长期以来,对于信息安全问题,通常认为安全问题主要源于外面因素,都希望在互联网接入处,把病毒和攻击挡在门外,就可安全无忧希望在互联网接入处,把病毒和攻击挡在门外,就可安全无忧有许多重大的网络安全问题正是由于内部员工引起有许多重大的网络安全问题正是由于内部员工引起 一些间谍软件、木马程序等恶意软件就会不知不觉地被下载到电脑一些间谍软件、木马程序等恶意软件就会不知不觉地被下载到电脑中中 在员工浏览色情网站、利用即时通讯和访问购物网站时在员工浏览色情网站、利用即时通讯和访问购物网站时 这些恶意软
17、件还会在企业内部网络中进行传播,不仅会产生安全隐患,而这些恶意软件还会在企业内部网络中进行传播,不仅会产生安全隐患,而且还会影响到网络的使用率且还会影响到网络的使用率 特别值得注意的是,企业的机密资料、客户数据等信息可能会特别值得注意的是,企业的机密资料、客户数据等信息可能会由于恶意软件的存在,不知不觉被盗取由于恶意软件的存在,不知不觉被盗取第29页,共249页,编辑于2022年,星期五局域网内的安全误区局域网内的安全误区局域网中无需单机防火墙局域网中无需单机防火墙 没有人会针对我没有人会针对我安装杀毒软件和病毒防火墙就不怕病毒安装杀毒软件和病毒防火墙就不怕病毒安装了安装了SP2SP2的的Wi
18、ndows XPWindows XP就安全了就安全了第30页,共249页,编辑于2022年,星期五三、网络攻击与防范技术三、网络攻击与防范技术局域网环境简介局域网的安全威胁局域网的安全威胁局域网的安全威胁局域网的安全威胁局域网监听与防范局域网监听与防范局域网监听与防范局域网监听与防范局域网局域网局域网局域网ARPARP攻击与防范攻击与防范攻击与防范攻击与防范局域网病毒入侵与防范局域网病毒入侵与防范局域网病毒入侵与防范局域网病毒入侵与防范快速关闭端口防止入侵快速关闭端口防止入侵快速关闭端口防止入侵快速关闭端口防止入侵局域网共享资源安全防范局域网共享资源安全防范局域网共享资源安全防范局域网共享资源
19、安全防范无线局域网嗅探与防范无线局域网嗅探与防范无线局域网嗅探与防范无线局域网嗅探与防范局域网上网的安全防范与技巧局域网上网的安全防范与技巧局域网上网的安全防范与技巧局域网上网的安全防范与技巧第31页,共249页,编辑于2022年,星期五以太网协议工作方式以太网协议工作方式将要发送的数据包发往连接在一起的所有主机包中包含着应该接收数据包主机的正确地址包中包含着应该接收数据包主机的正确地址只有与数据包中目标地址一致的那台主机才能接收只有与数据包中目标地址一致的那台主机才能接收当主机网卡设置为混杂模式时当主机网卡设置为混杂模式时(监听模式监听模式)经过自己网络接口的那些数据包经过自己网络接口的那些
20、数据包无论数据包中的目标地址是什么,主机都将接收(监听)无论数据包中的目标地址是什么,主机都将接收(监听)第32页,共249页,编辑于2022年,星期五以太网协议工作方式以太网协议工作方式现在网络中使用的大部分协议都是很早设计的许多协议的实现都是基于一种非常友好的、通信的双方充分许多协议的实现都是基于一种非常友好的、通信的双方充分信任的基础之上信任的基础之上许多信息以明文发送许多信息以明文发送第33页,共249页,编辑于2022年,星期五局域网监听与防范局域网监听与防范局域网中采用广播方式局域网中采用广播方式在某个广播域中可以监听到所有的信息包在某个广播域中可以监听到所有的信息包黑客通过对信息
21、包进行分析,就能获取局域网上传输的一些黑客通过对信息包进行分析,就能获取局域网上传输的一些重要信息重要信息很多黑客入侵时都把局域网扫描和侦听作为其最基本的步骤很多黑客入侵时都把局域网扫描和侦听作为其最基本的步骤和手段,原因是想用这种方法获取其想要的密码等信息和手段,原因是想用这种方法获取其想要的密码等信息对黑客入侵活动和其它网络犯罪进行侦查、取证时,也可以使用网络监对黑客入侵活动和其它网络犯罪进行侦查、取证时,也可以使用网络监听技术来获取必要的信息听技术来获取必要的信息因此,了解以太网监听技术的原理、实现方法和防范措施就显因此,了解以太网监听技术的原理、实现方法和防范措施就显得尤为重要得尤为重
22、要第34页,共249页,编辑于2022年,星期五网络监听网络监听网络监听技术本来是提供给网络安全管理人员进行管理的工具,可网络监听技术本来是提供给网络安全管理人员进行管理的工具,可以用来监视网络的状态、数据流动情况以及网络上传输的信息以用来监视网络的状态、数据流动情况以及网络上传输的信息等等当信息以明文的形式在网络上传输时,使用监听技术进行攻击并当信息以明文的形式在网络上传输时,使用监听技术进行攻击并不是一件难事,只要将网络接口设置成监听模式,便可以源源不不是一件难事,只要将网络接口设置成监听模式,便可以源源不断地将网上传输的信息截获断地将网上传输的信息截获网络监听可以在网上的任何一个位置实施
23、,如局域网中的网络监听可以在网上的任何一个位置实施,如局域网中的一台主机、网关上或远程网的调制解调器之间等一台主机、网关上或远程网的调制解调器之间等第35页,共249页,编辑于2022年,星期五网络监听的应用场景网络监听的应用场景如果用户的账户名和口令等信息也以明文的方式在网上传输如果用户的账户名和口令等信息也以明文的方式在网上传输只要具有初步的网络和只要具有初步的网络和TCP/IPTCP/IP协议知识,便能轻易地从监听到协议知识,便能轻易地从监听到的信息中提取出感兴趣的部分的信息中提取出感兴趣的部分黑客或网络攻击者会利用此方法进行网络监听黑客或网络攻击者会利用此方法进行网络监听正确使用网络监
24、听技术也可以发现入侵并对入侵者进行追踪定位正确使用网络监听技术也可以发现入侵并对入侵者进行追踪定位在对网络犯罪进行侦查取证时获取有关犯罪行为的重要信息,成在对网络犯罪进行侦查取证时获取有关犯罪行为的重要信息,成为打击网络犯罪的有力手段为打击网络犯罪的有力手段第36页,共249页,编辑于2022年,星期五使用使用snifferpro进行监听进行监听获取邮箱密码获取邮箱密码通过对用监听工具捕获的数据帧进行分析,可以很容易的发现敏感信息和重要信息通过对用监听工具捕获的数据帧进行分析,可以很容易的发现敏感信息和重要信息对一些明码传输的邮箱用户名和口令可以直接显示出来对一些明码传输的邮箱用户名和口令可以
25、直接显示出来第37页,共249页,编辑于2022年,星期五网络监听的相关软件网络监听的相关软件密码监听器密码监听器(01)(01)http:/ 运行网络监听的主机只是被动地接收在局域局上传输的信息运行网络监听的主机只是被动地接收在局域局上传输的信息 不主动的与其他主机交换信息,也没有修改在网上传输的数据包不主动的与其他主机交换信息,也没有修改在网上传输的数据包手段灵活手段灵活 网络监听可以在网上的任何位置实施网络监听可以在网上的任何位置实施 可以是网上的一台主机、路由器,也可以是调制解调器可以是网上的一台主机、路由器,也可以是调制解调器 网络监听效果最好的地方是在网络中某些具有战略意义的位置网
26、络监听效果最好的地方是在网络中某些具有战略意义的位置 如网关、路由器、防火墙之类的设备或重要网段;而使用最方如网关、路由器、防火墙之类的设备或重要网段;而使用最方便的地方是在网中的一台主机上便的地方是在网中的一台主机上第39页,共249页,编辑于2022年,星期五对可能存在的网络监听的检测对可能存在的网络监听的检测1)1)对于怀疑运行监听程序的主机,可用正确的对于怀疑运行监听程序的主机,可用正确的IPIP地址和错误的物理地址去探测地址和错误的物理地址去探测(如如Ping)Ping),运行监听,运行监听程序的主机会有响应程序的主机会有响应这是因为正常的机器不接收错误的物理地址这是因为正常的机器不
27、接收错误的物理地址处理监听状态的机器能接收处理监听状态的机器能接收如果他的如果他的IP stackIP stack不再次反向检查的话,就会响应不再次反向检查的话,就会响应第40页,共249页,编辑于2022年,星期五对可能存在的网络监听的检测对可能存在的网络监听的检测2)2)可向网上发送大量目的地址根本不存在的数据包可向网上发送大量目的地址根本不存在的数据包由于监听程序要分析和处理大量的数据包会占用很多的由于监听程序要分析和处理大量的数据包会占用很多的CPUCPU资源,这将导致资源,这将导致性能下降性能下降通过比较前后该机器性能加以判断通过比较前后该机器性能加以判断这种方法难度比较大这种方法难
28、度比较大3)3)使用反监听工具如使用反监听工具如antisnifferantisniffer等进行检测等进行检测第41页,共249页,编辑于2022年,星期五对网络监听的检测对网络监听的检测当前,有两个比较可行的办法当前,有两个比较可行的办法搜索网上所有主机运行的进程搜索网上所有主机运行的进程 网络管理员使用网络管理员使用UNIXUNIX或或Windows NTWindows NT的主机,可以很容易地得到当前进程的清单的主机,可以很容易地得到当前进程的清单 确定是否有一个进程被从管理员主机上启动确定是否有一个进程被从管理员主机上启动搜查监听程序搜查监听程序 现在监听程序只有有限的几种,管理员可
29、以检查目录,找出监听程序现在监听程序只有有限的几种,管理员可以检查目录,找出监听程序第42页,共249页,编辑于2022年,星期五对网络监听的检测对网络监听的检测还有两个方法比较有效,缺点也是难度较大还有两个方法比较有效,缺点也是难度较大检查被怀疑主机中是否有一个随时间不断增长的文件存在检查被怀疑主机中是否有一个随时间不断增长的文件存在 因为网络监听输出的文件通常很大,且随时间不断增长因为网络监听输出的文件通常很大,且随时间不断增长通过运行通过运行ipconfigipconfig命令,检查网卡是否被设置成了监听模式命令,检查网卡是否被设置成了监听模式 或使用或使用IfstatusIfstatu
30、s工具,定期检测网络接口是否处于监听状态工具,定期检测网络接口是否处于监听状态 当网络接口处于监听状态时,可能是入侵者侵入了系统,并正在运行一个监听当网络接口处于监听状态时,可能是入侵者侵入了系统,并正在运行一个监听程序,就要有所注意程序,就要有所注意第43页,共249页,编辑于2022年,星期五对网络监听的防范措施对网络监听的防范措施从逻辑或物理上对网络分段从逻辑或物理上对网络分段以交换式集线器代替共享式集线器以交换式集线器代替共享式集线器控制单播包而无法控制广播包和多播包控制单播包而无法控制广播包和多播包使用加密技术使用加密技术划分划分VLANVLAN运用运用VLANVLAN(虚拟局域网)
31、技术,将以太网通信变为点到点通信,可以防止大部(虚拟局域网)技术,将以太网通信变为点到点通信,可以防止大部分基于网络监听的入侵分基于网络监听的入侵第44页,共249页,编辑于2022年,星期五三、网络攻击与防范技术三、网络攻击与防范技术局域网环境简介局域网的安全威胁局域网的安全威胁局域网的安全威胁局域网的安全威胁局域网监听与防范局域网监听与防范局域网监听与防范局域网监听与防范局域网局域网局域网局域网ARPARP攻击与防范攻击与防范攻击与防范攻击与防范局域网病毒入侵与防范局域网病毒入侵与防范局域网病毒入侵与防范局域网病毒入侵与防范快速关闭端口防止入侵快速关闭端口防止入侵快速关闭端口防止入侵快速关
32、闭端口防止入侵局域网共享资源安全防范局域网共享资源安全防范局域网共享资源安全防范局域网共享资源安全防范无线局域网嗅探与防范无线局域网嗅探与防范无线局域网嗅探与防范无线局域网嗅探与防范局域网上网的安全防范与技巧局域网上网的安全防范与技巧局域网上网的安全防范与技巧局域网上网的安全防范与技巧第45页,共249页,编辑于2022年,星期五ARP协议协议Address Resolution Protocol(Address Resolution Protocol(地址解析协议地址解析协议)在局域网中,网络中实际传输的是在局域网中,网络中实际传输的是“帧帧”帧里面是有目标主机的帧里面是有目标主机的MACM
33、AC地址的地址的在以太网中,一个主机要和另一个主机进行直接通信,必须要知道目标主机的在以太网中,一个主机要和另一个主机进行直接通信,必须要知道目标主机的MACMAC地地址址但这个目标但这个目标MACMAC地址是如何获得的呢地址是如何获得的呢通过地址解析协议获得通过地址解析协议获得第46页,共249页,编辑于2022年,星期五ARP协议原理协议原理所谓所谓“地址解析地址解析”就是主机在发送帧前将目标就是主机在发送帧前将目标IPIP地址转换成目标地址转换成目标MACMAC地址的过程地址的过程ARPARP协议的基本功能就是通过目标设备的协议的基本功能就是通过目标设备的IPIP地址,查询目标设备的地址
34、,查询目标设备的MACMAC地址,地址,以保证通信的顺利进行以保证通信的顺利进行在局域网中,通过在局域网中,通过ARPARP协议来完成协议来完成IPIP地址转换为第二层物理地址地址转换为第二层物理地址 (即即MACMAC地址地址)的的ARPARP协议对网络安全具有重要的意义协议对网络安全具有重要的意义通过伪造通过伪造IPIP地址和地址和MACMAC地址实现地址实现ARPARP欺骗,能够在网络中产生大量的欺骗,能够在网络中产生大量的ARPARP通信通信量使网络阻塞量使网络阻塞第47页,共249页,编辑于2022年,星期五局域网内部的局域网内部的ARP攻击攻击ARPARP协议的基本功能就是通过目标
35、设备的协议的基本功能就是通过目标设备的IPIP地址,查询目标设备的地址,查询目标设备的MACMAC地址,以保证通信的进行地址,以保证通信的进行基于基于ARPARP协议的这一工作特性,黑客向对方计算机不断发送有欺诈性质的协议的这一工作特性,黑客向对方计算机不断发送有欺诈性质的ARPARP数据包数据包数据包内包含有与当前设备重复的数据包内包含有与当前设备重复的MacMac地址地址使对方在回应报文时,由于简单的地址重复错误而导致不能进行正常的网络通信使对方在回应报文时,由于简单的地址重复错误而导致不能进行正常的网络通信第48页,共249页,编辑于2022年,星期五受受ARP攻击可能出现的现象攻击可能
36、出现的现象1)1)不断弹出不断弹出“本机的本机的XXXXXX段硬件地址与网络中的段硬件地址与网络中的XXXXXX段地址冲突段地址冲突”的对话框的对话框2)2)计算机不能正常上网,出现网络中断的症状计算机不能正常上网,出现网络中断的症状因为这种攻击是利用因为这种攻击是利用ARPARP请求报文进行请求报文进行“欺骗欺骗”的,所以防火墙会误以为是正常的请求数据的,所以防火墙会误以为是正常的请求数据包,不予拦截包,不予拦截普通的防火墙很难抵挡这种攻击普通的防火墙很难抵挡这种攻击第49页,共249页,编辑于2022年,星期五ARP病毒攻击症状病毒攻击症状现在局域网中感染现在局域网中感染ARP ARP 病
37、毒的情况比较多病毒的情况比较多清理和防范都比较困难,给不少的网络管理员造成了很多的困扰清理和防范都比较困难,给不少的网络管理员造成了很多的困扰症状症状有时候无法正常上网,有时候有好了,包括访问网上邻居也是如此,拷贝有时候无法正常上网,有时候有好了,包括访问网上邻居也是如此,拷贝文件无法完成,出现错误文件无法完成,出现错误局域网内的局域网内的ARP ARP 包爆增包爆增使用使用Arp Arp 查询的时候会发现不正常的查询的时候会发现不正常的MacMac地址,或错误的地址,或错误的Mac Mac 地址对应,还有就是地址对应,还有就是一个一个Mac Mac 地址对应多个地址对应多个IP IP 的情况
38、也会有出现的情况也会有出现第50页,共249页,编辑于2022年,星期五ARP攻击的原理攻击的原理ARP ARP 欺骗攻击的包一般有以下两个特点,满足之一可视为攻击包报警欺骗攻击的包一般有以下两个特点,满足之一可视为攻击包报警以太网数据包头的源地址、目标地址和以太网数据包头的源地址、目标地址和ARP ARP 数据包的协议地址不匹配数据包的协议地址不匹配ARPARP数据包的发送和目标地址不在自己网络网卡数据包的发送和目标地址不在自己网络网卡MAC MAC 数据库内,或者与自己网络数据库内,或者与自己网络MAC MAC 数据库数据库MAC/IP MAC/IP 不匹配不匹配第51页,共249页,编辑
39、于2022年,星期五ARP攻击的原理攻击的原理这些统统第一时间报警这些统统第一时间报警查这些数据包查这些数据包(以太网数据包以太网数据包)的源地址的源地址(也有可能伪造也有可能伪造),就大致知道哪台机器在发起,就大致知道哪台机器在发起攻击了攻击了现在有网络管理工具现在有网络管理工具比如网络执法官、比如网络执法官、P2P P2P 终结者也会使用同样的方式来伪装成网关,欺骗客户端对网终结者也会使用同样的方式来伪装成网关,欺骗客户端对网关的访问关的访问也就是会获取发到网关的流量,从而实现网络流量管理和网络监控等功能也就是会获取发到网关的流量,从而实现网络流量管理和网络监控等功能同时也会对网络管理带来
40、潜在的危害,就是可以很容易的获取用户的密码等相关敏感信息同时也会对网络管理带来潜在的危害,就是可以很容易的获取用户的密码等相关敏感信息第52页,共249页,编辑于2022年,星期五ARP攻击软件攻击软件WinArpAttacker WinArpAttacker ARPARP攻击器攻击器http:/60.28.178.201/down?cid=FFD08C9FD517C57D9C9F162AC1C35DA8http:/60.28.178.201/down?cid=FFD08C9FD517C57D9C9F162AC1C35DA8D72CDE1F&t=2&fmt=-D72CDE1F&t=2&fmt=
41、-ARPARP机器列表扫描机器列表扫描 基于基于ARPARP的各种攻击方法的各种攻击方法 定时定时IPIP冲突冲突/IP/IP冲突洪水冲突洪水/禁止上网禁止上网/禁止与其他机器通讯禁止与其他机器通讯/监听与网关和其他机监听与网关和其他机器的通讯数据器的通讯数据/ARP/ARP代理代理 ARPARP攻击检测攻击检测/主机状态检测主机状态检测/本地本地ARPARP表变化检测表变化检测 检测到其他机器的检测到其他机器的ARPARP监听攻击后可进行防护,自动恢复正确的监听攻击后可进行防护,自动恢复正确的ARPARP表表 把把ARPARP数据包保存到文件数据包保存到文件 可发送手工定制可发送手工定制AR
42、PARP包包第53页,共249页,编辑于2022年,星期五ARP攻击的处理方法攻击的处理方法先保证网络正常运行先保证网络正常运行找到感染找到感染ARP ARP 病毒的机器病毒的机器采取一定的预防措施采取一定的预防措施第54页,共249页,编辑于2022年,星期五先保证网络正常运行先保证网络正常运行在能上网时,进入在能上网时,进入MS-DOSMS-DOS窗口,输入命令窗口,输入命令arp a arp a 查看网关查看网关IPIP对应的正确对应的正确MACMAC地址,将其记录下来地址,将其记录下来如果已经不能上网,则先运行一次命令如果已经不能上网,则先运行一次命令arp darp d将将arpar
43、p缓存中的内容删空,计算机可暂时恢缓存中的内容删空,计算机可暂时恢复上网(攻击如果不停止的话)复上网(攻击如果不停止的话)一旦能上网就立即将网络断掉(禁用网卡或拔掉网线),再运行一旦能上网就立即将网络断掉(禁用网卡或拔掉网线),再运行arp aarp a第55页,共249页,编辑于2022年,星期五先保证网络正常运行先保证网络正常运行如果已经有网关的正确如果已经有网关的正确MACMAC地址地址在不能上网时,手工将网关在不能上网时,手工将网关IPIP和正确和正确MACMAC绑定,可确保计算机不再被攻击影响绑定,可确保计算机不再被攻击影响手工绑定可在手工绑定可在MS-DOSMS-DOS窗口下运行以
44、下命令:窗口下运行以下命令:arp s arp s 网关网关IP IP 网关网关MAC MAC 例如:假设计算机所处网段的网关为例如:假设计算机所处网段的网关为218.197.192.254218.197.192.254,本机地址为,本机地址为218.197.192.1218.197.192.1在计算机上运行在计算机上运行arp aarp a后输出如下:后输出如下:C:Documents and Settingsarp aC:Documents and Settingsarp a Interface:218.197.192.1-0 x2Interface:218.197.192.1-0 x2
45、Internet Address Internet Address Physical Address Physical Address TypeType 218.197.192.254 218.197.192.254 00-01-02-03-04-05 00-01-02-03-04-05 dynamic dynamic 第56页,共249页,编辑于2022年,星期五先保证网络正常运行先保证网络正常运行被攻击后,再用该命令查看被攻击后,再用该命令查看会发现该会发现该MACMAC已经被替换成攻击机器的已经被替换成攻击机器的MACMAC如果希望能找出攻击机器,彻底根除攻击如果希望能找出攻击机器,彻底
46、根除攻击可以在此时将该可以在此时将该MACMAC记录下来记录下来,为以后查找做准备为以后查找做准备手工绑定的命令为:手工绑定的命令为:arp s 218.197.192.254 00-01-02-03-04-05 arp s 218.197.192.254 00-01-02-03-04-05 绑定完,可再用绑定完,可再用arp arp a a查看查看arparp缓存缓存C:Documents and Settingsarp aC:Documents and Settingsarp aInterface:218.197.192.1-0 x2Interface:218.197.192.1-0 x2
47、Internet Address Internet Address Physical Address Physical Address TypeType218.197.192.254 218.197.192.254 00-01-02-03-04-05 00-01-02-03-04-05 staticstatic第57页,共249页,编辑于2022年,星期五先保证网络正常运行先保证网络正常运行需要说明的是,手工绑定在计算机关机重开机后就会失效,需要再绑定需要说明的是,手工绑定在计算机关机重开机后就会失效,需要再绑定所以,要彻底根除攻击,只有找出网段内被病毒感染的计算机,令其杀毒,方可所以,要彻底
48、根除攻击,只有找出网段内被病毒感染的计算机,令其杀毒,方可解决解决找出病毒计算机的方法:找出病毒计算机的方法:如果已有病毒计算机的如果已有病毒计算机的MACMAC地址,可使用软件地址,可使用软件NBTSCANNBTSCAN找出网段内与该找出网段内与该MACMAC地址地址对应的对应的IPIP即病毒计算机的即病毒计算机的IPIP地址,然后可报告校网络中心对其进行查封地址,然后可报告校网络中心对其进行查封第58页,共249页,编辑于2022年,星期五先保证网络正常运行先保证网络正常运行1)1)编辑个编辑个*.bat.bat 文件文件echo off echo off arp d arp d arp-
49、s 192.168.16.254 00-22-aa-00-22-aa arp-s 192.168.16.254 00-22-aa-00-22-aa 将文件中的网关将文件中的网关IPIP地址和地址和MACMAC地址更改为您自己的网关地址更改为您自己的网关IPIP地址和地址和MACMAC地址即可地址即可将这个批处理软件拖到将这个批处理软件拖到“Windows-Windows-开始开始-程序程序-启动启动”中中第59页,共249页,编辑于2022年,星期五先保证网络正常运行先保证网络正常运行2)2)编辑一个注册表文件,键值如下:编辑一个注册表文件,键值如下:Windows Registry Edit
50、or Version 5.00 Windows Registry Editor Version 5.00 HKEY_LOCAL_MACHINESOFTWAREmicrosoftWindowsCurrentVersionRun HKEY_LOCAL_MACHINESOFTWAREmicrosoftWindowsCurrentVersionRun“mac”=“arp-s“mac”=“arp-s 网关网关IP IP 地址网关地址网关Mac Mac 地址地址 然后保存成然后保存成Reg Reg 文件以后在每个客户端上点击导入注册表文件以后在每个客户端上点击导入注册表第60页,共249页,编辑于2022