PDF《瑞星信息安全培训》

第1/10 页 北京瑞星信息技术有限公司 C U S T O M E R S E R V I C E C E N T E R 客户服务中心瑞星信息安全培训 网络 ARP 地址欺骗攻击防护课程

一、 ARP 地址欺骗攻击现象分析 1.

ARP 地址欺骗造成具体网络现象 ? 办公局域网中访问互联网资源数据通信会出现时断时续现象. ? 打开任何网页出现报错无法打开、网页跳转现象. ? 任何正常的互联网资源访问防护监控提示发现病毒. ? 局域网中大面积计算机无法访问互联网资源出现断网现象. ? 计算机用户本地信息被窃取,破坏. 2. 时断时续现象 常见通信软件:IE 浏览器、腾讯 QQ、MSN 等通信异常. 3. 访问网页跳转 IE 浏览网页被劫持,出现跳转,IE 主页被篡改. 4. 网络出现断网 网络中大量计算机出现无法访问断网情况.

二、 ARP 欺骗攻击现象概述 ARP 欺骗攻击不仅仅是病毒传播,更主要结合网络通信协议漏洞,网络地址欺骗攻击等多种 攻击形式,威胁波及范围包含网络中所有计算机的安全.所以针对此类安全威胁防护方法, 不仅仅是单台计算机安全防护.需要采用有整体网络防护措施,才可以有效预防此类网络安 全攻击.

三、 计算机节点网络通信原理 1. 网络通信节点 局域网络中的每一台计算机都是通信节点,大家常见的路由器各个不同网段的网络接口(也 称作网关)也属于通信节点,在同一网段中,每个通信节点都对应一个网络接口,每个网络 接口都对应唯一的 IP 地址(32 位2进制编码) ,与物理 mac 地址标识(48 位2进制编码) . 2. 通信节点数据传输过程: 这里我们模拟局域网中通信通信节点流程并列举了

3 个通信节点实例 客户节点 A IP 地址:192.168.1.1 mac 地址: 00-11-21-d6-75-00 网关节点 B IP 地址:192.168.1.2 mac 地址: 00-11-21-d6-75-01 服务节点 C IP 地址:211.1.21.5 mac 地址: 00-11-21-d6-75-02 3. 客户机 A 与服务器 C 通信流程: 第2/10 页 北京瑞星信息技术有限公司 C U S T O M E R S E R V I C E C E N T E R 客户服务中心客户机 A ->

网关节点 B->

互联网 internet->

服务器 C(数据通信方向从 A 到C) 服务器 C ->

互联网 internet->

网关节点 B ->

客户机 A(数据通信方向从 C 到A) 4. 客户机 A 与服务器 C 通信流程: 在同一网段网络环境中,任何通信节点间在传输应用数据之前,需要知道对发的 mac 地址: 只有知道对方的 mac 地址后,才可以把应用数据包发送给指定通信节点. (由于交换机通过 数据报文的目的 mac 地址判断转发数据. ) 这里面客户机 A 在发送应用数据包给网关节点 B 之前,获取网关通信节点的 mac 地址. 本机如何获取对方通信节点的 mac 地址,这里就用 arp 通过协议来完成询问获取对发通信节 点的 mac 地址.

四、ARP 通信协议详解 1. 什么是 ARP ? 英文:Address Resolution Protocol 中文: (RFC-826)地址解析协议 局域网中,网络中实际传输的是 帧 ,里面有目标主机的 MAC 地址的. 地址解析 就是主 机在发送帧前将目标 IP 地址转换成目标 MAC 地址的过程. ARP 协议的基本功能就是通过目标设备的 IP 地址,查询目标设备的 MAC 地址以保证通信的 顺利进行. 2. ARP 的高速缓存列表 ARP 高效运行的关键是由于每个主机上都有一个 ARP 高速缓存列表.这个高速缓存存放了最 近IP 地址到硬件地址之间的映射记录.高速缓存中每一项的生存时间一般为