PDF《瑞星信息安全培训》

2 0 分钟,起始 时间从被创建时开始算起.可以用 ARP 命令来检查 ARP 高速缓存.参数-a 的意思是显示高速 缓存中所有的内容. 3. 计算机本地 ARP 缓存列表显示: 第3/10 页 北京瑞星信息技术有限公司 C U S T O M E R S E R V I C E C E N T E R 客户服务中心4. ARP 数据分组格式 5. ARP 命令参数 语法 arp [-a [InetAddr] [-N IfaceAddr]] [-g [InetAddr] [-N IfaceAddr]] [-d InetAddr [IfaceAddr]] [-s InetAddr EtherAddr [IfaceAddr]] arp -a arp -d arp -s 6. ARP 地址解析流程 当一台主机把以太网数据帧发送到位于同一局域网上的另一台主机时,是根据

48 bit 的以太 网地址来确定目的接口的. 第4/10 页 北京瑞星信息技术有限公司 C U S T O M E R S E R V I C E C E N T E R 客户服务中心ARP(地址解析协议)和RARP(逆地址解析协议) 7. ARP 欺骗方式: 对路由器 ARP 表的欺骗 对内网计算机 ARP 表中网关 IP、mac 记录欺骗 8. ARP 攻击欺骗原理: 通过发送广播 arp 通信欺骗包,改变网络中所有正常通信的计算机的本地 arp 缓存列表中网 络中通信节点的 IP 与mac 的正确对应关系. (尤其网关通信节点的 IP 与man 对应关系)这 样改变所有计算机的通信流向. 9. 欺骗攻击实例: 这里我们模拟局域网中通信通信节点流程并列举了

3 个通信节点实例 客户节点 A IP 地址:192.168.1.1 mac 地址: 00-11-21-d6-75-00 网关节点 B IP 地址:192.168.1.2 mac 地址: 00-11-21-d6-75-01 服务节点 C IP 地址:211.1.21.5 mac 地址: 00-11-21-d6-75-02 10. 客户机 A 与服务器 C 通信流程: 客户机 A ->

网关节点 B->

互联网 internet->

服务器 C(数据通信方向从 A 到C) 服务器 C ->

互联网 internet->

网关节点 B ->

客户机 A(数据通信方向从 C 到A) 11. 局域网正常网络流量状态 第5/10 页 北京瑞星信息技术有限公司 C U S T O M E R S E R V I C E C E N T E R 客户服务中心12. 局域中出现 ARP 欺骗源计算机 如果现在网络中存在欺骗源计算机 D(IP:192.168.1.4)mac 地址:macD 不断发送 arp 欺骗包,包的内容 网关节点 IP:192.168.1.2 与mac 地址:macD(是欺骗源计算机 D 的mac 地址) .这样所有计算机的 arp 表中的网关的 IP 的对应的 mac 正确记录被篡改,前面介绍, 节点通信是利用对方的 mac 地址所以所有计算机 arp 中的网关 IP 记录被篡改后, 改变了计算 机的通信方向. 13. 局域网中异常计算机发送大量 APR 协议欺骗广播包 14. 计算机遭受 arp 攻击后会出现以下情况 第6/10 页 北京瑞星信息技术有限公司 C U S T O M E R S E R V I C E C E N T E R 客户服务中心?客户机节点 A ->

欺骗源节点 D->

网关节点 B->

互联网->

服务器节点 C (数据通信方向从 A 到C) ? 服务器节点 C->

互联网->

网关节点 B->

欺骗源节点 D->

客户机节点 A (数据通信方向从 C 到A) 15. ARP 欺骗目的: 网络通信网络中转攻击后进行黑客很容易在所有通信数据中实现病毒入侵.这样主机 A 与服 务器 C 的通信,中间数据被中转监听,窃取.所有正常数据流相对 ARP 欺骗源计算机 D,是 透明的,可以任意篡改数据包中的内容, 植入大量木马病毒与黑客程序, 目的: 获取用户信息. 16. 网络 APR 地址欺骗攻击改变计算机通信路径 17. IP 地址非法攻击现象 ? 非法的 IP 地址即 IP 地址不在规划的局域网范围内. ? 重复的 IP 地址与已经分配且正在局域网运行的合法的 IP 地址发生资源 冲突, 使合法用户无法上网. ? 冒用合法用户的 IP 地址当合法用户不在线时,冒用其 IP 地址联网,使合法用户 无法正常访问网络. 18. ARP 欺骗不仅仅是病毒传播,更结合 网络通信漏洞+网络地址欺骗攻击+病毒传播 所以针对此类安全攻击,需要考虑整体安全防护与网络通信安全,不仅仅是单台计算机 的安全防护. 第7/10 页 北京瑞星信息技术有限公司 C U S T O M E R S E R V I C E C E N T E R 客户服务中心19. ARP 攻击防护方法 ? 计算机本地 arp 表记录绑定 ? 2.网络中限制 arp 欺骗包传播