PDF《瑞星信息安全培训》

五、网络 ARP 地址欺骗的主动防护 1. 如何启用计算机 ARP 主动防御 ? 制作 MAC 地址绑定批处理文件 ? 生成文件加入计算机启动项,开机自动运行 2. 计算机如何手动设置防范 ARP 攻击 ? 计算机 新建 → 文本文档 ? 在文本中输入如下内容: ? arp Cd ? arp Cs 网关 IP 地址 网关 MAC 地址 3. 例如: 4. 计算机启用 ARP 主动防御特点 1)

1 简单有效 2)

2 方案可操作性 3) 快速部署 4) 主动防御 ARP 欺骗攻击 5) 保障企业业务资源正常运行 第8/10 页 北京瑞星信息技术有限公司 C U S T O M E R S E R V I C E C E N T E R 客户服务中心5. 根据企业的实际情况网络安全管理进行规划 ARP 绑定 往往简单有效是最实用的,只要主机绑定,就不会收到 arp 攻击,通信数据不会被中转 窃取,也不会感染后期中转植入病毒,计算机不会出现时断时续现象,同时不会出现网页跳 转,并且 arp 记录绑定方法方式很多. 6. ARP 攻击防护更重要的是网络通信漏洞防护 网络划 Vlan 作用会降低不同网段中计算机 arp 攻击的风险,因为 arp 属于

2 层通信广播,不 会跨网段传播但不会在客户机启到防护作用.只是 arp 波及范围在某几个特定的网段.企业 网络规模很大的 arp 防护管理,主要首先确定网络基础环境与应用. 7. 结合企业网络的实际应用情况实施防护 大型企业可采用比较流行的智能交换机, 在交换机

2 层通信进行限制, 主要针对监听

2 层arp 广播通信,发现 arp 包的内容中的 IP 与mac 地址不正确的数据包进行处理限制,使其他计算 机不会收到 arp 欺骗包.

六、网络中如何快速定位 ARP 欺骗源 1. 如何手动确定自己的网络中是否存在 arp 攻击

1 arp -a 网关 mac 记录 arp -d arp -a 前提计算机没有应用层或程序网络通信应出现 No arp 的情况. ping 网关后,查看 arp 列表 确定 arp 表中网关 IP 对应的 mac 记录是否正确. 2. 如何快速定位网络中 ARP 欺骗发包源计算机 往往利用的是欺骗源的 mac 地址,arp 机欺骗源计算机的目的:不是让大家不上网,而是大 家网络通信,只是用户通信数据被中转,这样黑客才可以获取用户信息,所以 arp 源发生欺 骗的同时也暴露的自己的 mac 地址, 所以通过看到网关 IP 对应的 mac 地址就是欺骗源的 mac 地址寻找发包源的方式很多,手动查看,相关工具收集 arp 广播信息,查询目的都是一样的 确定欺骗网关 IP 对应的 mac 地址. 3. 企业计算机信息管理 用户名称;

计算机名称;

IP 地址;

MAC 地址;

第9/10 页 北京瑞星信息技术有限公司 C U S T O M E R S E R V I C E C E N T E R 客户服务中心房间号;

具体物理位置;

4. 目的: 发现欺骗的 MAC 地址利用前期计算机管理备案信息直接定位 ARP 欺骗计算机的物理位置.

七、网络 ARP 地址欺骗案例分析 1. ARP 欺骗计算机定位后如何找到 ARP 欺骗协议发包程序: 实例分析 异常程序文件路径 C:\windows\system32\drivers\scvhost.exe idx

0 Cip 192.168.1.1-192.168.1.255 2. 计算机双向通信,ARP 绑定需要本地与网关双向绑定 典型例子 计算机 ping 其他计算机正常,网关 ping 不通,更换 IP 正常. 处理方法: ? 检查防火墙 mac 规则;

? 查看计算机本地网关 mac 地址;

? 绑定路由器的内网网络接口的 arp 表;

? 软件监控网络中是否存在 ARP 欺骗攻击;

第10/10 页 北京瑞星信息技术有限公司 C U S T O M E R S E R V I C E C E N T E R 客户服务中心3. 计算机双向通信,ARP 绑定需要本地与网关双向绑定