ARP病毒攻击安全解决方案.pptVIP

2005 Symantec Corporation, All Rights Reserved ARP 病毒安全解决方案 Agenda Agenda ARP协议介绍 地址解析协议（Address Resolution Protocol，ARP）是在仅知道主机的IP地址时确定其物理地址的一种协议。 ARP协议使用的是广播包的形式发送 ARP的机制是信任局域网内的所有用户 ARP协议工作原理 ARP命令的使用 1.ARP命令的功能 查看、添加和删除高速缓存区中的ARP表项 2.Windows 2000 ARP高速缓冲区 (1)包含动态和静态表项 动态表项：随时间推移自动添加和删除 静态表项：一直存在，直到人为删除或重新启动 (2)动态表项的计时器：潜在生命周期10min 显示高速cache中的ARP表 添加ARP静态表项 删除ARP表项 Agenda ARP漏洞何在 ARP协议并不只在发送了ARP请求才接收ARP应答。当计算机接收到ARP应答数据包的时候，就会对本地的ARP缓存进行更新，将应答中的IP和MAC地址存储在ARP缓存中。因此，当局域网中的某台机器B向A发送一个自己伪造的ARP应答，而如果这个应答是B冒充路由伪造来的，即IP地址为C的IP，而MAC地址是路由的，则当A接收到B伪造的ARP应答后，就会更新本地的ARP缓存，这样在A看来C的IP地址没有变，而它的MAC地址已经路由的了。由于局域网的网络流通不是根据IP地址进行，而是按照MAC地址进行传输。所以，那个C的MAC地址在A上被改变成路由的MAC地址，这样就会造成A所发送到路由的数据会被发送到C！这就是一个简单的ARP欺骗。这时A上网时就会掉线，而且数据就不安全了。 ARP攻击原理 病毒机通过发布错误的ARP广播包，阻断正常通信，并将自己所用的电脑伪装成网关，这样往外发送的数据，就发到了病毒机上，然后病毒再通过本身的发送功能发送截到的信息给黑客，达到窃取数据的目的。 ARP病毒/ARP木马的分类 类ARP病毒工具 局域网内有某些用户使用了ARP欺骗程序 如： 网络执法官 网络剪刀手 P2P终结者 传奇木马 QQ盗号软件 ARP病毒的危害性 整个局域网的用户上网会时通时断，严重影响网络的正常使用 病毒可能会盗取局域网内用户的网上应用的用户名和密码，从而造成更大损失 Agenda ARP欺骗对策 1、在路由上绑定所有客户机地址。 arp –s IP MAC(单绑) 2、在客户机绑定路由地址（双绑） 3、在客户机绑定本机地址（三绑） Agenda 防护ARP欺骗－Symantec终端安全解决方案 基于应用程序的防火墙 防护ARP欺骗－Symantec终端安全解决方案 基于应用程序的防火墙 —— SPA客户端的拦截效果 防护ARP欺骗－Symantec终端安全解决方案 基于协议的驱动防护 防护ARP欺骗－Symantec终端安全解决方案 基于协议的驱动防护 防护ARP欺骗－Symantec终端安全解决方案 基于协议的驱动防护 —— SPA客户端的拦截效果 防护ARP欺骗－Symantec终端安全解决方案 主机入侵防御系统 防护ARP欺骗－Symantec终端安全解决方案 主机入侵防御系统 —— SPA客户端的拦截效果 防护ARP欺骗－Symantec终端安全解决方案 主机入侵防御系统 —— SPA客户端的拦截效果（续1） 防护ARP欺骗－Symantec终端安全解决方案 主机入侵防御系统 —— SPA客户端的拦截效果（续2） 常见问题解答 终端已经建立起来了ARP缓存表，为什么欺骗程序还可以得逞？ 防范规则中，只允许ndisiuo.sys对外发送ARP数据包（协议号0x806），其他的全部禁止，这样有效果吗？ IPS功能也只有当我的ARP缓存表中有IP-MAC对应关系才能报警和拦截，如果我的ARP缓存表中没有IP-MAC对应关系，我是怎么判断他是不是欺骗行为？ 关于测试过程中断网现象的解释 现象描述（一）：未安装SPA的电脑 我们在内网中随便找了一台电脑测试 关于测试过程中断网现象的解释 现象描述（一）：未安装SPA的电脑 机器很快中招，网关MAC被修改为攻击者的MAC 在被欺骗时网络不中断，用户以为没有被攻击，其实回话已被劫持 有时候也会断线 关于测试过程中断网现象的解释 现象描述（一）：未安装SPA的电脑 如果攻击包暂停发送，网关MAC恢复正常 在被欺骗和恢复正常的过程中，网络不中断，用户以为没有被攻击，其实回话已被劫持 关于测试过程中断网现象的解释 现象描述（二）：安装了SPA的电脑 关于测试过程中断网现象的解释 现象描述（二）：安装了SPA的电脑 开始被攻击 刷新缓存后才正常 关于测试过程中断网现象的解释 现象描述（二