幻境网盾的原理以及防御方法..docVIP

前些日子我在HIPS专区看到有个朋友问怎么防御幻境网盾，他说按照百度百科中对幻境网盾的防御方法不管用。 /view/2439077.htm 在这里我需要向那位朋友和看过百科的朋友说声抱歉，这个百科里面的防御方法是本人在被幻境网盾限速一怒之下写进去的，写的时候并没有实际测试过可不可行。 另外，我浏览了一些卡饭关于局域网限速攻击的帖子，发现其 中有错误，在这里也纠正一下。 ================================================================== 现存的限速型局域网欺骗攻击有两种： 1.ARP欺骗攻击 2.MAC地址表欺骗攻击 局域网拓扑结构示意地图（校园局域网比这个复杂得多） 1.ARP 欺骗攻击 ARP协议并不只在发送了ARP请求才接收ARP应答。当计算机接收到ARP应答数据包的时候，就会对本地的ARP缓存进行更新，将应答中的IP和MAC地址存储在ARP缓存中。所以在网络中，有人发送一个自己伪造的ARP应答，网络可能就会出现问题。这可能就是协议设计者当初没考虑到的！　　 欺骗原理 　　 假设一个网络环境中，网内有三台主机，分别为主机A、B、C。主机详细信息如下描述： 　　 A的地址为：IP：MAC: AA-AA-AA-AA-AA-AA 　　 B的地址为：IP：MAC: BB-BB-BB-BB-BB-BB 　　 C的地址为：IP：MAC: CC-CC-CC-CC-CC-CC 　　 正常情况下A和C之间进行通讯，但是此时B向A发送一个自己伪造的ARP应答，而这个应答中的数据为发送方IP地址是（C的IP地址），MAC地址是BB-BB-BB-BB-BB-BB（C的MAC地址本来应该是CC- CC-CC-CC-CC-CC，这里被伪造了）。当A接收到B伪造的ARP应答，就会更新本地的ARP缓存（A被欺骗了），这时B就伪装成C了。同时，B 同样向C发送一个ARP应答，应答包中发送方IP地址四（A的IP地址），MAC地址是BB-BB-BB-BB-BB-BB（A 的MAC地址本来应该是AA-AA-AA-AA-AA-AA），当C收到B伪造的ARP应答，也会更新本地ARP缓存（C也被欺骗了），这时B就伪装成了 A。这样主机A和C都被主机B欺骗，A和C之间通讯的数据都经过了B。主机B完全可以知道他们之间说的什么：）。这就是典型的ARP欺骗过程。 要论攻击目标，ARP欺骗攻击的目标其实很明确，就是用户的PC机 想要防御也不是什么难事，只要受攻击用户绑定本机IP和MAC地址或者安装一个ARP防火墙就能解决问题。 实际上现在的P2P终结者、聚生网管发动的都是ARP欺骗攻击，但并不是说装个ARP防火墙就管用，各家做出来的ARP防火墙性能千差万别，国内最好的 ARP防火墙推荐使用彩影ARP防火墙和风云防火墙。 2.MAC 地址表欺骗 目前很多网络都使用Hub进行连接的，众所周知，数据包经过Hub传输到其他网段时，Hub只是简单地把数据包复制到其他端口。因此，对于利用Hub组成 的网络来说，没有安全而言，数据包很容易被用户拦截分析并实施网络攻击（MAC地址欺骗、IP地址欺骗及更高层面的信息骗取等）。为了防止这种数据包的无限扩散，人们越来越倾向于运用交换机来构建网络，交换机具有MAC地址学习功能，能够通过VLAN等技术将用户之间相互隔离，从而保证一定的网络安全性。 交换机队于某个目的MAC地址明确的单址包不会像Hub那样将该单址包简单复制到其他端口上，而是只发到起对应的特定的端口上。如同一般的计算机需要维持一张ARP高速缓冲表一样，每台交换机里面也需要维持一张MAC地址(有时是MAC地址和VLAN)与端口映射关系的缓冲表，称为地址表，正是依靠这张表，交换机才能将数据包发到对应端口。 地址表一般是交换机通过学习构造出来的。学习过程如下： （1）? ? 交换机取出每个数据包的源MAC地址，通过算法找到相应的位置，如果是新地址，则创建地址表项，填写相应的端口信息、生命周期时间等； （2）? ? 如果此地址已经存在，并且对应端口号也相同，则刷新生命周期时间； （3）? ? 如果此地址已经存在，但对应端口号不同，一般会改写端口号，刷新生命周期时间； （4）? ? 如果某个地址项在生命周期时间内没有被刷新，则将被老化删除。 如同ARP缓冲表存在地址欺骗的问题，交换机里的这种MAC地址表也存在地址欺骗问题。在实际应用中，人们已经发现早期设计的许多交换机都存在这个问题，以Cisco2912交换机为例，阐明一下如何进行MAC地址欺骗。 如图所示，两个用户PcA和PcB分别连接Cisco2912的portA和portB两个端口。 ? ?? ?? ?? ?? ?? ?? ?? ?? ? PortC?