防御的艺术（二）.docVIP

防御的艺术（二） 　　Tag:防御arp欺骗攻击、流量监控、arp攻击监控 | 实例 | 网络 　　 　　本文可以学到 　　1 什么是ARP攻击 　　2 针对ARP欺骗攻击的防御技巧 　　3 监控网络流量的技巧 　　4 分析网络数据攻击手段 　　 　　本文涉及软件 　　ARP防火墙 　　 　　本文重要知识点 　　1 ARP的攻击破坏性 　　2 ARP攻击的防护措施 　　3 如何进行网络监控 　　 　　A同学，有兴趣到我们公司来实习吗?我是上次交流会上遇到你的高小明，最近公司有几个网络安全方面的职务需要储备人才，希望你有时间来看看。学生A的手机大早上传来一段留言。(提醒：大多这样的情况都是骗子，请广大读者谨慎考虑。本文内容来自实事，望读者自行审视。) 　　周一的早上，学生A正式开始了实习工作，由于刚刚进入公司，学生A被安排到机房的web服务器做网络检测分析并辅助公司技术人员对计算机进行修理工作，不过刚刚开始上班公司就出现了一次大规模IP地址冲突的故障事件。 　　 　　ARP欺骗攻击与防御 　　 　　 在本月中旬，公司的局域网内出现相当长时间的混乱，由于出现ARP欺骗攻击出现IP地址冲突导致70%的计算机无法上网，为解决此问题网络部今天晚上集体加班，争取尽早排除故障，保证公司网络正常运行。周五下午XX集团例会上网络部主管刘经理向董事会申报了当月的工作情况。 　　不会吧，我刚上班就要加班?不过刘主管，这ARP攻击是个什么东西?前段日子公司里计算机老是无故出现IP地址冲突和网络风暴是它的原因吗?学生A问道，还好意思问?你们做技术都没看过最近的网络资料?ARP攻击都不知道，好好学习去!!!主管暴躁地喊着:今天晚上搞不定网络你们就别下班了!! 　　 　　小知识：什么是ARP 　　ARP(AddressResolutionProtocol)地址解析协议用于将计算机的网络IP地址转化为物理MAC地址。ARP协议的基本功能就是通过目标设备的IP地址，查询目标设备的MAC地址，以保证通信的顺利进行。在每台安装有TCP/IP协议的电脑里都有一个ARP缓存表，表里的IP地址与MAC地址是一一对应的，ARP协议就像给计算机发放的通行证一样。 　　比如:主机A发出通告:IP为192.168.0.101的主机请报上你的mac来” (注:MAC地址是网络通讯卡的身份标志:在XP/2000操作系统下在CMD命令行中输入ipconfig /all可以获取本地网卡的MAC地址) 　　 IP为192.168.0.101的主机响应这个广播，应答ARP广播为: 　　“我是192.168.0.101，我的mac为xxxxxxxxxx2” 　　 于是，主机刷新自己的ARP缓存，确定了IP地址192.168.0.101的主机地址，然后向此IP的计算机发送了网络数据。由于每台安装有TCP/IP协议的电脑里都有一个ARP缓存表，所以表里的IP地址与MAC地址是一一对应的: 　　IP地址 MAC地址 　　192.168.1.1 00－aa－00－62－c6－09 　　192.168.1.2 00－aa－00－62－c5－03 　　192.168.1.3 03－aa－01－75－c3－06 　　…… …… 　　 　　ARP欺骗攻击 　　是如何实现的 　　 　　当系统ARP缓存表被修改，不停地通知路由器一系列错误的内网IP，或者干脆伪造一个假的网关进行欺骗的话，网络就肯定会出现大面积的掉线问题。举个例子来描述一下ARP欺骗攻击的实现: 　　当一个入侵者想非法进入公司的数据服务器，而这台主机的防火墙只对192.0.0.3这个IP开放23口(telnet)，攻击者无法入侵192.0.0.3(假设)，所以他采用了ARP欺骗: 　　1.他先研究192.0.0.3这台主机，发现这台机器使用一个洪水数据包就可以让其死机。 　　2.于是，他送一个洪水包给192.0.0.3的139口，于是，该机器应包而死。 　　3.这时，主机发到192.0.0.3的IP包将无法被机器应答，系统自己的ARP对应表将192.0.0.3地址抹去。 　　4.这段时间里，入侵者把自己的IP改成192.0.0.3 　　5.他从新发一个ping给主机，要求主机更新主机的ARP转换表。 　　6.主机找到该IP，然后在ARP表中加如新的IP--;MAC对应关系。 　　7.火墙失效了，攻击者的IP变成合法的MAC地址， ARP欺骗攻击完成. 　　 　　实例:如何判断ARP攻击 　　还是老哥(公司网络部老员工)对我好。原理清楚了，赶紧干活，省得又熬到凌晨去!对了，正好现在192.168.0.1那个网段中午的时候还有ARP攻击现象，你老去解