局域网ARP攻防专题.pptVIP

* 局域网ARP攻防专题 如何解决局域网时断时续的问题 第一部分 ARP欺骗攻击现象 现象一：局域网时断时续 办公局域网中经常会出现网络时断时续的情况，重启计算机后正常，然后网络依然不稳定。几乎整个局域网的计算机都不能幸免。 管理员在计算机上使用最新版本的杀毒软件查杀病毒，但查不到任何病毒，该问题导致企业办公网几乎瘫痪。 第一部分 ARP欺骗攻击现象 现象二：访问任何网页都报毒 局域网中的大部分计算机用户打开任何网站，防病毒软件的实时监控都提示病毒，甚至打开新浪，搜狐，百度这样的门户网站都提示病毒。 使用最新版本杀毒软件查不到任何病毒。 第一部分 ARP欺骗攻击现象 现象三：访问的任何网页都出现笑脸 局域网中的大部分计算机用户打开任何网站，网页左上角出现一个“-_-。”图标。 使用最新版本的杀毒软件查不到任何病毒。 第二部分 ARP欺骗分析原理 什么是ARP协议？ ? ARP协议用来把一个已知的IP地址解析成为MAC地址。 ? MAC地址是网卡的物理地址。如：00-50-56-C0-00-01 第二部分 ARP欺骗分析原理 如何查看本地的ARP缓存？ 开始—运行—输入cmd，打开命令行窗口。 输入arp –a，查看本地的ARP缓存。 第二部分 ARP欺骗分析原理 ARP缓存记录了什么内容？ 缓存表中动态记录了IP和MAC地址的映射关系。 如何正在上网，则必然存在一条网关的记录。 第二部分 ARP欺骗分析原理 ARP协议的目的？ 在局域网中，计算机之间的通讯是依赖网卡的物理地址，即MAC地址，如果仅知道对方计算机的IP地址，仍无法进行通讯，ARP协议的目的则是获取目标计算机的MAC地址。 第二部分 ARP欺骗分析原理 ARP协议工作原理。 第一步：查找自己的ARP缓存表中是否有目标计算机的MAC地址； 第二步：如果没有，初始化ARP请求，发送广播MAC地址； 第三步：网络中所有设备在接到请求后，交给网络层处理； 第四步：目标设备将源设备的IP地址和MAC地址缓存到ARP缓存表； 第五步：发送ARP回答，告诉源设备本机的MAC地址； 第六步：源设备接受到回应后，把目标设备的IP地址和MAC地址缓存到ARP表中； 第二部分 ARP欺骗分析原理 ARP欺骗的本质 ? 破坏ARP缓存表中的IP地址和MAC地址的映射关系； ? 将自己的MAC地址替换网关的MAC地址，破坏上网链路； ? 使通讯旁路，收集网络中进行通讯的数据包，获取用户信息或进行修改； 第二部分 ARP欺骗分析原理 病毒进行ARP欺骗现象剖析： 第三部分 如何防御ARP攻击 我们知道了什么是ARP攻击以及攻击原理，在办公局域网中，往往都有几十台甚至几百台计算机，一旦有计算机感染病毒发起ARP攻击，后果将不堪设想，不仅仅影响计算机上网，严重地可导致办公系统瘫痪，那么我们如何才能避免局域网中大面积出现ARP攻击的情况呢？ 第三部分 如何防御ARP攻击 最有效的办法——网关绑定 前面介绍了ARP攻击的原理是欺骗网关，那么我们可以采用网关绑定的办法使这种欺骗失效，这样的话即时局域网中有ARP攻击，进行网关绑定的计算机仍然可以安全上网。 绑定网关的方法有两种，手动绑定和利用软件绑定。 第三部分 如何防御ARP攻击 制作批处理文件手动绑定网关 打开记事本，写入以下两行命令： arp –d arp –s 网关IP 网关MAC 然后将文件名称命名为：网关绑定.bat（名称可自定，格式一定是bat） 第三部分 如何防御ARP攻击 制作批处理文件手动绑定网关 双击运行这个bat文件后，网关即可绑定成功。 我们看到，网关记录的状态Type为static，即静态，此时即使有其它计算机对本机进行ARP攻击，这条记录也不会有任何变化。 第三部分 如何防御ARP攻击 制作批处理文件手动绑定网关 由于每次重启系统后，arp缓存都被清空，那么我们绑定的网关记录也不再存在，因此有必要把制作的b