计算机网络安全——ARP攻击与防范pptPowerPo.pptxVIP

计算机网络安全 ——ARP攻击与防范常规企业局域网架构局域网正常网络流量状态ARP地址欺骗攻击现象分析ARP地址欺骗攻击现象分析攻击现象实例 1 黑客利用ARP协议存在的缺陷，侵入某台电脑之后发送ARP欺骗攻击数据包，造成局域网内所有用户在访问网络时，收到的都是带毒的网页。如果中毒电脑是位于数据中心内的服务器，则其所在vlan内的其他网站服务器在响应用户的http请求时，返回的页面也将带毒，这样遭受危害的客户端机器会以几何级数迅速增多，危害极为严重。 攻击现象实例 ARP地址欺骗攻击现象分析攻击现象实例 2 黑客侵入一台Web服务器后植入网页木马，使用ARP病毒感染该服务器，该服务器开始向网络内其他服务器发起ARP欺骗攻击，修改同一网络内其他服务器向客户端响应的服务数据，导致其他服务器本身虽然没有感染病毒，但是通过网关向客户端返回的http数据均被插入网页木马。 ARP地址欺骗攻击现象分析攻击现象实例 3 位于一个企业网络内的主机A在访问该中毒服务器时，被网页木马所带的ARP病毒感染，于是也在企业网络内发起ARP欺骗攻击，ARP病毒修改了本网内所有主机访问外部网络的http数据，在所有http页面中插入了网页木马，主机A成为传播ARP病毒的帮凶，通过这种方式，该病毒将会迅速传播。 ARP地址欺骗攻击现象分析攻击现象实例 4 病毒制造者结合电子邮件、USB设备、IM软件、局域网共享、入侵大型网站“挂马”等传播方式，病毒可以在很短的时间内影响整个互联网。在感染用户计算机以后与安全软件对抗，窃取用户资料、破坏计算机系统是此类蠕虫的危害所在，会造成极大的经济损失。ARP地址欺骗攻击现象分析ARP地址欺骗造成具体网络现象办公局域网中,访问互联网资源数据,通信会出现时断时续现象。打开任何网页出现报错无法打开、网页跳转现象。访问任何正常的互联网资源,防护监控提示发现病毒。局域网中大面积计算机无法访问互联网资源,并出现断网现象。计算机用户本地信息被窃取，破坏。ARP地址欺骗攻击现象分析时断时续现象常见通信软件：IE浏览器、腾讯QQ、MSN等通信异常。访问网页跳转IE浏览网页被劫持，出现跳转，IE主页被篡改。网络出现断网网络中大量计算机出现无法访问断网情况。计算机节点网络通信原理计算机节点网络通信原理ARP欺骗攻击现象概述 ARP欺骗攻击不仅仅是病毒传播，更主要结合网络通信协议漏洞，网络地址欺骗攻击等多种攻击形式，威胁波及范围包含网络中所有计算机的安全。所以针对此类安全威胁防护方法，不仅仅是单台计算机安全防护。需要采用有整体网络防护措施，才可以有效预防此类网络安全攻击。计算机节点网络通信原理网络通信节点 局域网络中的每一台计算机都是通信节点，大家常见的路由器，不同网段的网络接口（也称作网关）也属于通信节点，在同一网段中，每个通信节点都对应一个网络接口，每个网络接口都对应唯一的IP地址（32位2进制编码），与物理mac地址标识（48位2进制编码）。IPCONFIG -all计算机节点网络通信原理通信节点数据传输过程：这里我们模拟局域网中通信通信节点流程并列举了3个通信节点实例客户节点 A IP地址： mac地址： 00-11-21-d6-75-00网关节点 B IP地址： mac地址： 00-11-21-d6-75-01服务节点 C IP地址： mac地址： 00-11-21-d6-75-02计算机节点网络通信原理 客户机A 与服务器C通信流程：客户机A － 网关节点B－互联网internet－服务器C（数据通信方向从A到C）服务器C －互联网internet－网关节点B － 客户机A（数据通信方向从C到A）计算机节点网络通信原理 客户机A 与服务器C通信流程： 在同一网段网络环境中，任何通信节点间在传输数据之前，需要知道对方的mac地址：只有知道对方的mac地址后，才可以把应用数据包发送给指定通信节点。 客户机A 在发送应用数据包给网关节点B之前，获取网关通信节点的mac地址。 本机如何获取对方通信节点的mac地址，这里就用arp通过协议来完成询问获取对发通信节点的mac地址。ARP通信协议详解ARP通信协议详解什么是ARP ？英文：Address Resolution Protocol 中文：（RFC-826）地址解析协议 局域网中，网络中实际传输的是“帧”，里面有目标主机的MAC地址的。“地址解析”就是主机在发送帧前，将目标IP地址转换成目标MAC地址的过程。 ARP协议的基本功能就是通过目标设备的IP地址，查询目标设备的MAC地址以保证通信的顺利进行。 ARP通信协议详解ARP的高速缓存列表 ARP高效运行的关键是由于每个主机上都有一个ARP高速缓存列表。 这个高速缓存存放了最近IP地址到硬件地址之间的映射记录。高速缓存中每一项