计算机与网络安全.pptVIP

ARP工作原理 假如主机A需要和主机D进行通讯，它首先会发现这个主机D的IP地址并不是自己同一个网段内的，因此需要通过网关来转发，这样的话它会检查自己的ARP缓存表里是否有网关对应的MAC地址，如果没有就通过ARP请求获得，如果有就直接与网关通讯，然后再由网关C通过路由将数据包送到网关E，网关E收到这个数据包后发现是送给主机D（）的，它就会检查自己的ARP缓存（没错，网关一样有自己的ARP缓存），看看里面是否有对应的MAC地址，如果没有就使用ARP协议获得，如果有就是用该MAC地址与主机D通讯。 第三十页，共六十七页。 ARP欺骗 Arp欺骗原理 主机在实现ARP缓存表的机制中存在一个不完善的地方，当主机收到一个ARP的应答包后，它并不会去验证自己是否发送过这个ARP请求，而是直接将应答包里的MAC地址与IP对应的关系替换掉原有的ARP缓存表里的相应信息。这就导致主机B截取主机A与主机D之间的数据通信成为可能 第三十一页，共六十七页。 ARP欺骗 主机b向网关C发送ARP应答包说：我是A我的MAC地址是02-02-02-02-02-02，主机b同时向主机A发送ARP应答包说：我是C我的MAC地址是02-02-02-02-02-02 B获得A发给C的数据，修改后发给C，同时获得C发给A的数据修改后发给A，实现了监听过程 第三十二页，共六十七页。 ARP攻击 几个概念： Arp缓存表 第三十三页，共六十七页。 ARP攻击 ARP数据包 13:10:44.802151 arp who-has tell 13:10:44.802607 arp reply is-at 00:00:0c:07:ac:00 第三十四页，共六十七页。 ARP攻击 什么情况下表明局域网内有ARP攻击 校园网登陆系统频繁掉线 网速突然变慢 使用ARP –a命令发现网关的MAC地址不停的变换 使用sniffer软件发现局域网内存在大量的ARP reply包 第三十五页，共六十七页。 ARP攻击 如何发现正在进行ARP攻击的主机 1、在知道正确的网关MAC的情况下，通过ARP –a命令看到的另一个网关MAC就是攻击主机的MAC 2、使用Sniffer软件抓包发现大量的以网关的IP地址发送的ARP reply包，包中指定的MAC就是攻击主机的MAC 3、使用我们开发的ARP保护程序发现攻击主机的MAC 第三十六页，共六十七页。 ARP攻击 如何处理感染主机 发现感染主机，第一时间拔掉网线 按照安全手册重新安装操作系统 第三十七页，共六十七页。 ARP攻击 目前已知的ARP病毒的传播途径 通过外挂程序传播 通过网页传播 通过其他木马程序传播 通过即时通讯软件传播（QQ、MSN） 通过共享传播（网络共享、P2P软件共享） 第三十八页，共六十七页。 ARP攻击 如何预防感染ARP病毒？ 关闭不必要的共享 及时安装系统补丁程序 安装防病毒软件并及时升级病毒库 不随便运行来历不明的程序 不访问一些来历不明的链接 第三十九页，共六十七页。 二、近期校园网常见安全问题 ARP攻击 系统入侵 第四十页，共六十七页。 近期校园网常见安全问题 系统入侵 多数被攻击的都是服务器，操作系统多为windows2000 server 或者linux 针对linux常利用的漏洞为：openssh 和 apche等软件的漏洞 针对windows2000 server更多的是利用网页编写本身的漏洞。。 第四十一页，共六十七页。 提纲 个人计算机的安全配置与使用规范 校园网近期安全问题 个人计算机常见安全问题与解决办法 讨论 第四十二页，共六十七页。 三、常见安全问题及解决方法 系统中的自启动程序 浏览器的恢复 本地病毒木马程序检查 第四十三页，共六十七页。 系统中的自启动程序 Windows支持多种在系统启动时自动加载应用程序的方法包括： 启动组 Boot.ini、win.ini、system.ini文件 注册表启动项 添加成系统服务 计划任务 动态库文件加载 第四十四页，共六十七页。 系统中的自启动程序 启动组和win.ini、system.ini 开始-〉程序-〉启动里面 对应的目录： C:\Documents and Settings\administrator\「开始」菜单\程序\启动\ C:\Boot.ini C:\Windows\Win.ini C:\Windows\system.ini 第四十五页，共六十七页。 系统中的自启动程序 注册表启动项 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run HKE