华盟网公开课四课程.pptx

浅谈内网安全讲师：T0reAd黑白之道

内网安全提起网络安全，人们自然就会想到病毒破坏和黑客攻击，其实不然。常规安全防御理念往往局限在网关级别、网络边界（防火墙、漏洞扫描、防病毒、IDS）等方面的防御，重要的安全设施大致集中于机房或网络入口处，在这些设备的严密监控下，来自网络外部的安全威胁大大减小。相反，来自网络内部的计算机客户端的安全威胁却是众多安全管理人员所普遍反映的问题。

什么是内网局域网（LocalAreaNetwork，LAN）是指在某一区域内由多台计算机互联成的计算机组。一般是方圆几千米以内。局域网可以实现文件管理、应用软件共享、打印机共享、工作组内的日程安排、电子邮件和传真通信服务等功能。局域网是封闭型的，可以由办公室内的两台计算机组成，也可以由一个公司内的上千台计算机组成。局域网，网吧、校园网、单位办公网都属于此类。

如何判断内网还是外网进入路由器或宽带猫、光猫的设置页面后在系统状态页里面查看“WAN口状态”的IP地址或广域网地址。如显示的是以下范围内的IP地址属于内网保留地址，即不是公网IP，而是属于私网IP（内网IP）:10.0.0.0-10.255.255.255172.16.0.0-172.31.255.255192.168.0.0-192.168.255.255

内网攻击分类广播风暴在局域网中，广播风暴是指当大量的广播数据存在于局域网中且无法处理时，这些数据就会占有大量的网络宽带，从而导致正常的数据无法被处理，使得局域网的数据处理性能下降，严重的话还会造成局域网彻底瘫痪。广播风暴产生的原因有多种，常见的有网线短路、网络中存在环路、傻瓜式换机、网卡损坏以及蠕虫病毒等。

内网攻击分类ARP攻击 对路由器ARP表的欺骗攻击这种ARP欺骗攻击的原理是截获网关数据。它发给路由器一系列错误的内网MAC地址，并按照一定的频率不断进行，使真实的地址信息无法通过更新保存在路由器中。结果路由器所有数据只能发送给错误的MAC地址，造成正常的计算机无法收到信息。 对内网计算机网关的欺骗攻击这种ARP欺骗攻击的原理是伪造网关，即建立假网关，让被它欺骗的计算机向假网关发送数据，而不是通过正常的路由器途径上网，使得网内的计算机无法正常上网。

内网攻击分类IP冲突攻击IP地址冲突是指在同一个局域网中，如果有两台计算机同时使用了相同的IP地址，或者其中一台计算机已经通过DHCP获取了一个IP地址，同时又有其他计算机被手动分配了与此相同的IP地址的现象。一旦出现IP地址冲突，则其中一台计算机将无法正常上网。IP冲突攻击只是ARP攻击的一部分，该种攻击方式能够在局域网中产生大量的ARP通信，造成局域网闭塞。黑客只要持续不断地发出伪造的ARP响应数据，就能更改目标计算机ARP缓存中的IP/MAC地址信息，造成目标计算机上不断显示IP地址冲突，使得目标计算机无法上网。

常见内网安全工具WiresharkCainNetfukeBeefNmapLcx.exe………

内网攻击演示ARP断网攻击命令arpspoof-i网卡-t目标ip网关

内网攻击演示

内网攻击演示内网嗅探攻击首先打开嗅探设置，选择本机的网卡，后边本机IP地址是选择完网卡之后自动生成的，我们不必考虑。然后选择下面圈出的Button,点击确定。

内网攻击演示打开ARP欺骗配置，这里应该注意的是iP地址的配置。这也是网上几篇文章比较模糊的地方。?

来源IP：攻击机的ip地址，并填写相应的MAC地址?

中间人IP:本机网关的IP和MAC，或者填写本机的IP及对应MAC都可以?

目标IP:?靶机的IP地址及MAC地址。这里的MAC可以不指定，软件会根据ip地址自动解析MAC?

欺骗模式：我们选择ARP_Respsnse?

确定完成

内网攻击演示搭载插件，选择修改器，在HTMLBody中写入文字

内网攻击演示点击开始之后，看到界面左侧的视图，我们可以查看到自己刚才的一些配置。同时在流量监视视图，我们看到已经有了ARP嗅探流量

内网攻击演示可以看到，已经欺骗成功

内网攻击演示先扫描IP地址

内网攻击演示扫描完后选择网关和要嗅探的ip

内网攻击演示当被嗅探的主机进行登录操作后即可嗅探到密码（网站登录演示）

内网攻击演示

内网攻击演示使用arpsoop工具

arpspoor-ieth0-t10.10.10.210.10.10.129（嗅探受害者IP）

注意：这里的10.10.10.2是网关，而10.10.10.129是受害者IP

开始截取受害者图片使用driftnet命令

driftnet-ieth0

内网攻击演示

内网渗透了解本机在网络中所占的角色ipconfig/all判断计算机的域netlocalgroupadmi