计算机网络安全——ARP攻击与防范pptPowerPo.pptx
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
什么是ARP ?
英文:Address Resolution Protocol 中文:(RFC-826)地址解析协议
局域网中,网络中实际传输的是“帧”,里面有目标主 机的MAC地址的。“地址解析”就是主机在发送帧前,将目 标IP地址转换成目标MAC地址的过程。
ARP协议的基本功能就是通过目标设备的IP地址,查询 目标设备的MAC地址以保证通信的顺利进行。
ARP通信协议详解
ARP的高速缓存列表
ARP高效运行的关键是由于每个主机上都有一个ARP 高速缓存列表。 这个高速缓存存放了最近IP地址到硬件地 址之间的映射记录。高速缓存中每一项的生存时间一般为 2 0分钟,起始时间从被创建时开始算起.可以用ARP命令来 检查ARP高速缓存。参数-a的意思是显示高速缓存中所有 的内容。
攻击现象实例
ARP地址欺骗攻击现象分析
攻击现象实例 2
黑客侵入一台Web服务器后植入网页木马,使用ARP病毒 感染该服务器,该服务器开始向网络内其他服务器发起ARP欺 骗攻击,修改同一网络内其他服务器向客户端响应的服务数 据,导致其他服务器本身虽然没有感染病毒,但是通过网关 向客户端返回的http数据均被插入网页木马。
前,需要知道对方的mac地址:只有知道对方的mac地址后, 才可以把应用数据包发送给指定通信节点。
客户机A 在发送应用数据包给网关节点B之前,获取网 关通信节点的mac地址。
本机如何获取对方通信节点的mac地址,这里就用arp通 过协议来完成询问获取对发通信节点的mac地址。
ARP通信协议详解
wenku.baidu.com
ARP通信协议详解
ARP地址欺骗攻击现象分析
攻击现象实例 3
位于一个企业网络内的主机A在访问该中毒服务器时,被 网页木马所带的ARP病毒感染,于是也在企业网络内发起ARP 欺骗攻击,ARP病毒修改了本网内所有主机访问外部网络的 http数据,在所有http页面中插入了网页木马,主机A成为传播 ARP病毒的帮凶,通过这种方式,该病毒将会迅速传播。
ARP地址欺骗攻击现象分析
攻击现象实例 4
病毒制造者结合电子邮件、USB设备、IM软件、局域网 共享、入侵大型网站“挂马”等传播方式,病毒可以在很短 的时间内影响整个互联网。在感染用户计算机以后与安全软 件对抗,窃取用户资料、破坏计算机系统是此类蠕虫的危害 所在,会造成极大的经济损失。
ARP地址欺骗攻击现象分析
计算机节点网络通信原理
通信节点数据传输过程:
这里我们模拟局域网中通信通信节点流程并列举了3个通信节点实例 客户节点 A IP地址:192.168.1.1 mac地址: 00-11-21-d6-75-00 网关节点 B IP地址:192.168.1.2 mac地址: 00-11-21-d6-75-01 服务节点 C IP地址:211.1.21.5 mac地址: 00-11-21-d6-75-02
arp -a arp -d arp -s
ARP地址欺骗原理分析
防范和应对ARP欺骗病毒
ARP欺骗的原理:
所谓的ARP欺骗又大致分两种:
一种是对网关进行欺骗——原理是通知网关一系列错误的内网MAC地址, 并按一定频率使网关不断的进行更新,从而导致真实的地址信息无法保存在网 关的ARP列表中。结果网关就会把所有的数据发送给错误的并不存在的地址去, 造成正常的客户端无法收到信息,所以内网的PC就无法上网;
ARP通信协议详解
计算机本地ARP缓存列表显示:
ARP通信协议详解
ARP命令参数
语法
arp [-a [InetAddr] [-N IfaceAddr]] [-g [InetAddr] [-N IfaceAddr]]
[-d InetAddr [IfaceAddr]] [-s InetAddr EtherAddr [IfaceAddr]]
计算机网络安全 ——ARP攻击与防范
常规企业局域网架构
局域网正常网络流量状态
ARP地址欺骗攻击现象分析
ARP地址欺骗攻击现象分析
攻击现象实例 1
黑客利用ARP协议存在的缺陷,侵入某台电脑之后发送ARP 欺骗攻击数据包,造成局域网内所有用户在访问网络时,收到 的都是带毒的网页。如果中毒电脑是位于数据中心内的服务器 ,则其所在vlan内的其他网站服务器在响应用户的http请求时, 返回的页面也将带毒,这样遭受危害的客户端机器会以几何级 数迅速增多,危害极为严重。
计算机节点网络通信原理
客户机A 与服务器C通信流程:
客户机A -> 网关节点B->互联网internet->服务器C(数据通信方向从A到C) 服务器C ->互联网internet->网关节点B -> 客户机A(数据通信方向从C到A)
计算机节点网络通信原理
客户机A 与服务器C通信流程: 在同一网段网络环境中,任何通信节点间在传输数据之
ARP地址欺骗攻击现象分析
时断时续现象
常见通信软件:IE浏览器、腾讯QQ、MSN等通信异常。
访问网页跳转
IE浏览网页被劫持,出现跳转,IE主页被篡改。
网络出现断网
网络中大量计算机出现无法访问断网情况。
计算机节点网络通信原理
计算机节点网络通信原理
ARP欺骗攻击现象概述 ARP欺骗攻击不仅仅是病毒传播,更主要结合网络通信协议 漏洞,网络地址欺骗攻击等多种攻击形式,威胁波及范围包含 网络中所有计算机的安全。所以针对此类安全威胁防护方法, 不仅仅是单台计算机安全防护。需要采用有整体网络防护措施 ,才可以有效预防此类网络安全攻击。
计算机节点网络通信原理
网络通信节点 局域网络中的每一台计算机都是通信节点,大家常见的路 由器,不同网段的网络接口(也称作网关)也属于通信节点, 在同一网段中,每个通信节点都对应一个网络接口,每个网络 接口都对应唯一的IP地址(32位2进制编码),与物理mac地址 标识(48位2进制编码)。
IPCONFIG -all
ARP地址欺骗造成具体网络现象
1. 办公局域网中,访问互联网资源数据,通信会出现时断时续现象。 2. 打开任何网页出现报错无法打开、网页跳转现象。 3. 访问任何正常的互联网资源,防护监控提示发现病毒。 4. 局域网中大面积计算机无法访问互联网资源,并出现断网现象。 5. 计算机用户本地信息被窃取,破坏。
英文:Address Resolution Protocol 中文:(RFC-826)地址解析协议
局域网中,网络中实际传输的是“帧”,里面有目标主 机的MAC地址的。“地址解析”就是主机在发送帧前,将目 标IP地址转换成目标MAC地址的过程。
ARP协议的基本功能就是通过目标设备的IP地址,查询 目标设备的MAC地址以保证通信的顺利进行。
ARP通信协议详解
ARP的高速缓存列表
ARP高效运行的关键是由于每个主机上都有一个ARP 高速缓存列表。 这个高速缓存存放了最近IP地址到硬件地 址之间的映射记录。高速缓存中每一项的生存时间一般为 2 0分钟,起始时间从被创建时开始算起.可以用ARP命令来 检查ARP高速缓存。参数-a的意思是显示高速缓存中所有 的内容。
攻击现象实例
ARP地址欺骗攻击现象分析
攻击现象实例 2
黑客侵入一台Web服务器后植入网页木马,使用ARP病毒 感染该服务器,该服务器开始向网络内其他服务器发起ARP欺 骗攻击,修改同一网络内其他服务器向客户端响应的服务数 据,导致其他服务器本身虽然没有感染病毒,但是通过网关 向客户端返回的http数据均被插入网页木马。
前,需要知道对方的mac地址:只有知道对方的mac地址后, 才可以把应用数据包发送给指定通信节点。
客户机A 在发送应用数据包给网关节点B之前,获取网 关通信节点的mac地址。
本机如何获取对方通信节点的mac地址,这里就用arp通 过协议来完成询问获取对发通信节点的mac地址。
ARP通信协议详解
wenku.baidu.com
ARP通信协议详解
ARP地址欺骗攻击现象分析
攻击现象实例 3
位于一个企业网络内的主机A在访问该中毒服务器时,被 网页木马所带的ARP病毒感染,于是也在企业网络内发起ARP 欺骗攻击,ARP病毒修改了本网内所有主机访问外部网络的 http数据,在所有http页面中插入了网页木马,主机A成为传播 ARP病毒的帮凶,通过这种方式,该病毒将会迅速传播。
ARP地址欺骗攻击现象分析
攻击现象实例 4
病毒制造者结合电子邮件、USB设备、IM软件、局域网 共享、入侵大型网站“挂马”等传播方式,病毒可以在很短 的时间内影响整个互联网。在感染用户计算机以后与安全软 件对抗,窃取用户资料、破坏计算机系统是此类蠕虫的危害 所在,会造成极大的经济损失。
ARP地址欺骗攻击现象分析
计算机节点网络通信原理
通信节点数据传输过程:
这里我们模拟局域网中通信通信节点流程并列举了3个通信节点实例 客户节点 A IP地址:192.168.1.1 mac地址: 00-11-21-d6-75-00 网关节点 B IP地址:192.168.1.2 mac地址: 00-11-21-d6-75-01 服务节点 C IP地址:211.1.21.5 mac地址: 00-11-21-d6-75-02
arp -a arp -d arp -s
ARP地址欺骗原理分析
防范和应对ARP欺骗病毒
ARP欺骗的原理:
所谓的ARP欺骗又大致分两种:
一种是对网关进行欺骗——原理是通知网关一系列错误的内网MAC地址, 并按一定频率使网关不断的进行更新,从而导致真实的地址信息无法保存在网 关的ARP列表中。结果网关就会把所有的数据发送给错误的并不存在的地址去, 造成正常的客户端无法收到信息,所以内网的PC就无法上网;
ARP通信协议详解
计算机本地ARP缓存列表显示:
ARP通信协议详解
ARP命令参数
语法
arp [-a [InetAddr] [-N IfaceAddr]] [-g [InetAddr] [-N IfaceAddr]]
[-d InetAddr [IfaceAddr]] [-s InetAddr EtherAddr [IfaceAddr]]
计算机网络安全 ——ARP攻击与防范
常规企业局域网架构
局域网正常网络流量状态
ARP地址欺骗攻击现象分析
ARP地址欺骗攻击现象分析
攻击现象实例 1
黑客利用ARP协议存在的缺陷,侵入某台电脑之后发送ARP 欺骗攻击数据包,造成局域网内所有用户在访问网络时,收到 的都是带毒的网页。如果中毒电脑是位于数据中心内的服务器 ,则其所在vlan内的其他网站服务器在响应用户的http请求时, 返回的页面也将带毒,这样遭受危害的客户端机器会以几何级 数迅速增多,危害极为严重。
计算机节点网络通信原理
客户机A 与服务器C通信流程:
客户机A -> 网关节点B->互联网internet->服务器C(数据通信方向从A到C) 服务器C ->互联网internet->网关节点B -> 客户机A(数据通信方向从C到A)
计算机节点网络通信原理
客户机A 与服务器C通信流程: 在同一网段网络环境中,任何通信节点间在传输数据之
ARP地址欺骗攻击现象分析
时断时续现象
常见通信软件:IE浏览器、腾讯QQ、MSN等通信异常。
访问网页跳转
IE浏览网页被劫持,出现跳转,IE主页被篡改。
网络出现断网
网络中大量计算机出现无法访问断网情况。
计算机节点网络通信原理
计算机节点网络通信原理
ARP欺骗攻击现象概述 ARP欺骗攻击不仅仅是病毒传播,更主要结合网络通信协议 漏洞,网络地址欺骗攻击等多种攻击形式,威胁波及范围包含 网络中所有计算机的安全。所以针对此类安全威胁防护方法, 不仅仅是单台计算机安全防护。需要采用有整体网络防护措施 ,才可以有效预防此类网络安全攻击。
计算机节点网络通信原理
网络通信节点 局域网络中的每一台计算机都是通信节点,大家常见的路 由器,不同网段的网络接口(也称作网关)也属于通信节点, 在同一网段中,每个通信节点都对应一个网络接口,每个网络 接口都对应唯一的IP地址(32位2进制编码),与物理mac地址 标识(48位2进制编码)。
IPCONFIG -all
ARP地址欺骗造成具体网络现象
1. 办公局域网中,访问互联网资源数据,通信会出现时断时续现象。 2. 打开任何网页出现报错无法打开、网页跳转现象。 3. 访问任何正常的互联网资源,防护监控提示发现病毒。 4. 局域网中大面积计算机无法访问互联网资源,并出现断网现象。 5. 计算机用户本地信息被窃取,破坏。