瑞星信息安全培训.PDF

C U S T O M E R S E R V I C E C E N T E R 客户服务中心 瑞星信息安全培训 网络ARP 地址欺骗攻击防护课程 一、 ARP 地址欺骗攻击现象分析 1. ARP 地址欺骗造成具体网络现象  办公局域网中访问互联网资源数据通信会出现时断时续现象。  打开任何网页出现报错无法打开、网页跳转现象。  任何正常的互联网资源访问防护监控提示发现病毒。  局域网中大面积计算机无法访问互联网资源出现断网现象。  计算机用户本地信息被窃取，破坏。 2. 时断时续现象 常见通信软件：IE 浏览器、腾讯QQ、MSN 等通信异常。 3. 访问网页跳转 IE 浏览网页被劫持，出现跳转，IE 主页被篡改。 4. 网络出现断网 网络中大量计算机出现无法访问断网情况。 二、 ARP 欺骗攻击现象概述 ARP 欺骗攻击不仅仅是病毒传播，更主要结合网络通信协议漏洞，网络地址欺骗攻击等多种 攻击形式，威胁波及范围包含网络中所有计算机的安全。所以针对此类安全威胁防护方法， 不仅仅是单台计算机安全防护。需要采用有整体网络防护措施，才可以有效预防此类网络安 全攻击。 三、 计算机节点网络通信原理 1. 网络通信节点 局域网络中的每一台计算机都是通信节点，大家常见的路由器各个不同网段的网络接口（也 称作网关）也属于通信节点，在同一网段中，每个通信节点都对应一个网络接口，每个网络 接口都对应唯一的IP 地址（32 位2 进制编码），与物理mac 地址标识（48 位2 进制编码）。 2. 通信节点数据传输过程： 这里我们模拟局域网中通信通信节点流程并列举了3 个通信节点实例 客户节点 A IP 地址：192.168.1.1 mac 地址： 00-11-21-d6-75-00 网关节点 B IP 地址：192.168.1.2 mac 地址： 00-11-21-d6-75-01 服务节点 C IP 地址：211.1.21.5 mac 地址： 00-11-21-d6-75-02 3. 客户机A 与服务器C 通信流程： 第 1/10 页 北京瑞星信息技术有限公司 C U S T O M E R S E R V I C E C E N T E R 客户服务中心 客户机A － 网关节点B－互联网internet－服务器C （数据通信方向从A 到C ） 服务器C －互联网internet－ 网关节点B － 客户机A （数据通信方向从C 到A ） 4. 客户机A 与服务器C 通信流程： 在同一网段网络环境中，任何通信节点间在传输应用数据之前，需要知道对发的mac 地址： 只有知道对方的 mac 地址后，才可以把应用数据包发送给指定通信节点。（由于交换机通过 数据报文的目的mac 地址判断转发数据。） 这里面客户机A 在发送应用数据包给网关节点B 之前，获取网关通信节点的mac 地址。 本机如何获取对方通信节点的mac 地址，这里就用arp 通过协议来完成询问获取对发通信节 点的mac 地址。 四、ARP 通信协议详解 1. 什么是ARP ？ 英文：Address Resolution Protocol 中文：（RFC-826 ）地址解析协议 局域网中，网络中实际传输的是“帧”，里面有目标主机的MAC 地址的。“地址解析”就是主 机在发送帧前将目标IP 地址转换成目标MAC 地址的过程。 ARP 协议的基本功能就是通过目标设备的 IP 地址，查询目标设备的 MAC 地址