攻击和防范措施.pptxVIP

攻击和防范措施第1页/共28页 2023/6/192ARP地址欺骗类病毒ARP地址欺骗类病毒（以下简称ARP病毒）是一类特殊的病毒，该病毒一般属于木马(Trojan)病毒，不具备主动传播的特性，不会自我复制。但是由于其发作的时候会向全网发送伪造的ARP数据包，干扰全网的运行，因此它的危害比一些蠕虫还要严重得多。第2页/共28页 2023/6/193ARP病毒发作时的现象 使用校园网时会突然掉线，过一段时间后又恢复正常。用户频繁断网，IE浏览器频繁出错。一些常用软件出现故障。使用身份认证上网的用户，出现能够通过认证，但是无法上网的情况。?网络掉线，但网络连接正常，内网的部分PC机不能上网，或者所有电脑不能上网，无法打开网页或打开网页慢，局域网时断时续并且网速较慢等。?第3页/共28页 2023/6/194ARP病毒的危害导致网络大面积瘫痪盗取用户的QQ密码盗取各种网络游戏密码和账号第4页/共28页 2023/6/195ARP病毒的原理通过伪造IP地址和MAC地址实现ARP欺骗，能够在网络中产生大量的ARP通信量使网络阻塞。 第5页/共28页 2023/6/196ARP协议ARP（AddressResolutionProtocol）地址解析协议用于将计算机的网络IP地址转化为物理MAC地址。ARP协议的基本功能就是通过目标设备的IP地址，查询目标设备的MAC地址，以保证通信的顺利进行。 第6页/共28页 2023/6/197主机与主机之间的通信 我们以主机A（192.168.0.1）向主机B（192.168.0.2）发送数据为例。 A （192.168.0.1）B （192.168.0.2）第7页/共28页 2023/6/198完成通信的必备条件一台主机要和另一台主机进行通信，必须要知道目标主机?的IP地址，但是最终负责在局域网中传送数据的网卡等物理设备是不识别IP地址的，只能识别其硬件地址即MAC地址。 IPMACARP协议第8页/共28页 2023/6/199ARP缓存表 保存这网络中各个电脑的IP地址和MAC地址的对照关系。特点：能够不断更新缓存表，添加原来没有的IP和MAC地址，以便下次访问。 第9页/共28页 2023/6/1910主机与主机之间的通信主机A的缓存表中有主机B的IP和MAC地址，这种情况可以直接完成通信。A （192.168.0.1）B （192.168.0.2）第10页/共28页 2023/6/1911主机与主机之间的通信主机A的缓存表中没有主机B的IP和MAC地址。主机A向整个局域网中发送广播，获得主机B的MAC地址，最终实现通信，并将其添加到自己的缓存表中。A （192.168.0.1）B （192.168.0.2）第11页/共28页 2023/6/1912从上面两台机器之间的通信过程可以看出：整个数据传送是建立在对局域网中电脑全部信任的基础上的，也就是说它的假设前提是：无论局域网中那台电脑，其发送的ARP数据包都是正确?的。 第12页/共28页 2023/6/1913ARP欺骗的过程 假设局域网中有三台机器，其中一?个电脑名叫A，代表攻击方；一台电脑叫S，代表源主机，即发送数据的电脑；令一台电脑名叫D，代表目的主机，即接收数据的电脑 第13页/共28页 2023/6/1914ARP病毒电脑的定位方法 命令行法 原理：当局域网中发生ARP欺骗的时候，ARP病毒电脑会向全网不停地发送ARP欺骗广播，这时局域网中的其它电脑就会动态更新自身的ARP缓存表，将网?关的MAC地址记录成ARP病毒电脑的MAC地址，这时候我们只要在其它受影响的电脑中查询一下当前网关的MAC地址，就知道中毒电脑的MAC地址了 第14页/共28页 2023/6/1915ARP病毒电脑的定位方法命令行法方法：在MS-DOS下输入arp –a命令然后回车，输入后的返回信息如下： Internet?Address??????Physical?Address????????Type?192.168.0.1?????????? 00-50-56-e6-49-56?????? dynamic由于这个电脑的ARP表是错误的记录，因此，该MAC地址不是真正网关的MAC地址，?而是中毒电脑的MAC地址！这时，再根据网络正常时，全网的IP—MAC地址对照表，查找中毒电脑的IP地址就可以了。 第15页/共28页 2023/6/1916ARP病毒电脑的定位方法工具软件法 (ARP防火墙 Anti?ARP?Sniffer )1.首先打开Anti?ARP?Sniffer?软件，输入网关的IP地址之后，再点击红色框内的“枚举MAC”按钮，即可获得正确网关的MAC地址。第16页/共28页 2023/6/1917第17页/共28页 20