ARP病毒安全解决方案

1、ARP 病毒安全解决方案AgendaARP协议原理1ARP漏洞和攻击原理2ARP攻击的常用对策3Symantec终端安全解决方案42AgendaARP协议原理1ARP漏洞和攻击原理2ARP攻击的常用对策3Symantec终端安全解决方案43地址解析协议（Address Resolution Protocol，ARP）是在仅知道主机的IP地址时确定其物理地址的一种协议。ARP协议使用的是广播包的形式发送ARP的机制是信任局域网内的所有用户ARP协议介绍4路由192.168.0.1 00-11-22-33-44-01 A192.168.0.2 00-11-22-33-44-02 B192.168.

2、0.3 00-11-22-33-44-03 广播一个ARP请求包 广播一个ARP请求包 ARP应答 ARP协议工作原理5ARP命令的使用1.ARP命令的功能查看、添加和删除高速缓存区中的ARP表项2.Windows 2000 ARP高速缓冲区(1)包含动态和静态表项动态表项：随时间推移自动添加和删除静态表项：一直存在，直到人为删除或重新启动 (2)动态表项的计时器：潜在生命周期10min6显示高速cache中的ARP表7添加ARP静态表项8删除ARP表项9AgendaARP协议原理1ARP漏洞和攻击原理2ARP攻击的常用对策3Symantec终端安全解决方案410ARP漏洞何在 ARP协议并不

3、只在发送了ARP请求才接收ARP应答。当计算机接收到ARP应答数据包的时候，就会对本地的ARP缓存进行更新，将应答中的IP和MAC地址存储在ARP缓存中。因此，当局域网中的某台机器B向A发送一个自己伪造的ARP应答，而如果这个应答是B冒充路由伪造来的，即IP地址为C的IP，而MAC地址是路由的，则当A接收到B伪造的ARP应答后，就会更新本地的ARP缓存，这样在A看来C的IP地址没有变，而它的MAC地址已经路由的了。由于局域网的网络流通不是根据IP地址进行，而是按照MAC地址进行传输。所以，那个C的MAC地址在A上被改变成路由的MAC地址，这样就会造成A所发送到路由的数据会被发送到C！这就是一个

4、简单的ARP欺骗。这时A上网时就会掉线，而且数据就不安全了。11ARP攻击原理病毒机通过发布错误的ARP广播包，阻断正常通信，并将自己所用的电脑伪装成网关，这样往外发送的数据，就发到了病毒机上，然后病毒再通过本身的发送功能发送截到的信息给黑客，达到窃取数据的目的。12ARP病毒/ARP木马的分类ARP攻击 非网关型ARP攻击 网关型ARP攻击 中毒主机伪造成网络上的一台正常主机（IP），使所有原来应该送到正常主机的报文，全部送到中毒主机上，导致正常主机无法访问网络（此攻击类似于IP冲突，但是系统不会提示IP冲突）。此攻击同一时刻只影响网络中一台正常主机。此种攻击出现时，可以在三层交换机的ARP

5、表中看到一个MAC地址对应了多个IP地址。这个MAC地址就是中毒主机的MAC地址。 中毒主机伪造成网关，将网关的MAC地址改为网络中不存在的MAC地址或者中毒主机本身的MAC地址。这样在与中毒主机同一个VLAN中的主机在跨VLAN通迅时，报文指向了错误的网关，无法通迅，此攻击在同一时刻影响一个VLAN。此攻击出现时可以在不能上网的主机的ARP中看到网关地址对应的MAC为中毒主机的MAC地址或网络中不存在的MAC地址。 13类ARP病毒工具局域网内有某些用户使用了ARP欺骗程序如：网络执法官网络剪刀手P2P终结者传奇木马QQ盗号软件14ARP病毒的危害性整个局域网的用户上网会时通时断，严重影响网

6、络的正常使用病毒可能会盗取局域网内用户的网上应用的用户名和密码，从而造成更大损失15AgendaARP协议原理1ARP漏洞和攻击原理2ARP攻击的常用对策3Symantec终端安全解决方案416ARP欺骗对策1、在路由上绑定所有客户机地址。arp s IP MAC(单绑)2、在客户机绑定路由地址（双绑）3、在客户机绑定本机地址（三绑）但存在arp d，所以以上工作当在主动发起ARP欺骗时是无效的。17AgendaARP协议原理1ARP漏洞和攻击原理2ARP攻击的常用对策3Symantec终端安全解决方案418防护ARP欺骗Symantec终端安全解决方案基于应用程序的防火墙19防护ARP欺骗S

7、ymantec终端安全解决方案基于应用程序的防火墙 SPA客户端的拦截效果20防护ARP欺骗Symantec终端安全解决方案基于协议的驱动防护21防护ARP欺骗Symantec终端安全解决方案基于协议的驱动防护22防护ARP欺骗Symantec终端安全解决方案基于协议的驱动防护 SPA客户端的拦截效果23防护ARP欺骗Symantec终端安全解决方案主机入侵防御系统24防护ARP欺骗Symantec终端安全解决方案主机入侵防御系统 SPA客户端的拦截效果25防护ARP欺骗Symantec终端安全解决方案主机入侵防御系统 SPA客户端的拦截效果（续1）26防护ARP欺骗Symantec终端安全解

8、决方案主机入侵防御系统 SPA客户端的拦截效果（续2）27常见问题解答终端已经建立起来了ARP缓存表，为什么欺骗程序还可以得逞？防范规则中，只允许ndisiuo.sys对外发送ARP数据包（协议号0 x806），其他的全部禁止，这样有效果吗？IPS功能也只有当我的ARP缓存表中有IP-MAC对应关系才能报警和拦截，如果我的ARP缓存表中没有IP-MAC对应关系，我是怎么判断他是不是欺骗行为？28关于测试过程中断网现象的解释现象描述（一）：未安装SPA的电脑我们在内网中随便找了一台电脑测试这台电脑的IP地址29正确的MAC地址地址各不相同错误的MAC地址关于测试过程中断网现象的解释现象描述（一）

9、：未安装SPA的电脑机器很快中招，网关MAC被修改为攻击者的MAC在被欺骗时网络不中断，用户以为没有被攻击，其实回话已被劫持有时候也会断线30恢复正常关于测试过程中断网现象的解释现象描述（一）：未安装SPA的电脑如果攻击包暂停发送，网关MAC恢复正常在被欺骗和恢复正常的过程中，网络不中断，用户以为没有被攻击，其实回话已被劫持31关于测试过程中断网现象的解释现象描述（二）：安装了SPA的电脑正确的MAC地址地址各不相同32关于测试过程中断网现象的解释现象描述（二）：安装了SPA的电脑开始被攻击刷新缓存后才正常错误的MAC地址正确的MAC地址刷新缓存表33关于测试过程中断网现象的解释现象描述（二）：安装了SPA的电脑因为SPA拦截了攻击源，造成上互联网的数据包丢失，这期间网络会闪断一次，用户感觉明显，但是SPA其实是阻止了回话劫持错误的MAC地址正确的MAC地址刷新缓存表34测试过程中断网现象的解决办法原因分析ARP协议是不可信的通信解决办法给攻击源安装SPA全网部署SPA防火墙部署策略阻止攻击源MAC地址实际意义不大，因为