网络安全知识介绍

瑞星信息安全培训网络安全知识介绍网络ARP地址欺骗攻击防护课程瑞星信息安全培训ARP地址欺骗攻击现象分析ARP地址欺骗造成具体网络现象办公局域网中访问互联网资源数据通信会出现时断时续现象。打开任何网页出现报错无法打开、网页跳转现象。任何正常的互联网资源访问防护监控提示发现病毒。局域网中大面积计算机无法访问互联网资源出现断网现象。计算机用户本地信息被窃取，破坏。瑞星信息安全培训时断时续现象ARP地址欺骗攻击现象分析常见通信软件：IE浏览器、腾讯QQ、MSN等通信异常。访问网页跳转IE浏览网页被劫持，出现跳转，IE主页被篡改。网络出现断网网络中大量计算机出现无法访问断网情况。瑞星信息安全培训北京瑞星国际软件有限公司

《计算机节点网络通信原理》网络ARP地址欺骗攻击防护课程瑞星信息安全培训ARP地址欺骗攻击现象分析

ARP欺骗攻击不仅仅是病毒传播，更主要结合网络通信协议漏洞，网络地址欺骗攻击等多种攻击形式，威胁波及范围包含网络中所有计算机的安全。所以针对此类安全威胁防护方法，不仅仅是单台计算机安全防护。需要采用有整体网络防护措施，才可以有效预防此类网络安全攻击。ARP欺骗攻击现象概述瑞星信息安全培训计算机节点网络通信原理网络通信节点

局域网络中的每一台计算机都是通信节点，大家常见的路由器各个不同网段的网络接口（也称作网关）也属于通信节点，在同一网段中，每个通信节点都对应一个网络接口，每个网络接口都对应唯一的IP地址（32位2进制编码），与物理mac地址标识（48位2进制编码）。瑞星信息安全培训计算机节点网络通信原理通信节点数据传输过程：这里我们模拟局域网中通信通信节点流程并列举了3个通信节点实例客户节点AIP地址：

mac地址：

00-11-21-d6-75-01网关节点BIP地址：

mac地址：

00-11-21-d6-75-02服务节点CIP地址：mac地址：

00-11-21-d6-75-03瑞星信息安全培训客户机A与服务器C通信流程：

计算机节点网络通信原理服务器C

－>互联网internet－>网关节点B－>

客户机A（数据通信方向从C到A）客户机A

－>网关节点B－>互联网internet－>服务器C（数据通信方向从A到C）瑞星信息安全培训计算机节点网络通信原理在同一网段网络环境中，任何通信节点间在传输应用数据之前，需要知道对发的mac地址：只有知道对方的mac地址后，才可以把应用数据包发送给指定通信节点。（由于交换机通过数据报文的目的mac地址判断转发数据。）这里面客户机A在发送应用数据包给网关节点B之前，获取网关通信节点的mac地址。本机如何获取对方通信节点的mac地址，这里就用arp通过协议来完成询问获取对发通信节点的mac地址。

客户机A与服务器C通信流程：瑞星信息安全培训ARP通信协议详解解什么是ARP？英文：AddressResolutionProtocol中文：（RFC-826）地址解析协协议局域网中，网网络中实际传传输的是“帧帧”，里面有有目标主机的的MAC地址的。“地地址解析”就就是主机在发发送帧前将目目标IP地址转换成目目标MAC地址的过程。。ARP协议的基本功功能就是通过过目标设备的的IP地址，查询目目标设备的MAC地址以保证通通信的顺利进进行。瑞星信息安全全培训ARP的高速缓存列列表ARP通信协议详解解ARP高效运行的关关键是由于每每个主机上都都有一个ARP高速缓存列表表。这个高高速缓存存放放了最近IP地址到硬件地地址之间的映映射记录。高高速缓存中每每一项的生存存时间一般为为20分钟，起始始时间从被被创建时开开始算起.可以用ARP命令来检查查ARP高速缓存。。参数-a的意思是显显示高速缓缓存中所有有的内容。。瑞星信息安安全培训计算机本地地ARP缓存列表显显示：ARP通信协议详详解瑞星信息安安全培训ARP数据分组格格式ARP通信协议详详解瑞星信息安安全培训ARP命令参数ARP通信协议详详解语法arp[-a[InetAddr][-NIfaceAddr]][-g[InetAddr][-NIfaceAddr]][-dInetAddr[IfaceAddr]][-sInetAddrEtherAddr[IfaceAddr]]arp－a查看看缓缓冲冲列列表表arp－d删除除arp缓冲冲（（包包含含静静态态））arp－s绑定定IP+MAC瑞星星信信息息安安全全培培训训ARP地址址解解析析流流程程当一一台台主主机机把把以以太太网网数数据据帧帧发发送送到到位位于于同同一一局局域域网网上上的的另另一一台台主主机机时时，，是是根根据据48bit的以以太太网网地地址址来来确确定定目目的的接接口口的的。。ARP通信协议议详解ARP（地址解解析协议议）和RARP（逆地址址解析协协议）瑞星信息息安全培培训ARP地址欺骗骗原理分分析ARP欺骗方式式：1对路由器器交换机机ARP表的欺骗骗2对内网计计算机ARP表中网关关IP、mac记录欺骗骗瑞星信息息安全培培训ARP攻击欺骗骗原理：：ARP地址欺骗骗原理分分析通过发送送广播arp通信欺骗骗包，改改变网络络中所有有正常通通信的计计算机的的本地arp缓存列列表中中网络络通信信节点点的IP与mac的正确确对应应关系系。（（尤其其网关关通信信节点点的IP与mac对应关关系））这样样改变变所有有计算算机的的通信信流向向。瑞星信信息安安全培培训必须知知道的的欺骗攻攻击实实例：：这里我我们模模拟局局域网网中通通信通通信节节点流流程并并列举举了3个通信信节点点实例例客户节节点AIP地址：：mac地址：：00-11-21-d6-75-00网关节节点BIP地址：：mac地址：：00-11-21-d6-75-01服务节节点CIP地址：：mac地址：：00-11-21-d6-75-02ARP地址欺欺骗原原理分分析瑞星信信息安安全培培训客户机机A与服务务器C通信流流程：：服务器器C－>互联网网internet－>网关节节点B－>客户机机A（数据据通信信方向向从C到A）客户机机A－>网关节节点B－>互联网网internet－>服务器器C（数据据通信信方向向从A到C）ARP地址欺欺骗原原理分分析瑞星信信息安安全培培训局域网网正常常网络络流量量状态态ARP地址欺欺骗原原理分分析瑞星信信息安安全培培训ARP地址欺欺骗原原理分分析如果现现在网网络中中存在在欺骗骗源计计算机机D（IP：）mac地址：：macD不断发发送arp欺骗包包，包包的内内容网网关关节点点IP：与mac地址：：macD（是欺欺骗源源计算算机D的mac地址））。这这样所所有计计算机机的arp表中的的网关关的IP的对应应的mac正确记记录被被篡改改，前前面介介绍，，节点点通信信是利利用对对方的的mac地址所所以所所有计计算机机arp中的网网关IP记录被被篡改改后，，改变变了计计算机机的通通信方方向。。局域中中出现现ARP欺骗源源计算算机瑞星信信息安安全培培训局域网网中异异常计计算机机发送送大量量APR协议欺欺骗广广播包包ARP地址欺欺骗原原理分分析瑞星信息安安全培训攻击机DARP地址欺骗原原理分析客户机节点点A－>欺骗源节点点D－>网关节点B－>互联网－>服务务器器节节点点C（数数据据通通信信方方向向从从A到C）服务务器器节节点点C－>互联联网网－－>网关关节节点点B－>欺骗骗源源节节点点D－>客户户机机节节点点A（数数据据通通信信方方向向从从C到A）计算算机机遭遭受受arp攻击击后后会会出出现现以以下下情情况况瑞星信息安全全培训ARP欺骗目的：ARP地址欺骗原理理分析网络通信网络络中转攻击后后进行黑客很很容易在所有有通信数据中中实现病毒入入侵。这样主主机A与服务器C的通信，中间间数据被中转转监听，窃取取。所有正常常数据流相对对ARP欺骗源计算机机D，是透明的,可以任意篡改改数据包中的的内容，植入入大量木马病病毒与黑客程程序，目的：：获取用户信信息。瑞星信息安全全培训网络APR地址欺骗攻击击改变计算机机通信路径ARP地址欺骗原理理分析瑞星信息安全全培训攻击机DIP地址非法攻击击现象1非法的IP地址即IP地址不在规划划的局域网范范围内。重复的IP地址与已经分分配且正在局局域网运行的的合法的IP地址发生资源源冲冲突，使合合法用户无法法上网。3冒用合法用户户的IP地址当合法用用户不在线时时，冒用其IP地址联网，使使合法用户无法法正常访问网网络。ARP地址欺骗原理理分析瑞星信息安全全培训网络ARP地址欺骗的主主动防护ARP欺骗不仅仅是是病毒传播，，更结合网络通信漏洞洞＋网络地址址欺骗攻击＋＋病毒传播所以针对此类类安全攻击，，需要考虑整整体安全防护护与网络通信信安全，不仅仅仅是单台计计算机的安全全防护。ARP攻击防护方法法计算机本地arp表记录绑定2.网络中限制arp欺骗包传播瑞星信息安全全培训如何启用计算算机ARP主动防御1制作MAC地址绑定批处处理文件2生成文件加入入计算机启动动项，开机自自动运行网络ARP地址欺骗的主主动防护瑞星信息安全全培训计算机如何手手动设置防范范ARP攻击网络ARP地址欺骗的主主动防护1计算机“新建建”→“文本本文档”2在文本中输入入如下内容：arp––darp––s网关IP地址网网关MAC地址瑞星信息安全全培训网络ARP地址欺骗的主主动防护例如：编写完文件名名后，另存为为.bat文件格式，同同时防护计算算启动目录即即可。瑞星信息安全全培训计算机启用ARP主动防御特点点1简单有效2方案可操作性性3快速部署4主动防御ARP欺骗攻击5保障企业业务务资源正常运运行网络ARP地址欺骗的主主动防护瑞星信息安全全培训根据企业的实实际情况网络络安全管理进进行规划网络ARP地址欺骗的主主动防护ARP绑定往往简单有效效是最实用的的，只要主机机绑定，就不不会收到arp攻击，通信数数据不会被中中转窃取，也也不会感染后后期中转植入入病毒，计算算机不会出现现时断时续现现象，同时不不会出现网页页跳转，并且且arp记录绑定方法法方式很多。。瑞星信息安全全培训网络ARP地址欺骗的主主动防护网络划Vlan作用会降低不不同网段中计计算机arp攻击的风险，，因为arp属于2层通信信广播播，不不会跨跨网段段传播播但不不会在在客户户机启启到防防护作作用。。只是是arp波及范范围在在某几几个特特定的的网段段。企企业网网络规规模很很大的的arp防护管管理，，主要要首先先确定定网络络基础础环境境与应应用。。ARP攻击防防护更更重要要的是是网络络通信信漏洞洞防护护瑞星信信息安安全培培训网络ARP地址欺欺骗的的主动动防护护结合企企业网网络的的实际际应用用情况况实施施防护护大型企企业可可采用用比较较流行行的智智能交交换机机，在在交换换机2层通信信进行行限制制，主主要针针对监监听2层arp广播通通信，，发现现arp包的内内容中中的IP与mac地址不不正确确的数数据包包进行行处理理限制制，使使其他他计算算机不不会收收到arp欺骗包包。瑞星信信息安安全培培训网络中中如何何快速速定位位ARP欺骗源源1arp－a网关mac记录arp－darp－a前提计计算机机没有有应用用层或或程序序网络络通信信应出出现Noarp的情况况。如何手手动确确定自自己的的网络络中是是否存存在arp攻击ping网关后后，查查看arp列表确定arp表中网网关IP对应的的mac记录是是否正正确。。瑞星信信息安安全培培训网络中中如何何快速速定位位ARP欺骗源源如何何快快速速定定位位网网络络中中ARP欺骗骗发发包包源源计计算算机机往往往利利用用的的是是欺欺骗骗源源的的mac地址址，，arp机欺欺骗骗源源计计算算机机的的目目的的：：不不是是让让大大家家不不上上网网，，而而是是大大家家网网络络通通信信，，只只是是用用户户通通信信数数据据被被中中转转，，这这样样黑黑客客才才可可以以获获取取用用户户信信息息，，所所以以arp源发发生生欺欺骗骗的的同同时时也也暴暴露露的的自自己己的的mac地址址，，所所以以通通过过看看到到网网关关IP对应应的的mac地址址就就是是欺欺骗骗源源的的mac地址址寻寻找找发发包包源源的的方方式式很很多多，，手手动动查查看看，，相相关关工工具具收收集集arp广播播信信息息，，查查询询目目的的都都是是一一样样的的确确定定欺欺骗骗网网关关IP对应应的的mac地址址。。瑞星星信信息息安安全全培培训训网络络ARP地址址欺欺骗骗案案例例分分析析企业业计计算算机机信信息息管管理理用户户名名称称；；计算算机机名名称称；；IP地址址；；MAC地址址；；房间间号号；；具体体物物理理位位置置；；目的的：：发现现欺欺骗骗的的MAC地址址利利用用前前期期计计算算机机管管理理备备案案信信息息直直接接定定位位ARP欺骗计算算机的物物理位置置。瑞星信息息安全培培训网络ARP地址欺骗骗案例分分析ARP欺骗计算算机定位位后如何何找到ARP欺骗协议议发包程程序：实例分析析异常程序序文件路路径C:\windows\system32\drivers\scvhost.exeidx0––ip-55瑞星信息安全全培训计算机双向通通信，ARP绑定需要本地地与网关双向向绑定典型例子计算机ping其他计算机正正常，网关ping不通，更换IP正常。处理方法：1检查防火墙mac规则；2查看计算机本本地网关mac地址；3绑定路由器的的内网网络接接口的arp表；4软件监控网络络中是否存在在ARP欺骗攻击；网络ARP地址欺骗案例例分析瑞星信息安全全培训网络ARP地址欺骗案例例分析计算机双向通通信，ARP绑定需要本地地与网关双向向绑定瑞星信息安全全培训网络安全威胁胁趋势发展不不是断态变化化的，采取防防护方法也与与随着不同，，重视企业网网络安全管理理，建立良好好的操作习惯惯，更加重要要。简单实用用的操作习惯惯往往是预防防网络安全威威胁的有效方方法。网络ARP地址欺骗防护护总结瑞星信息安全全培训VPN（虚拟专用网网）技术概述述——VPN技术需求的提提出瑞星信息安全全培训虚拟专用网（（VPN）是通过一个个公用网络建建立一个临时时的、安全的的连接，是一一条穿过混乱乱的公用网络络的安全、稳稳定的隧道。。虚拟专用网网是对企业内内部网的扩展展。瑞星信息安全全培训虚拟专用网至至少应能提供供如下功能：：1.加密数据，以以保证通过公公网传输的信信息即使被他他人截获也不不会泄露。2.信息认证和身身份认证，保保证信息的完完整性、合法法性，并能鉴鉴别用户的身身份。3.提供访问控制制，不同的用用户有不同的的访问权限。。瑞星信息安全全培训VPN的分类1.远程访问VPN(AccessVPN)通常针对移动动用户或出差差在外职员提提供对企业内内部网或外部部网的远程访访问瑞星信息安全全培训2.IntranetVPN分布各地的各各种办事机构构、分公司等等，各个分公公司之间数据据的安全传输输方案瑞星信息安全全培训3.ExtranetVPN能帮助业务往往来的企业之之间容易地部部署和集中地地管理外部网网，将企业重重要客户、供供应商、合合作伙伴连接接到企业内部部网。瑞星信息安全全培训VPN的第二层隧道道协议PPTP（Point-to-PointTunnelingProtocol）L2TP（Layer2TunnelingProtocol）瑞星信息安全全培训协议优点：：PPTP/L2TP对用微软操操作系统的的用户来说说很方便，，因为微软软已把它作作为路由软软件的一部部分。PPTP/L2TP支持其他网网络协议，，如Novell的IPX，NetBEUI和AppleTalk协议，还支支持流量控控制。它通通过减少丢丢弃包来改改善网络性性能，这样样可减少重重传。瑞星信息安安全培训协议缺点：：PPTP和L2TP将不安全的的IP包封装在安安全的IP