ARP病毒安全解決方案

1、ARP 病毒安全解決方案AgendaARP協(xié)議原理1ARP漏洞和攻擊原理2ARP攻擊的常用對(duì)策3Symantec終端安全解決方案42AgendaARP協(xié)議原理1ARP漏洞和攻擊原理2ARP攻擊的常用對(duì)策3Symantec終端安全解決方案43地址解析協(xié)議（Address Resolution Protocol，ARP）是在僅知道主機(jī)的IP地址時(shí)確定其物理地址的一種協(xié)議。ARP協(xié)議使用的是廣播包的形式發(fā)送ARP的機(jī)制是信任局域網(wǎng)內(nèi)的所有用戶ARP協(xié)議介紹4路由192.168.0.1 00-11-22-33-44-01 A192.168.0.2 00-11-22-33-44-02 B192.168.

2、0.3 00-11-22-33-44-03 廣播一個(gè)ARP請(qǐng)求包 廣播一個(gè)ARP請(qǐng)求包 ARP應(yīng)答 ARP協(xié)議工作原理5ARP命令的使用1.ARP命令的功能查看、添加和刪除高速緩存區(qū)中的ARP表項(xiàng)2.Windows 2000 ARP高速緩沖區(qū)(1)包含動(dòng)態(tài)和靜態(tài)表項(xiàng)動(dòng)態(tài)表項(xiàng)：隨時(shí)間推移自動(dòng)添加和刪除靜態(tài)表項(xiàng)：一直存在，直到人為刪除或重新啟動(dòng) (2)動(dòng)態(tài)表項(xiàng)的計(jì)時(shí)器：潛在生命周期10min6顯示高速cache中的ARP表7添加ARP靜態(tài)表項(xiàng)8刪除ARP表項(xiàng)9AgendaARP協(xié)議原理1ARP漏洞和攻擊原理2ARP攻擊的常用對(duì)策3Symantec終端安全解決方案410ARP漏洞何在 ARP協(xié)議并不

3、只在發(fā)送了ARP請(qǐng)求才接收ARP應(yīng)答。當(dāng)計(jì)算機(jī)接收到ARP應(yīng)答數(shù)據(jù)包的時(shí)候，就會(huì)對(duì)本地的ARP緩存進(jìn)行更新，將應(yīng)答中的IP和MAC地址存儲(chǔ)在ARP緩存中。因此，當(dāng)局域網(wǎng)中的某臺(tái)機(jī)器B向A發(fā)送一個(gè)自己偽造的ARP應(yīng)答，而如果這個(gè)應(yīng)答是B冒充路由偽造來(lái)的，即IP地址為C的IP，而MAC地址是路由的，則當(dāng)A接收到B偽造的ARP應(yīng)答后，就會(huì)更新本地的ARP緩存，這樣在A看來(lái)C的IP地址沒有變，而它的MAC地址已經(jīng)路由的了。由于局域網(wǎng)的網(wǎng)絡(luò)流通不是根據(jù)IP地址進(jìn)行，而是按照MAC地址進(jìn)行傳輸。所以，那個(gè)C的MAC地址在A上被改變成路由的MAC地址，這樣就會(huì)造成A所發(fā)送到路由的數(shù)據(jù)會(huì)被發(fā)送到C！這就是一個(gè)

4、簡(jiǎn)單的ARP欺騙。這時(shí)A上網(wǎng)時(shí)就會(huì)掉線，而且數(shù)據(jù)就不安全了。11ARP攻擊原理病毒機(jī)通過(guò)發(fā)布錯(cuò)誤的ARP廣播包，阻斷正常通信，并將自己所用的電腦偽裝成網(wǎng)關(guān)，這樣往外發(fā)送的數(shù)據(jù)，就發(fā)到了病毒機(jī)上，然后病毒再通過(guò)本身的發(fā)送功能發(fā)送截到的信息給黑客，達(dá)到竊取數(shù)據(jù)的目的。12ARP病毒/ARP木馬的分類ARP攻擊 非網(wǎng)關(guān)型ARP攻擊 網(wǎng)關(guān)型ARP攻擊 中毒主機(jī)偽造成網(wǎng)絡(luò)上的一臺(tái)正常主機(jī)（IP），使所有原來(lái)應(yīng)該送到正常主機(jī)的報(bào)文，全部送到中毒主機(jī)上，導(dǎo)致正常主機(jī)無(wú)法訪問網(wǎng)絡(luò)（此攻擊類似于IP沖突，但是系統(tǒng)不會(huì)提示IP沖突）。此攻擊同一時(shí)刻只影響網(wǎng)絡(luò)中一臺(tái)正常主機(jī)。此種攻擊出現(xiàn)時(shí)，可以在三層交換機(jī)的ARP

5、表中看到一個(gè)MAC地址對(duì)應(yīng)了多個(gè)IP地址。這個(gè)MAC地址就是中毒主機(jī)的MAC地址。 中毒主機(jī)偽造成網(wǎng)關(guān)，將網(wǎng)關(guān)的MAC地址改為網(wǎng)絡(luò)中不存在的MAC地址或者中毒主機(jī)本身的MAC地址。這樣在與中毒主機(jī)同一個(gè)VLAN中的主機(jī)在跨VLAN通迅時(shí)，報(bào)文指向了錯(cuò)誤的網(wǎng)關(guān)，無(wú)法通迅，此攻擊在同一時(shí)刻影響一個(gè)VLAN。此攻擊出現(xiàn)時(shí)可以在不能上網(wǎng)的主機(jī)的ARP中看到網(wǎng)關(guān)地址對(duì)應(yīng)的MAC為中毒主機(jī)的MAC地址或網(wǎng)絡(luò)中不存在的MAC地址。 13類ARP病毒工具局域網(wǎng)內(nèi)有某些用戶使用了ARP欺騙程序如：網(wǎng)絡(luò)執(zhí)法官網(wǎng)絡(luò)剪刀手P2P終結(jié)者傳奇木馬QQ盜號(hào)軟件14ARP病毒的危害性整個(gè)局域網(wǎng)的用戶上網(wǎng)會(huì)時(shí)通時(shí)斷，嚴(yán)重影響網(wǎng)

6、絡(luò)的正常使用病毒可能會(huì)盜取局域網(wǎng)內(nèi)用戶的網(wǎng)上應(yīng)用的用戶名和密碼，從而造成更大損失15AgendaARP協(xié)議原理1ARP漏洞和攻擊原理2ARP攻擊的常用對(duì)策3Symantec終端安全解決方案416ARP欺騙對(duì)策1、在路由上綁定所有客戶機(jī)地址。arp s IP MAC(單綁)2、在客戶機(jī)綁定路由地址（雙綁）3、在客戶機(jī)綁定本機(jī)地址（三綁）但存在arp d，所以以上工作當(dāng)在主動(dòng)發(fā)起ARP欺騙時(shí)是無(wú)效的。17AgendaARP協(xié)議原理1ARP漏洞和攻擊原理2ARP攻擊的常用對(duì)策3Symantec終端安全解決方案418防護(hù)ARP欺騙Symantec終端安全解決方案基于應(yīng)用程序的防火墻19防護(hù)ARP欺騙S

7、ymantec終端安全解決方案基于應(yīng)用程序的防火墻 SPA客戶端的攔截效果20防護(hù)ARP欺騙Symantec終端安全解決方案基于協(xié)議的驅(qū)動(dòng)防護(hù)21防護(hù)ARP欺騙Symantec終端安全解決方案基于協(xié)議的驅(qū)動(dòng)防護(hù)22防護(hù)ARP欺騙Symantec終端安全解決方案基于協(xié)議的驅(qū)動(dòng)防護(hù) SPA客戶端的攔截效果23防護(hù)ARP欺騙Symantec終端安全解決方案主機(jī)入侵防御系統(tǒng)24防護(hù)ARP欺騙Symantec終端安全解決方案主機(jī)入侵防御系統(tǒng) SPA客戶端的攔截效果25防護(hù)ARP欺騙Symantec終端安全解決方案主機(jī)入侵防御系統(tǒng) SPA客戶端的攔截效果（續(xù)1）26防護(hù)ARP欺騙Symantec終端安全解

8、決方案主機(jī)入侵防御系統(tǒng) SPA客戶端的攔截效果（續(xù)2）27常見問題解答終端已經(jīng)建立起來(lái)了ARP緩存表，為什么欺騙程序還可以得逞？防范規(guī)則中，只允許ndisiuo.sys對(duì)外發(fā)送ARP數(shù)據(jù)包（協(xié)議號(hào)0 x806），其他的全部禁止，這樣有效果嗎？IPS功能也只有當(dāng)我的ARP緩存表中有IP-MAC對(duì)應(yīng)關(guān)系才能報(bào)警和攔截，如果我的ARP緩存表中沒有IP-MAC對(duì)應(yīng)關(guān)系，我是怎么判斷他是不是欺騙行為？28關(guān)于測(cè)試過(guò)程中斷網(wǎng)現(xiàn)象的解釋現(xiàn)象描述（一）：未安裝SPA的電腦我們?cè)趦?nèi)網(wǎng)中隨便找了一臺(tái)電腦測(cè)試這臺(tái)電腦的IP地址29正確的MAC地址地址各不相同錯(cuò)誤的MAC地址關(guān)于測(cè)試過(guò)程中斷網(wǎng)現(xiàn)象的解釋現(xiàn)象描述（一）

9、：未安裝SPA的電腦機(jī)器很快中招，網(wǎng)關(guān)MAC被修改為攻擊者的MAC在被欺騙時(shí)網(wǎng)絡(luò)不中斷，用戶以為沒有被攻擊，其實(shí)回話已被劫持有時(shí)候也會(huì)斷線30恢復(fù)正常關(guān)于測(cè)試過(guò)程中斷網(wǎng)現(xiàn)象的解釋現(xiàn)象描述（一）：未安裝SPA的電腦如果攻擊包暫停發(fā)送，網(wǎng)關(guān)MAC恢復(fù)正常在被欺騙和恢復(fù)正常的過(guò)程中，網(wǎng)絡(luò)不中斷，用戶以為沒有被攻擊，其實(shí)回話已被劫持31關(guān)于測(cè)試過(guò)程中斷網(wǎng)現(xiàn)象的解釋現(xiàn)象描述（二）：安裝了SPA的電腦正確的MAC地址地址各不相同32關(guān)于測(cè)試過(guò)程中斷網(wǎng)現(xiàn)象的解釋現(xiàn)象描述（二）：安裝了SPA的電腦開始被攻擊刷新緩存后才正常錯(cuò)誤的MAC地址正確的MAC地址刷新緩存表33關(guān)于測(cè)試過(guò)程中斷網(wǎng)現(xiàn)象的解釋現(xiàn)象描述（二）：安裝了SPA的電腦因?yàn)镾PA攔截了攻擊源，造成上互聯(lián)網(wǎng)的數(shù)據(jù)包丟失，這期間網(wǎng)絡(luò)會(huì)閃斷一次，用戶感覺明顯，但是SPA其實(shí)是阻止了回話劫持錯(cuò)誤的MAC地址正確的MAC地址刷新緩存表34測(cè)試過(guò)程中斷網(wǎng)現(xiàn)象的解決辦法原因分析ARP協(xié)議是不可信的通信解決辦法給攻擊源安裝SPA全網(wǎng)部署SPA防火墻部署策略阻止攻擊源MAC地址實(shí)際意義不大，因?yàn)?/p>