东北大学网络中心网络安全手册200612版.ppt

东北大学网络中心网络安全手册200612版
windows的安全保护机制
防病毒系统
一定要及时升级病毒库文件（推荐使用企业版）
实时监控功能一定要开着
推荐使用的杀毒软件
赛门铁克的norton防毒软件
瑞星杀毒软件（
提纲
个人计算机的安全配置与使用规范
校园网近期安全问题
个人计算机常见安全问题与解决办法
校内安全资源
二、近期校园网常见安全问题
ARP攻击
系统入侵
熊猫烧香病毒
ARP攻击
什么是ARP攻击？
利用ARP协议本身的缺陷进行的一种非法攻击，目的是为了在全交换环境下实现数据监听。通常这种攻击方式可能被病毒、木马或者有特殊目的攻击者使用。
ARP攻击有什么危害？
致使同网段的其他用户无法正常上网（频繁断网或者网速慢），泄露用户的敏感信息。
ARP原理
ARP（AddressResolutionProtocol）地址解析协议用于将计算机的网络地址（IP地址32位）转化为物理地址（MAC地址48位）[RFC826]
ARP协议是属于链路层的协议，在以太网中的数据帧从一个主机到达网内的另一台主机是根据48位的以太网地址（硬件地址）来确定接口的，而不是根据32位的IP地址。内核（如驱动）必须知道目的端的硬件地址才能发送数据。
点对点的连接是不需要ARP协议的。
ARP原理
主机名 IP地址 MAC地址
主机A 01-01-01-01-01-01
主机B 02-02-02-02-02-02
网关C 03-03-03-03-03-03
主机D 04-04-04-04-04-04
网关E 05-05-05-05-05-05
ARP工作原理
假如主机A要与主机B通讯，，如果没有它就会向局域网的广播地址发送ARP请求包，,而广播地址会把这个请求包广播给局域网内的所有主机，，，-02-02-02-02-02。这样的话主机A就得到了主机B的MAC地址，并且它会把这个对应的关系存在自己的ARP缓存表中。之后主机A与主机B之间的通讯就依靠两者缓存表里的MAC地址来通讯了，直到通讯停止后两分钟，这个对应关系才会被从表中删除。
ARP工作原理
假如主机A需要和主机D进行通讯，它首先会发现这个主机D的IP地址并不是自己同一个网段内的，因此需要通过网关来转发，，如果没有就通过ARP请求获得，如果有就直接与网关通讯，然后再由网关C通过路由将数据包送到网关E，网关E收到这个数据包后发现是送给主机D（）的，它就会检查自己的ARP缓存（没错，网关一样有自己的ARP缓存），，如果没有就使用ARP协议获得，如果有就是用该MAC地址与主机D通讯。
ARP欺骗
Arp欺骗原理
主机在实现ARP缓存表的机制中存在一个不完善的地方，当主机收到一个ARP的应答包后，它并不会去验证自己是否发送过这个ARP请求，而是直接将应答包里的MAC地址与IP对应的关系替换掉原有的ARP缓存表里的相应信息。这就导致主机B截取主机A与主机D之间的数据通信成为可能
ARP欺骗
主机b向网关C发送ARP应答包说：我是A我的MAC地址是02-02-02-02-02-02，主机b同时向主机A发送ARP应答包说：我是C我的MAC地址是02-02-02-02-02-02
B获得A发给C的数据，修改后发给C，同时获得C发给A的数据修改后发给A，实现了监听过程
ARP攻击
几个概念：
Arp缓存表
ARP攻击
ARP数据包
13:10: arp who-has tell
13:10: arp reply is-at 00:00:0c:07:ac:00
ARP攻击
什么情况下表明局域网内有ARP攻击
校园网登陆系统频繁掉线
网速突然变慢
使用ARP –a