【正文】 24 圖 5 點(diǎn)選 SelectFilter224。buffer,定義捕獲數(shù)據(jù)包的緩沖區(qū)。 22 如圖 2 比如，想捕獲 FTP、 NETBIOS、 DNS、 HTTP 的數(shù)據(jù)包，那么說(shuō)首先打開(kāi) TCP 選項(xiàng)卡，再進(jìn)一步選協(xié)議；還要明確 DNS、 NETBIOS 的數(shù)據(jù)包有些是屬于 UDP 協(xié)議，故需在 UDP選項(xiàng)卡做類 似 TCP 選項(xiàng)卡的工作，否則捕獲的數(shù)據(jù)包將不全。 最后，選取 ，將定義的規(guī)則保存下來(lái)，供以后使用。以定義 IP 地址過(guò)濾為例，見(jiàn)圖 1。definefilter 選項(xiàng)。但是其實(shí)還有一類危害非常大的被動(dòng)攻擊方式往往為大家所忽視 ,那就是利用 Sniffer 進(jìn)行嗅探攻擊。當(dāng)然， 可以考慮利用 cron 機(jī)制補(bǔ)救 之。 2， ARP 協(xié)議欺騙技術(shù)相應(yīng)對(duì)策 各種網(wǎng)絡(luò)安全的對(duì)策都是相對(duì)的，主要要看網(wǎng)管平時(shí)對(duì)網(wǎng)絡(luò)安全的重視性了。打開(kāi)主機(jī) C 的 IP 轉(zhuǎn)發(fā)功能，A 發(fā)送過(guò)來(lái)的數(shù)據(jù)包，轉(zhuǎn)發(fā)給 C，好比一個(gè)路由器一樣。 注意，在這個(gè)過(guò)程中，如果主機(jī) A 在發(fā)送 ARP 請(qǐng)求時(shí)，假如該局域網(wǎng)內(nèi)有一臺(tái)主機(jī)C 的 IP 和 A 相同， C 就會(huì)得知有一臺(tái)主機(jī)的 IP 地址同自已的 IP 地址相同，于時(shí)就蹦出一個(gè) IP 沖突的對(duì)話筐。我們假設(shè)有兩臺(tái)主機(jī)： A 機(jī)的 IP 地址是 ， MAC 地址是 5254ab278283 。 ARP 程序就更新自己的緩存然后發(fā)送此包到回應(yīng)的 MAC 地址。 17 還有當(dāng)傳送過(guò)來(lái)的包要傳向一個(gè) LAN 的主機(jī)時(shí)，當(dāng)它到達(dá)網(wǎng)關(guān)時(shí)，網(wǎng)關(guān)要求 ARP 程序 找到物理主機(jī)或與 IP 地址相對(duì)應(yīng)的 MAC 地址。如果源設(shè)備沒(méi)有關(guān)于缺省網(wǎng)關(guān)的 MAC 信息，則它同樣通過(guò) ARP 協(xié)議獲取缺省網(wǎng)關(guān)的 MAC 地址信息。 當(dāng)一個(gè)網(wǎng)絡(luò)設(shè)備需要和另一個(gè)網(wǎng)絡(luò)設(shè)備通信時(shí)，它首先把目標(biāo)設(shè)備的 IP 地址與自己的子 網(wǎng)掩碼進(jìn)行 與 操作，以判斷目標(biāo)設(shè)備與自己是否位于同一網(wǎng)段內(nèi)。一張 ARP 的表，用來(lái)支持在 MAC 地 址和 IP 地址之間的一一對(duì)應(yīng)關(guān)系。 一， TCP/IP 協(xié)議之 ARP 協(xié)議的定義 ARP 協(xié)議即地址解析協(xié)議 Address Resolution Protocol， ARP 協(xié)議是將 IP 地址與網(wǎng)絡(luò)物理地址一一對(duì)應(yīng)的協(xié)議。況且，路由只需要單向綁定，已經(jīng)為您省去了另一半更繁瑣的工作，并且設(shè)置時(shí)不需要重啟路由器斷網(wǎng)。讓路由器插手只能做到對(duì)抗，不能根絕。在暫時(shí)無(wú)法及時(shí)清除 ARP 病毒，網(wǎng)管員還沒(méi)有做 PC 上的 IPMAC 綁定時(shí)，它能在一定程度上 維持網(wǎng)絡(luò)的運(yùn)行，避免災(zāi)難性后果，贏取系統(tǒng)修復(fù)的時(shí)間。雖然 NAT 是標(biāo)準(zhǔn)的網(wǎng)絡(luò)協(xié)議，但實(shí)現(xiàn)方法可以各顯其能，保證殊途同歸就行。對(duì)付 ARP，您只要做 PC 的單向綁定就可以了。每臺(tái) PC 綁定本來(lái)就費(fèi)力，在路由器中添 加、維護(hù)、管理那么長(zhǎng)長(zhǎng)的一串列表，更是苦不堪言。一、在寬 帶路由器中把所有 PC 的 IPMAC 輸入到一個(gè)靜態(tài)表中，這叫路由器 IPMAC 綁定。有些網(wǎng)管 員對(duì)此不甚了解，出現(xiàn)故障時(shí)，認(rèn)為 PC 沒(méi)有問(wèn)題，交換機(jī)沒(méi)掉線的 “ 本事 ” ，電信也不承認(rèn)寬帶故障。第二種 ARP 欺騙的原理是 —— 偽造網(wǎng)關(guān)。 ARP 欺騙攻擊已經(jīng)成了破壞網(wǎng)吧經(jīng)營(yíng)的罪魁禍?zhǔn)祝蔷W(wǎng)吧老板和網(wǎng)管員的心腹大患。 2）在 Windows 開(kāi)始 — 運(yùn)行 — 打開(kāi)，輸入 cmd（ windows98 輸入 “mand” ），在出現(xiàn) 的 DOS 窗口中輸入： C:/nbtscan r （這里需要根據(jù)用戶實(shí)際網(wǎng)段輸入），回車。 命令： “nbtscan r ” （搜索整個(gè) , 即 ）；或 “nbtscan 137” 搜索 網(wǎng)段，即 。 【 HiPER 用戶快速發(fā)現(xiàn) ARP 欺騙木馬】 在路由器的 “ 系統(tǒng)歷史記錄 ” 中看到大量如下的信息（ 440 以后的路由器軟件版本中才有此提示）： MAC Chged MAC Old 00:01:6c:36:d1:7f MAC New 00:05:5d:60:c7:18 這個(gè)消息代表了用戶的 MAC 地址發(fā)生了變化，在 ARP 欺騙木馬開(kāi)始運(yùn)行的時(shí)候，局域網(wǎng)所有主機(jī)的 MAC 地址更新為病毒主機(jī)的 MAC 地址（即所有信息的 MAC New 地址都一 13 致為病毒主機(jī)的 MAC 地址），同時(shí)在路由器的 “ 用戶統(tǒng)計(jì) ” 中看到所有用戶的 MAC 地址信息都一樣。其他用戶原來(lái)直接通過(guò)路由器上網(wǎng)現(xiàn)在轉(zhuǎn)由通過(guò)病毒主機(jī)上網(wǎng)，切換的時(shí)候用戶會(huì)斷一次線。 D 直接進(jìn)行整個(gè)包的修改轉(zhuǎn)發(fā)，捕獲到 A 發(fā)送給 C 的數(shù)據(jù)包，全部進(jìn)行修改后再轉(zhuǎn)發(fā)給 C，而 C 接收到的數(shù)據(jù)包完全認(rèn)為是從 A 發(fā)送來(lái)的。 D 對(duì)接收到 A 發(fā)送給 C 的數(shù)據(jù)包可沒(méi)有轉(zhuǎn)交給 C。如果進(jìn)行欺騙的時(shí)候，把 C 的 MAC 地址騙為DDDDDDDDDDDD，于是 A 發(fā)送到 C 上的數(shù)據(jù)包都變成發(fā)送給 D 的了。同時(shí)它還更新了自己的 ARP 緩存表，下次再向主機(jī) B 發(fā)送信息時(shí)，直接從 ARP 緩存表里查找就可以了。 主機(jī) IP 地址 MAC 地址 A aaaaaaaaaaaa B bbbbbbbbbbbb C cccccccccccc D dddddddddddd 我們以主機(jī) A（ ）向主機(jī) B（ ）發(fā) 送數(shù)據(jù)為例。但這個(gè)目標(biāo)MAC 地址是如何獲得的呢？它就是通過(guò)地址解析協(xié)議獲得的。通過(guò)偽造 IP 地址和 MAC 地址實(shí)現(xiàn) ARP 欺騙，能夠在網(wǎng)絡(luò)中產(chǎn)生大量的 ARP 通信量使網(wǎng)絡(luò)阻塞。 ARP 病毒的攻擊以及欺騙手段 ARP 攻擊原理及解決方法 【故障原因】 局域網(wǎng)內(nèi)有人使用 ARP 欺騙的木馬程序（比如：傳奇盜號(hào)的軟件，某些傳奇外掛中也被惡意加載了此程序）。整個(gè)轉(zhuǎn)換過(guò)程是一臺(tái)主機(jī)先向 目標(biāo)主機(jī)發(fā)送包含 IP 地址信息的廣播數(shù)據(jù)包，即 ARP 請(qǐng)求，然后目標(biāo)主機(jī)向該主機(jī)發(fā)送一個(gè)含有 IP 地址和 MAC 地址數(shù)據(jù)包，通過(guò) MAC 地 址兩個(gè)主機(jī)就可以 實(shí)現(xiàn)數(shù)據(jù)傳輸了。 二 常見(jiàn)的 ARP 病毒的攻擊以及防范措施 什么是 ARP 英文原義： Address Resolution Protocol 中文釋義：（ RFC826）地址解析協(xié)議 局域網(wǎng)中，網(wǎng)絡(luò)中實(shí)際傳輸?shù)氖?“ 幀 ” ，幀里面是有目標(biāo)主機(jī)的 MAC 地址的。如果大家發(fā)現(xiàn)中了 ARP 沒(méi)有掉線，那說(shuō)明你中了最新的變種，你只要重啟了那臺(tái)中了 ARP 病毒的電腦，那么受到 ARP 攻擊的機(jī)子就會(huì)全部掉線內(nèi)網(wǎng)的網(wǎng)關(guān)不掉包，而外網(wǎng)的 IP 和 DNS 狂掉，這點(diǎn)也是 ARP 變種的出現(xiàn)的情況，請(qǐng)大家留意。 比如說(shuō)當(dāng) 局域網(wǎng)受 ARP 變種病毒攻擊后 就會(huì)出現(xiàn) 瞬間掉線 的情況。利用 ARP 攻擊擾亂網(wǎng)吧網(wǎng)絡(luò)的現(xiàn)象更是已經(jīng)泛濫。 關(guān)鍵詞： nbtscan MAC Sniffer 7 目 錄 一 選題背景 選課題的原因 選課題目的 ．．．．．．．．．． 選課題意義 ．．．．．．．．．． 二 常見(jiàn)的 ARP 病毒的攻擊以及防范措施 什么是 ARP ARP 病毒的攻擊以及欺騙手段 ARP 攻擊原理及解決方法 ARP 欺騙原理以及路由器的 先天免 網(wǎng)絡(luò)安全中的 ARP 協(xié)議和欺騙技術(shù)及其對(duì)策 三 ARP 防范軟件 360 安全衛(wèi)士新版發(fā)布 增加 ARP 防火墻 Sniffer 簡(jiǎn)紹 Sniffer 使用方法 Sniffer會(huì)“抓毒”的網(wǎng)絡(luò)分析儀 利用 Sniffer Pro 徹底解決 IP 被盜用問(wèn)題 聞名業(yè)界的 Sniffer 網(wǎng)絡(luò)管理解決方案 三 總結(jié) 8 一 選題背景 選課題的原因 ARP 及 IP 攻擊泛濫，嚴(yán)重影響網(wǎng)絡(luò)安全； 你的網(wǎng)絡(luò)是否發(fā)生過(guò)頻繁掉線的現(xiàn)象？ 你的網(wǎng)絡(luò)是不是發(fā)生過(guò)用戶 被盜的現(xiàn)象？ 你的網(wǎng)絡(luò)在做了雙向 IPMAC 綁定后，是不是還是會(huì)發(fā)生掉線現(xiàn)象？ 你知道是什么原因嗎？ ——ARP 攻擊， IP 攻擊！ 你覺(jué)的你的網(wǎng)絡(luò)安全嗎 ?當(dāng)你在網(wǎng)絡(luò)上傳輸敏感信息時(shí)，是否會(huì)有一雙貪婪的眼睛正在窺探著你的秘密？ ARP 是網(wǎng)絡(luò)應(yīng)用的基礎(chǔ)，沒(méi)有 ARP 就沒(méi)有網(wǎng)絡(luò)。 關(guān)閉一些不需要的服務(wù)，條件允許的可關(guān)閉一些沒(méi)有必要的共享，也包括 C$、D$等管理共享。 6 給系統(tǒng)管理員帳戶設(shè)置足夠復(fù)雜的強(qiáng)密碼，最好能是 12 位以上，字母 +數(shù)字 +符號(hào)的組合；也可以禁用 /刪除一些不使用的帳戶。 病毒源，對(duì)病毒源頭的機(jī)器進(jìn)行處理，殺毒或重新裝系統(tǒng)。 對(duì)每臺(tái) pc 上綁定網(wǎng)關(guān)的 IP 和其 MAC 地址 在每臺(tái) PC 機(jī)上進(jìn)入 dos 操作，輸入 arp – s (網(wǎng)關(guān) IP) 000f3d837428(網(wǎng)關(guān) MAC),Enter 后完成每臺(tái) PC 機(jī)的綁定。輸入 ARP a 命令，顯示如下圖： 圖 2 可以看出 地址和 地址的 IP 的 MAC 地址都是000f3d837428,很顯然，這就是 ARP 欺騙造成的。 4 基本 ARP 病毒防制法 通過(guò)對(duì) ARP 工作原理得知，如果系統(tǒng) ARP 緩存表被修改不停的通知路由器一系列錯(cuò)誤的內(nèi)網(wǎng) IP 或者干脆偽造一個(gè)假的網(wǎng)關(guān)進(jìn)行欺騙的話，網(wǎng)絡(luò)就肯定會(huì)出現(xiàn)大面積的 掉線問(wèn)題，這樣的情況就是典型的 ARP 攻擊，對(duì)遭受 ARP 攻擊的判斷，其方法很容易，你找到出現(xiàn)問(wèn)題的電腦點(diǎn)開(kāi)始運(yùn)行進(jìn)入系統(tǒng)的 DOS 操作。當(dāng)發(fā)送數(shù)據(jù)時(shí)，主機(jī) A 會(huì)在自己的 ARP 緩存表中尋找是否有目標(biāo) IP 地址。所謂 “ 地址解析 ” 就是主機(jī)在發(fā)送幀前將目 標(biāo) IP 地址轉(zhuǎn)換成目標(biāo) MAC 地址的過(guò)程。 1 廣西經(jīng)貿(mào)職業(yè)技術(shù)學(xué)院 畢業(yè)論文 題 目 專 業(yè) 班 級(jí) 姓 名 指導(dǎo)教師 姓名 職稱 起止日期 2 廣西東方外語(yǔ)職業(yè)學(xué)院 畢業(yè)論文（設(shè)計(jì)）任務(wù)書(shū) 專業(yè)及班級(jí)： 學(xué)生姓名： 題目： 上交報(bào)告（論文）日期： 年 月 日 答辯日期： 年 月 日 指導(dǎo)教師： 200 年 月 日簽發(fā) 3 本人聲明 我聲明 , 本論文及其設(shè)計(jì)工作是由本人在指導(dǎo)教師的指 導(dǎo)下獨(dú)立完成的 , 在完成論文時(shí)所利用的一切資料均已在參考文獻(xiàn)中列出。 基本 ARP 介紹 ARP “Address Resolution Protocol” （地址解析協(xié)議），局域網(wǎng)中，網(wǎng)絡(luò)中實(shí)際傳輸?shù)氖?“ 幀 ” ，幀里面是有目標(biāo)主機(jī)的 MAC 地址的。 我們以主機(jī) A（ ）向主機(jī) B（ ）發(fā)送數(shù) 據(jù)為例。同時(shí)它還更新了自己的 ARP 緩存表。為了進(jìn)一步確認(rèn)，我們可以通過(guò)查找 ARP 表來(lái)判斷。 激活防止 ARP 病毒攻擊 5 進(jìn)入路由器的防火 墻 的基本配置欄將 “ 防止 ARP病毒攻擊 ” 在這一行的 “ 激活 ” 并確定。 進(jìn)階 ARP 病毒防制 單靠這樣的操作基本可以解決問(wèn)題，但是技術(shù)工程師建議通過(guò)進(jìn)一步通過(guò)一些手段來(lái)進(jìn)一步控制 ARP 的攻擊。 給系統(tǒng)安裝補(bǔ)丁程序，通過(guò) Windows Update 安裝好系統(tǒng)補(bǔ)丁程序 (關(guān)鍵更新、安全更新和 Service Pack)。部分盜版 Windows 用戶不能正常安裝 補(bǔ)丁，不妨通過(guò)使用網(wǎng)絡(luò)防火墻等其它方法來(lái)做到一定的防護(hù)。 ARP 攻擊防制是一個(gè)任重而道遠(yuǎn)的過(guò)程，必須高度重視這個(gè)問(wèn)題，