欢迎来到天天文库
浏览记录
ID:18321302
大小:126.50 KB
页数:18页
时间:2018-09-16
《网络安全管理-学习工作页》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库。
1、学习工作页学习领域:网络安全管理学习情境:个人电脑安全管理姓名:班级:工作任务:ARP病毒诊断与防御日期:组别:1.1.1学习情境描述最近某办公室反映很多电脑上网速度慢,一部分职员Email、FTP、QQ帐号被盗,技术主管怀疑他们中了ARP病毒,要求你先模拟ARP病毒攻击,了解ARP病毒的特征和原理,找出中了ARP病毒的主机,并给出诊断与防御方案。1.1.2工作任务分析ü获得ARP病毒攻击工具Cain并进行安装ü获得协议分析工具WireShark并进行安装ü选好攻击对象,使用Cain工具进行攻击ü使用WireShark获取网络流量,分析ARP病毒的特征ü使用Cain工具对攻击对象的流量数
2、据进行解密ü列举ARP病毒攻击的危害ü给出ARP病毒的诊断方案ü给出ARP病毒的防御方案1.1.3相关专业知识1.ARP协议的工作机理ARP协议的原理。介绍ARP协议之前必须知道为什么需要知道ARP协议,因为当我们在访问某个网络或者ping某个网址如:pingwww.baidu.com时候,接着会产生什么呢?要解析www.baidu.com成为IP地址,但是在网络中数据传输是以帧的形式进行传输,而帧中有目标主机的MAC地址,(MAC地址即硬件地址,每台主机上都有唯一的一个地址),本地主机在向目标主机发送帧前,将目标主机IP地址解析成为MAC地址,这就是通过APR协议来完成的。首先,我们假
3、设有两台主机A,B在互相通信,假设A(192.168.1.2),B(192.168.1.4)双方都知道对方的IP地址,如果A主机要向B主机发送“hello”,那么A主机(当然如果在A主机中已经缓存有B主机的MAC地址(硬件地址)那么就不用再去进行下面的查找了),首先要在网络上发送广播(一般都是在同一个网段内进行的),广播信息类似于“192.168.1.4的MAC地址(硬件地址)是什么”,如果B主机听见了,那么B主机就会发送“192.168.1.4的MAC地址是”**.**.**.**”“,MAC地址一般都是6Byte48bit的格式,如“04-a3-e3-3a”,这样A主机就知道B主机的
4、MAC地址,所以发送数据帧时,加上MAC地址就不怕找不到目标主机的了。完成广播后,A主机会将MAC地址加入到ARP缓存表(所谓ARP缓存表就是一张实现IP和MAC地址进行一一对应的表,并且存储起来),以备下次再使用。2.ARP相关命令WindowsARP命令允许显示ARP表,删除表中的条目,或者将静态条目添加到表中。ARp常用命令选项:·arp-a或arp–g用于查看高速缓存中的所有项目。-a和-g参数的结果是一样的,·arp-aIp如果我们有多个网卡,那么使用arp-a加上接口的Ip地址,就可以只显示与该接口相关的ARp缓存项目。·arp-sIp物理地址我们可以向ARp高速缓存中人工输
5、入一个静态项目。该项目在计算机引导过程中将保持有效状态,或者在出现错误时,人工配置的物理地址将自动更新该项目。·arp-dIp使用本命令能够人工删除一个静态项目。例如我们在命令提示符下,键入Arp–a;如果我们使用过ping命令测试并验证从这台计算机到Ip地址为10.0.0.99的主机的连通性,则ARp缓存显示以下项:Interface:10.0.0.1oninterface0x1InternetAddressphysicalAddressType10.0.0.9900-e0-98-00-7c-dcdynamic在此例中,缓存项指出位于10.0.0.99的远程主机解析成00-e0-98-
6、00-7c-dc的媒体访问控制地址,它是在远程计算机的网卡硬件中分配的。媒体访问控制地址是计算机用于与网络上远程TCp/Ip主机物理通讯的地址。至此我们可以用ipconfig和ping命令来查看自己的网络配置并判断是否正确、可以用netstat查看别人与我们所建立的连接并找出ICQ使用者所隐藏的Ip信息、可以用arp查看网卡的MAC地址。3.网络嗅探的原理网络嗅探器,可以理解为一个安装在计算机上的窃听设备,它可以用来窃听计算机在网络上所产生的众多的信息,可以窃听计算机程序在网络上发送和接收到的数据,用来接收在网络上传输的信息。很多计算机网络采用的是“共享媒体"。也就是说,不必中断他的通讯
7、,并且配置特别的线路,再安装嗅探器,几乎可以在任何连接着的网络上直接窃听到同一掩码范围内的计算机网络数据。这种窃听方式为“基于混杂模式的嗅探”(promiscuousmode)。以太网的工作原理。以太网的数据传输是基于“共享”原理的:所有的同一本地网范围内的计算机共同接收到相同的数据包。这意味着计算机直接的通讯都是透明可见的。正是因为这样的原因,以太网卡都构造了硬件的“过滤器”,这个过滤器将忽略掉一切和自己无关的网络信息。事实上是忽
此文档下载收益归作者所有