网络中ARP攻击及安全防范对策分析

网络中ARP攻击及安全防范对策分析

ID:47900987

大小:37.00 KB

页数:2页

时间:2019-10-22

网络中ARP攻击及安全防范对策分析_第1页
网络中ARP攻击及安全防范对策分析_第2页
资源描述:

《网络中ARP攻击及安全防范对策分析》由会员上传分享,免费在线阅读,更多相关内容在工程资料-天天文库

1、摘要:分析了ARP欺骗攻击的过程和攻击危害,冇针对性捉出解决ARP欺骗攻击方案,最后给出了安全防范的措施和原则。关键词:ARP协议;局域网;ARP欺骗;安全防范1ARP病毒分析在路由器的“系统历史记录”中看到大量如下的信息:MACChged10.128.103.124MACOld00:01:6c:36:d1:7fMACNew00:05:5d:60:c7:18这个消息代表了用户的MAC地址发生了变化,在ARP欺骗木马开始运行的时候,局域网所有主机的MAC地址更新为病毒主机的MAC地址(即所有信息的MACNew地址都一致为病毒主机的MAC地址),同吋在路由

2、器的“用户统计”屮看到所有用户的MAC地址信息都一样。BKDR_NPFECT.A病毒引起ARP欺骗Z实测分析(1)病毒现彖。中毒机器在局域网中发送假的APR应答包进行APR欺骗,造成其他客户机无法获得网关和其他客户机的网卡真实MAC地址,导致无法上网和正常的局域网通信.(2)病毒原理分析。病毒的组件:本文研究的病毒样本有三个组件构成:%windows%\SYSTEM32\LOADHW.EXE(108,386bytes)…・”病毒组件释放者”%windows%\System32Wdriverspf.sys(119,808bytes)发ARP欺

3、骗包的驱动程序”%windows%\System32\msitinit.dll(39,952bytes)…“命令驱动程序发ARP欺骗包的控制者”病毒运作基理:(I)LOADHW.EXE执行时会释放两个组件npf.sys和msitinit.dll.LOADHW.EXE释放组件后即终止运行。注意:病毒假冒成winPcap的张动程序,并提供winPcap的功能,客户若原先装有winPcaponpf.sys将会被病毒文件覆盖掉。(2)随后msitinit.dll将npf.sys注册(并监视)为内核级驱动设备:“NetGroupPacketFilterDri

4、ver”。msitinit.dll还负责发送指令来操作张动程序npf.sys(如发送APR欺骗包,抓包,过滤包等)以下从病毒代码屮提取得服务相关值:(3)npf.sys负责监护msitinit.dll.并将LOADHW.EXE注册为自启动程序:[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersionWRunOnce]dwMyTest=LOADHW.EXE曲于该项位于RunOnce下,该注册表启动项在每次执行后,即会被系统自动删除.(1)反病毒应急响应解决方案。按以下顺序删除病毒组

5、件:(1)删除“病毒组件释放者”。%windows%\SYSTEM32WLOADHW.EXE(2)删除“发ARP欺骗包的驱动程序”(兼“病毒守护程序”)o%windows%\System32\driverspf.sys•在设备管理器屮,单击“查看显示隐藏的设备”•在设备树结构中,打开“非即插即用…”•找到“NetGroupPacketFilterDriver",若没找到,请先刷新设备列表•右键点击“NetGroupPacketFilterDriver”菜单,并选择“卸载”•重启windows系统,•删除%windows%\System32

6、\driverspf.sys•删除“命令驱动程序发ARP欺骗包的控制者”•%windows%WSystem32Wmsitinit.dll•删除以下“病毒的假驱动程序”的注册表服务项:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Np2局域网ARP病毒防范措施(1)不要把你的网络安全信任关系建立在IP基础上或MAC基础上,(RARP同样存在欺骗的问题),理想的关系应该建立在IP+MAC基础上。(2)设置静态的MAC->IP对应表,不耍让主机刷新你设定好的转换表。(3)除非很冇必要

7、,否则停止使用ARP,将ARP做为永久条目保存在对应表中。(4)使用ARP服务器。通过该服务器查找自己的ARP转换表来响应其他机器的ARP广播。确保这台ARP服务器不被黑。(5)使用"proxy"代理IP的传输。(6)使用硕件屏蔽主机。设置好你的路由,确保IP地址能到达合法的路径。(静态配置路由ARP条目),注意,使用交换集线器和网桥无法阻止ARP欺骗。(7)管理员定期用响应的IP包屮获得一个RARP请求,然后检查ARP响应的真实性。(8)管理员定期轮询,检查主机上的ARP缓存。(9)使用防火墙连续监控网络。注意冇使用SNMP的情况下,ARP的欺骗冇可

8、能导致陷阱包丢失。

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。