2010~2011(1)学年《局域网组建、管理与维护》考查卷姓名:学号:任课教师:梁根
_____ ___ 专业:教育技术学班级:08-1 成绩:___________ 浅谈局域网内ARP欺骗攻击与防御
摘要:ARP欺骗是个很老的话题了,自从有了TCP/IP协议的那一刻起它就存在了。曾起何时,ARP 不过是大学校园的“赖皮”学生用来争抢IP的一种技术手段而已!而现在利用ARP攻击方式盗取密码的事情数见不鲜!由于ARP攻击导致频繁掉线的事情频频出现,让人很恼火。本文将着力解释什么是ARP攻击及其原理等,让读者朋友们对其有个深入的了解,并通过是实战演练来向读者展示“ARP 欺骗攻击与防御”。
关键词:局域网;ARP;ARP欺骗攻击;防御
LAN ARP spoofing attack of the principle of
Zeng Xian-Mao Ye Qi-ming
(1.School of Science,,Maoming University, Maoming Guangdong 525000, China)
Abstract:ARP spoofing is a very old topic, with the introduction of TCP / IP protocol from the moment it exists. Since when has, ARP, but the university campus, "shameless"competition for students for a technology to IP-only! ARP attack now use it to stealpasswords more often than not! ARP attack causes frequent dropped calls because of the frequent things, people very angry. This article will explain what is the ARP attacksfocus on its principles, so that readers of their friends have a deep understanding, and through a practical exercise to demonstrate to the reader "ARP spoofing attack and defense. "
Keywords:LAN;ARP; ARP spoofing attacks;Defense
随着局域网内电脑数量的不断增加,在出口带宽没有改变的情况下,用户间的平均网速不断地变慢,常常会低于50kb,这样的网速让很多用户都受不了,于是很多用户都选择用ARP欺骗工具进行局域网攻击,从而达到限制别人网速而提升自己网速的目的。这就造成局域网内频繁掉线的事情出现,这只是其一。更有的是现在利用ARP攻击方式盗取密码的事情数见不鲜,因此警惕局域网内ARP 欺骗攻击是件急切的事,局域网内ARP欺骗攻击的防御就更是重中之重。
1. 什么是ARP
我们知道,当我们在浏览器里面输入网址时,DNS服务器会自动把它解析为IP地址,浏览器实际上查找的是IP地址而不是网址。那么IP地址是如何转换为第二层物理地址(即MAC地址)的呢?在局域网中,这是通过ARP协议来完成的。ARP协议对网络安全具有重要的意义。通过伪造IP地址和MAC地址实现ARP欺骗,能够在网络中产生大量的ARP通信量使网络阻塞。所以网管们应深入理解ARP协议。
(1) 什么是ARP协议?
ARP协议是“Address Resolution Protocol”(地址解析协议)的缩写。在局域网中,网络中实际传输的是“帧”,帧里面是有目标主机的MAC地址的。在以太网中,一个主机要和另一个主机
进行直接通信,必须要知道目标主机的MAC地址。但这个目标MAC地址是如何获得的呢?它就是通过地址解析协议获得的。所谓“地址解析”就是主机在发送帧前将目标IP地址转换成目标MAC地址的过程。ARP协议的基本功能就是通过目标设备的IP地址,查询目标设备的MAC地址,以保证通信的顺利进行。
(2) 如何查看ARP缓存表?
ARP缓存表是可以查看的,也可以添加和修改。在命令提示符下,输入“arp -a”就可以查看ARP缓存表中的内容了,如附图所示。
上图中,"Internet Address"指的就是IP地址,"Physical Address"指的就是MAC地址。
用“arp -d”命令可以删除ARP表中某一行的内容;用“arp -s”可以手动在ARP表中指定IP 地址与MAC地址的对应。
2.ARP欺骗原理
其实,此起彼伏的瞬间掉线或大面积的断网大都是ARP欺骗在作怪。ARP欺骗攻击已经成了破坏网吧经营的罪魁祸首,是网吧老板和网管员的心腹大患。
从影响网络连接通畅的方式来看,ARP欺骗分为二种,一种是对路由器ARP表的欺骗;另一种是对内网PC的网关欺骗。
第一种ARP欺骗的原理是——截获网关数据。它通知路由器一系列错误的内网MAC地址,并按照一定的频率不断进行,使真实的地址信息无法通过更新保存在路由器中,结果路由器的所有数据只能发送给错误的MAC地址,造成正常PC无法收到信息。第二种ARP欺骗的原理是——伪造网关。它的原理是建立假网关,让被它欺骗的PC向假网关发数据,而不是通过正常的路由器途径上网。在PC看来,就是上不了网了,“网络掉线了”。
不过要说到ARP的欺骗原理,就不得不先说下ARP协议的工作原理。 ARP数据包根据接收对象不同,可分为两种:
1.广播包(Broadcast)。广播包目的MAC地址为FF-FF-FF-FF-FF-FF,交换机设备接收到广播包后,会把它转发给局域网内的所有主机。
2.非广播包(Non-Broadcast)。非广播包后只有指定的主机才能接收到。ARP数据包根据功能不同,也可以分为两种:(1)ARP请求包(ARP Request)。ARP请求包的作用是用于获取局域网内某IP对应的MAC地址。(2)ARP回复包(ARP Reply)。ARP回复包的作用是告知别的主机,本机的IP地址和MAC 是什么。广播的一般都是ARP请求包,非广播的一般都是ARP回复包。
假设局域网内有以下两台主机,主机名、IP地址、MAC地址分别如下:
主机名 IP地址 MAC地址
A 192.168.0.1 AA-AA-AA-AA-AA-AA
B 192.168.0.2 BB-BB-BB-BB-BB-BB
当主机A需要与主机B进行通讯时,它会先查一下本机的ARP缓存中,有没有主机B的MAC地址。如果有就可以直接通讯。如果没有,主机A就需要通过ARP协议来获取主机B的MAC地址,具体做法相当于主机A向局域网内所有主机喊一嗓子:“喂~谁是192.168.0.2?我是192.168.0.1,我的MAC地址是AA-AA-AA-AA-AA-AA。你的MAC地址是什么,快告诉我”,这时候主机A发的数据包类型为:广播-请求。当主机B接收到来自主机A的“ARP广播-请求”数据包后,它会先把主机A的IP地址和MAC地址对应关系保存/更新到本机的ARP缓存表中,然后它会给主机A发送一个“ARP非广播-回复”数据包,其作用相当于告诉主机A:“嘿,我是192.168.0.2,我的MAC地址是BB-BB-BB-BB-BB-BB”。当主机A 接收到主机B的回复后,它会把主机B的IP地址和MAC地址对应关系保存/更新到本机的ARP缓存表中,之后主机A和B就可以进行通讯了。
从上述局域网主机通讯过程可以看出,主机在两种情况下会保存、更新本机的ARP缓存表。
(1)接收到“ARP广播-请求”包时(2)接收到“ARP非广播-回复”包时。从《ARP协议工作原理》一文我们已经了解到,主机在两种情况下会保存、更新本机的ARP缓存表,接收到“ARP广播-请求”包时;接收到“ARP非广播-回复”包时。从中我们可以看出,ARP协议是没有身份验证机制的,局域网内任何主机都可以随意伪造ARP数据包,ARP协议设计天生就存在严重缺陷。
假设局域网内有以下三台主机(其中GW指网关),主机名、IP地址、MAC地址分别如下:
主机名 IP地址 MAC地址
GW 192.168.0.1 01-01-01-01-01-01
PC02 192.168.0.2 02-02-02-02-02-02
PC03 192.168.0.3 03-03-03-03-03-03
在正常情况下,主机PC02与GW之间的数据流向,以及它们各自的ARP缓存表如图2所示:
(图:2)主机PC02与GW之间的数据流向、ARP缓存表
当网络爱好者,主机PC03出现之后,他为了达到某种目的,于是决定实施一次ARP欺骗攻击。PC03首先向PC02发送了一个ARP数据包,作用相当于告诉PC02:“嘿,我是192.168.0.1,我的MAC地址是03-03-03-03-03-03”,接着他也向GW发送了一个ARP数据包,作用相当于告诉GW:“嘿,我是192.168.0.2,我的MAC地址是03-03-03-03-03-03”。于是,主机PC02与GW之间的数据流向,以及它们各自的ARP缓存表就变成如图3所示:
(图:3)攻击后的数据流向、ARP缓存表
从上图我们可以看出,ARP欺骗之后,主机PC02与GW之间的所有网络数据都将流经PC03,即PC03已经掌控了它们之间的数据通讯。以上就是一次ARP欺骗的实施过程,以及欺骗之后的效果。
3. ARP欺骗的种类
ARP欺骗根据欺骗对象可以分为三种:
(1)只欺骗受害主机。实施欺骗后效果如下:图4
(图:4)只欺骗受害主机
(2)只欺骗路由器、网关。实施欺骗后效果如下:图5
(图:5)只欺骗路由器、网关
(3)双向欺骗,即前面两种欺骗方法的组合使用。实施欺骗后的效果如下:图6
(图:6)双向欺骗
4. ARP欺骗带来的危害可以分为几大类
(1)网络异常。具体表现为:掉线、IP冲突等。
(2)数据窃取。具体表现为:个人隐私泄漏(如MSN聊天记录、邮件等)、账号被盗用(如QQ账号、银行账号等)。
(3)数据篡改。具体表现为:访问的网页被添加了恶意内容,俗称“挂马”。
(4)非法控制。具体表现为:网络速度、网络访问行为(例如某些网页打不开、某些网络应用程序用不了)受第三者非法控制。
5. ARP欺骗根据发起个体的不同可以分为两类:
(1)人为攻击。
人为攻击的目的主要是:造成网络异常、窃取数据、非法控制。
(2)ARP病毒。
ARP病毒不是特指某一种病毒,而是指所有包含有ARP欺骗功能的病毒的总称。ARP病毒的目的主要是:窃取数据(盗号等)、篡改数据(挂马等)。
6. 目前主流的ARP欺骗攻击端软件
“SKiller”、“P2P 终结者”、“聚生网管”、“网络执法官”、“AnyView”等。它们都可以单独控制某台电脑的行为,如阻止登录QQ、阻止访问指定网站,限制BT、HTTP下载、流量控制等。
7.目前主流的ARP防火墙软件
“奇虎360安全卫士”、“AntiARP-DNS个人版”、“ARP Guard”、“ARP防护大师”、“彩影ARP防火墙”等。
8. 以“P2P终结者(p2pover) v4.14”,“彩影ARP防火墙V6.0.2 单机版”
软件进行实战演练
(1)、介绍“P2P终结者(p2pover) v4.14”
“P2P终结者”是由Net.Soft工作室开发的一套专门用来控制企业网络P2P下载流量的网络管理软件。软件针对目前P2P软件过多占用带宽的问题,提供了一个非常简单的解决方案。软件基于底层协议分析处理实现,具有很好的透明性。软件可以适应绝大多数网络环境,包括代理服务器、ADSL路由器共享上网,Lan专线等网络接入环境。
“P2P终结者”的主要功能:
?带宽管理
您可以为局域网内主机分别指定最大上下行带宽,可以有效杜绝因个别主机滥用下载而导致网络中所有主机无法正常上网情况。
?P2P下载管理
您可以选择需要封锁哪些P2P下载软件,并把规则指派给对应的主机,那么这些主机就无法再使用这些P2P软件进行下载。
?聊天工具管理
您可以根据管理需要来灵活选择需要封锁哪种聊天工具,目前软件支持对QQ、MSN、泡泡、UC和飞信的管理。
?Web网页管理
您可以设置主机访问WWW网站时的规则,软件支持黑名单、白名单,也可以封锁未经允许私自开设代理的主机。
?自定义规则
软件针对主机的管理是以规则方式配置,您可以建立、编辑多个控制规则,然后将规则指派给一个主机,也可以将同一规则指派给多个主机。
?自定义时间段
您可以自己定义规则生效的时间范围,以便在正常工作时间和下班业余时间指派不同的控制规则,达到更加人性化管理。
?日流量统计
软件可以对每个被控主机统计日流量,并显示在主机列表中显示;你还可以对历史日流量进行查询。
主机扫描及备注
软件可以扫描出本地网络中所有开机并且联网的主机,您可以为每个主机添加备注,方便日后网络管理。
(2)、介绍“彩影ARP防火墙V6.0.1 单机版”
【基本介绍】
“ARP防火墙”是彩影软件从2005年开始研发,具有完全自主知识产权的软件产品,也是国内第一款提供全方位ARP问题解决方案的软件产品。
通过前面对ARP知识的介绍我们可以了解到,要保障主机与网关之间数据通讯的安全,必须要保证两点,
1. 主机获取的网关MAC是正确的
2. 网关获取的主机MAC是正确的
ARP防火墙完全可以满足上述两点要求。首先,ARP防火墙在操作系统内核层拦截虚假的ARP 数据包,保证本主机获取的网关MAC是正确的,不受虚假ARP数据包影响。同时,ARP防火墙的主动防御功能,可向网关通告本主机的正确MAC地址,保证网关获取到的本主机MAC是正确的。【软件功能】
ARP防火墙主要功能有,
1. 拦截外部ARP攻击。在系统内核层拦截接收到的虚假ARP数据包,保障本机ARP缓存表的正确性。
2. 拦截对外ARP攻击。在系统内核层拦截本机对外的ARP攻击数据包,避免本机感染ARP病毒后成为攻击源。
3. 拦截IP冲突。在系统内核层拦截接收到的IP冲突数据包,避免本机因IP冲突造成掉线等。
4. 主动防御。主动向网关通告本机正确的MAC地址,保障网关不受ARP欺骗影响。
ARP防火墙辅助功能是围绕主要功能来设计的,目的是为了让主要功能模块更好的发挥作用。辅助功能主要有,
1. 智能防御。在只有网关受到ARP欺骗的情况下,智能防御功能可以检测到并做出反应。
2. 可信路由监测。在只有网关受到ARP欺骗的情况下,可信路由监测功能可以检测到并做出反应。
3. ARP病毒专杀。发现本机有对外攻击行为时,自动定位本机所感染的恶意程序。
4. Dos攻击抑制。在系统内核层拦截本机对外的TCP SYN/UDP/ICMP/ARP DoS攻击数据包,并可定位恶意程序。
5. 安全模式。除了网关外,不响应其它机器发送的ARP请求(ARP Request),达到隐身效果,减少受到ARP攻击的几率。
6. ARP流量分析。分析本机接收到的所有ARP数据包,掌握网络动态,找出潜在的攻击者或中毒的机器。
7. 监测ARP缓存。自动监测本机ARP缓存表,如发现网关MAC地址被恶意程序篡改,将报警并自动修复。
8. 定位攻击源。发现本机受到ARP欺骗后,自动快速定位攻击者IP地址。
9. 系统时间保护。防止恶意程序修改系统时间,导致一些安全防护软件失效。
10. IE首页保护。防止IE首页被恶意程序篡改。
11. ARP缓存保护。防止恶意程序篡改本机ARP缓存。
12. 自身进程保护。防止ARP防火墙被恶意软件终止。
13. 检测局域网内的网管软件。可检测到局域网内正在运行的网管软件,如网络执法官、聚生网管、P2P终结者等。
(3)进行实战
1.实验环境:WindowsXP,局域网(共有主机7台)
2.在控制机上安装好“P2P终结者(p2pover) v4.14”并设置好,然后选择一台足迹进行实验,具体步骤如下图:
本次实验的控制主机的ip是192.168.0.7,被攻击的主机ip是192.168.0.9。
(图7)打开“P2P终结者(p2pover) v4.14”的主界面并启动控制同时查看当前局域网中的主机
情况以及网络状态
①(图8)设置一个控制规则
(集图9)建立一系列控制策略
(图10)通过监控发现主机192.168.0.9占用过大的宽带
(图11)控制该主机(即对该主机进行ARP欺骗攻击)以达到限制该主机网速的目的经过以上的步骤,即完成了对192.168.0.9主机的ARP欺骗攻击。
3.在被控制端的情况如下图:(使用360流量监控进行流量查看)
(图12)使用pps进行下载网速可达到150kb/s(这就是“图10”中发现网速异常的原因)
(图13)攻击前网速一直可达100kb/s以上
(图13)被攻击时网速急降
(图14)进而网速被中断
(图15)过三分钟,依然没网速
(图15)立即运行彩影ARP防火墙V6.0.1 单机版(马上发现外部攻击)并及时提上网速
(图16)一分钟后的网速依然很好
(图17)尽管攻击还在,但网速一直很好
(图18)查看防火墙的情况
(图19)停止攻击时的情况
(图20)攻击继续
(图21)网络流量分析情况
(图21)网络主机情况,并指出攻击主机
以上图片展示的就是ARP欺骗攻击以及防御的过程和情况。
9.总结
通过实验更清楚的展示了ARP欺骗攻击防御的基本原理与情况。网络技术在飞速发展,目前网络上还流存其他很多的ARP欺骗攻击防御的方法,本文仅以其中的一种进行试验。ARP欺骗攻击的情况与危害远远不止本文所做的实验那一种情况。本文仅对ARP欺骗攻击与防御做了很浅的分析,还望各位读者多多指教。
参考文献
[1] 黄玉春;王自南;《浅谈局域网中的嗅探原理和ARP欺骗》大众科技;2006年08期
[2]朱志勇;《局域网ARP网络欺骗型病毒的分析与防治》湖北电力;2007年04期
[3]张海燕;《ARP漏洞及其防范技术》网络安全技术与应用;2005年04期
[4] 李海鹰,程灏,吕志强,庄镇泉;《针对ARP攻击的网络防御模式设计与实现》计算机工程;2005年05期
[5] 马军;王岩;《ARP协议攻击及其解决方案》微计算机信息;2006年15期
[6] IANA《IANA ARP parameter assignments》. 2009-04-24
网络安全期末复习题及答案 选择题: 1. 计算机网络安全的目标不包括 (A) A. 可移植性 B. 保密性 C.可控性 D.可用性 2. SNMP 的中文含义为 (B) A. 公用管理信息协议 B . 简单网络管理协议 C.分布式安全管理协议 D.简单邮件传输 协议 C. 只能作为检查系统漏洞的工具 D.既可以作为攻击工具,也可以作为防御工具 4. 在以下人为的恶意攻击行为中,属于主动攻击的是 (A) A 、身份假冒 B 、数据解密 C 、数据流分析 D 、非法访问 5. 黑客利用 IP 地址进行攻击的方法有: (A) A.IP 欺骗 B.解密 C.窃取口令 D. 发送病毒 6. 使网络服务器中充斥着大量要求回复的信息,消耗带宽,导致网络或系统停止正常服务,这属 于什么攻击类型 ?(A) A 、拒绝服务 B 、文件共享 C 、BIN D 漏洞 D 、远程过程调用 7. 向有限的空间输入超长的字符串是哪一种攻击手段? (A) A 、缓冲区溢出 B 、网络监听 C 、拒绝服务 D 、IP 欺骗 8. 用户收到了一封可疑的电子邮件 ,要求用户提供银行账户及密码 , 这是属于何种攻击手段 (B) A 、缓存溢出攻击 B 、钓鱼攻击 C 、暗门攻击 D 、DDOS 攻击 9. WindowsNT 和 Windows2000系统能设置为在几次无效登录后锁定帐号 , 这可以防止: (B) A 、木马 B 、暴力攻击 C 、IP 欺骗 D 、缓存溢出攻击 10. 当你感觉到你的 Win2003 运行速度明显减慢, 当你打开任务管理器后发现 CPU 的使用率达到了 百分之百,你最有可能认为你受到了哪一种攻击。 (B) A 、特洛伊木马 B 、拒绝服务 C 、欺骗 D 、中间人攻击 11. 假如你向一台远程主机发送特定的数据包,却不想远程主机响应你的数据包。这时你使用哪一 种类型的进攻手段? (B) A 、缓冲区溢出 B 、地址欺骗 C 、拒绝服务 D 、暴力攻击 12. 小李在使用 superscan 对目标网络进行扫描时发现,某一个主机开放了 25 和 110 端口,此主 机最有可能是什么? (B) A 、文件服务器 B 、邮件服务器 C 、WEB 服务器 D 、 DNS 服务器 13. 你想发现到达目标网络需要经过哪些路由器,你应该使用什么命令? (C) A 、pingB 、nslookup C 、 tracertD 、ipconfig 14. 黑客要想控制某些用户,需要把木马程序安装到用户的机器中,实际上安装的是 (B) A .木马的控制端程序 B .木马的服务器端程序 C .不用安装 D .控制端、服务端程序都必需安装 15. 为了保证口令的安全,哪项做法是不正确的 (C) 3. 端口扫描技术 (D) A.只能作为攻击工具 B.只能作为防御工具 A 用户口令长度不少于 6 个字符 B 口令字符最好是数字、字母和其他字符的混合 C 口令显示在显示屏上 D 对用户口令进行加密 16. 以下说法正确的是 (B) A .木马不像病毒那样有破坏性 C .木马不像病毒那样是独立运行的程序 17. 端口扫描的原理是向目标主机 B .木马不像病毒那样能够自我复制 D .木马与病毒都是独立运行的程序 端口发送探测数据包,并记录目标主机的响应。 (C)
网络安全简答题精选 一、简答题 1、简述物理安全包括那些内容? 防盗,防火,防静电,防雷击和防电磁泄漏 2、简述防火墙有哪些基本功能?(写出五个功能) 建立一个集中的监视点 隔绝内外网络,保护内部网络 强化网络安全策略 对网络存取和访问进行监控和审计 实现网络地址转换 3、简述无线局域网由那些硬件组成? 无线局域网由无线网卡、AP、无线网桥、计算机和有关设备组成。 4、简述网络安全的层次体系 从层次体系上,可以将网络安全分成四个层次上的安全:物理、逻辑、操作系统和联网安全 5、简述TCP/IP协议族的基本结构 ?TCP/IP协议族是一个四层协议系统,自底而上分别是数据链路层、网络层、传输层和应用层。 6、简述网络扫描的分类及每类的特点 扫描,一般分成两种策略:一种是主动式策略,另一种是被动式策略。 被动式策略是基于主机之上,对系统中不合适的设置、脆弱的口令及其他同安全规则抵触的对象进行检查,不会对系统造成破坏。 主动式策略是基于网络的,它通过执行一些脚本文件模拟对系统进行攻击的行为并记录系统的反应,从而发现其中的漏洞,但是可能会对系统造成破坏。 7、简述常用的网络攻击手段 网络监听、病毒及密码攻击、欺骗攻击 拒绝服务攻击、应用层攻击、缓冲区溢出 8、简述后门和木马的概念并说明两者的区别
木马(Trojan),也称木马病毒,是指通过特定的程序木马程序来控制另一台计算机 后门:是绕过安全性控制而获取对程序或系统访问权的方法 本质上,木马和后门都是提供网络后门的功能,但是木马的功能稍微强大一些,一般还有远程控制的功能,后门程序则功能比较单一,只是提供客户端能够登录对方的主机 9、简述恶意代码的概念及长期存在的原因 恶意代码是一种程序,它通过把代码在不被察觉的情况下镶嵌到另一段程序中,从而达到破坏被感染电脑数据、运行具有入侵性或破坏性的程序、破坏被感染电脑数据的安全性和完整性的目的。 原因:在信息系统的层次结构中,包括从底层的操作系统到上层的网络应用在内的各个层次都存在着许多不可避免的安全问题和安全脆弱性。而这些安全脆弱性的不可避免,直接导致了恶意代码的必然存在。 10、简述安全操作系统的机制 安全操作系统的机制包括:硬件安全机制,操作系统的安全标识与鉴别,访问控制、最小特权管理、可信通路和安全审计。 11、简述密码学除机密性外还需提供的功能 鉴别、完整性、抗抵赖性 鉴别:消息的接收者应该能够确认消息的来源;入侵者不可能伪装成他人。 完整性:消息的接收者应该能够验证在传送过程中消息没有被修改;入侵者不可能用假消息代替合法消息。 抗抵赖性:发送者事后不可能虚假地否认他发送的消息。 12、简述入侵检测系统的概念及常用的3种入侵检测方法 入侵检测系统:是能够对入侵异常行为自动进行检测、监控和分析的软件与硬件的组合系统,是一种自动监测信息系统内、外入侵的安全设备 常用的方法有3种:静态配置分析、异常性检测方法,基于行为的检测方法和文件完整性检查。 13、简述网络安全框架包含的内容 网络安全策略 网络安全策略和标准 网络安全运作
网络安全期末复习题及答案 一、选择题: 1.计算机网络安全的目标不包括( A ) A.可移植性 B.性 C.可控性 D.可用性 2.SNMP的中文含义为( B ) A.公用管理信息协议 B.简单网络管理协议 C.分布式安全管理协议 D.简单传输协议 3.端口扫描技术( D ) A.只能作为攻击工具 B.只能作为防御工具 C.只能作为检查系统漏洞的工具 D.既可以作为攻击工具,也可以作为防御工具 4.在以下人为的恶意攻击行为中,属于主动攻击的是( A ) A、身份假冒 B、数据解密 C、数据流分析 D、非法访问 5.黑客利用IP地址进行攻击的方法有:( A ) A. IP欺骗 B. 解密 C. 窃取口令 D. 发送病毒 6.使网络服务器中充斥着大量要求回复的信息,消耗带宽,导致网络或系统停止正常 服务,这属于什么攻击类型? ( A ) A、拒绝服务 B、文件共享 C、BIND漏洞 D、远程过程调用 7.向有限的空间输入超长的字符串是哪一种攻击手段?( A ) A、缓冲区溢出 B、网络监听 C、拒绝服务 D、IP欺骗 8.用户收到了一封可疑的电子,要求用户提供银行账户及密码,这是属于何种攻击手段 ( B ) A、缓存溢出攻击 B、钓鱼攻击 C、暗门攻击 D、DDOS攻击 9.Windows NT 和Windows 2000系统能设置为在几次无效登录后锁定,这可以防止: ( B ) A、木马 B、暴力攻击 C、IP欺骗 D、缓存溢出攻击 10.当你感觉到你的Win2003运行速度明显减慢,当你打开任务管理器后发现CPU的使 用率达到了百分之百,你最有可能认为你受到了哪一种攻击。( B ) A、特洛伊木马 B、拒绝服务 C、欺骗 D、中间人攻击 11.假如你向一台远程主机发送特定的数据包,却不想远程主机响应你的数据包。这时 你使用哪一种类型的进攻手段?( B ) A、缓冲区溢出 B、地址欺骗 C、拒绝服务 D、暴力攻击 12.小在使用super scan对目标网络进行扫描时发现,某一个主机开放了25和110端 口,此主机最有可能是什么?( B ) A、文件服务器 B、服务器 C、WEB服务器 D、DNS服务器 13.你想发现到达目标网络需要经过哪些路由器,你应该使用什么命令?( C ) A、ping B、nslookup C、tracert D、ipconfig 14.黑客要想控制某些用户,需要把木马程序安装到用户的机器中,实际上安装的是 ( B ) A.木马的控制端程序B.木马的服务器端程序 C.不用安装D.控制端、服务端程序都必需安装 15.为了保证口令的安全,哪项做法是不正确的( C ) A 用户口令长度不少于6个字符 B 口令字符最好是数字、字母和其他字符的混
1、ARP欺骗攻击发生在什么网络范围内( 单选题) B 因特网 局域网 广域网 以上全部 请问下面哪一项属于端口扫描工具( 单选题)B Dnsmap Nmap Nessus lpconfig 一机两用在本地客户端开了什么端口( 单选题) C 444 235 22105 1324 如何防范ICMP FLOOD攻击( 不定项选择题) 使用防火墙 禁止ping请求 关闭不用的tcp端口 过滤ICMP报文 下面哪一种攻击方式最常用于破解口令( 单选题) A 字典攻击 WinNuk 哄骗 拒绝服务
从此处下载的rar加密文件文件内容是什么( 填空题) 4444 请点击下载文件 word 加密文件内容是2222 共享式网络通过什么网络设备连接( 单选题) C 防火墙 交换机 集线器 Ip欺骗是指数据包中哪个字段被篡改( 单选题) B 目的mac地址 源ip地址 目的ip地址 源mac地址 交换式网络通过什么网络设备连接( 单选题) D 防火墙 路由器 集线器 交换机 Ip地址为10.2.64.111的主机操作系统是什么( 单选题) A windows linux dns欺骗攻击什么设备将没有效果( 不定项选择题) dns服务器 防火墙 路由器 交换机
NMAP是什么( 单选题) C 攻击工具 防范工具 扫描工具 网络协议 Ip地址为10.2.64.111的主机是否存活( 单选题) B 不存活 存活 以下哪种加密算法不与其他三种相同( 单选题) A RSA IDEA 3DES RC5 Ip地址为10.2.64.112的主机开了什么服务( 单选题) C web ftp 以上两个都开了 以上两个都没开 RSA与DSA相比的优点是什么( 不定项选择题) A 它可以提供数字签名和加密功能 它使用一次性密码本 前者是分组加密后者是流加密 由于使用对称密钥它使用的资源少加密速度快 UDP Flood攻击发送udp包来攻击服务器,请问哪种服务器会响应udp请求,被UDP Flood 攻击成功( 不定项选择题)
首先使用“快照X”恢复Windows/Linux系统环境。 一.ARP欺骗攻击 实验需求: (1)本实验使用交换网络结构(参见附录B),组一、二和三间通过交换模块连接(主机A、C、E通过交换模块连接,主机B、D、F也通过交换模块连接)。因此,正常情况下,主机C无法以嗅探方式监听到主机A与主机E间通信数据,同样主机D也无法监听到主机B与主机F间的通信数据。 (2)主机C要监听主机A和主机E间的通信数据;主机D要监听主机B与主机F间的通信数据。 分析: 黑客主机通过对目标主机进行ARP欺骗攻击,获取目标主机间的通信数据。1.正常通信 (1)目标主机二单击工具栏“UDP工具”按钮,启动UDP连接工具,创建2513/udp服务端。 (2)目标主机一启动UDP连接工具,将“目标机器”IP地址指定为目标主机二的地址,目标端口与服务器一致。在“数据”文本框中输入任意内容,单击“发送”按钮,向服务端发送数据。服务端确定接收到数据。 (3)黑客主机单击工具栏“控制台”按钮,切换至/opt/ExpNIS/NetAD-Lab/Tools/ids/目录(Snort目录),执行如下命令:通过上述命令snort仅会监听源IP地址为目标主机一的、传输协议类型为UDP的网络数据 (4)目标主机一再次向目标主机二发送消息,黑客主机停止snort监听(Ctrl+C),观察snort监听结果,是否监听到目标主机间的通信数据。为什么? 没有监听到结果,目标主机不在同一个共享设备上,正常状态下目标主机一和二间的通信,黑客主机监听不到它们之间的信息。 (5)目标主机一查看ARP缓存表,确定与目标主机二的IP相映射的MAC 地址是否正常。
第5章 1判断题 1-1 TCP/IP是ARPAnet中最早使用的通信协议。(×) 1-2 TCP/IP最早应用在ARPAnet中。(√) 1-3 由于在TCP协议的传输过程中,传输层需要将从应用层接收到的数据以字节为组成单元划分成多个字节段,然后每个字节段单独进行路由传输,所以TCP是面向字节流的可靠的传输方式。(√) 1-4 ARP缓存只能保存主动查询获得的IP和MAC的对应关系,而不会保存以广播形式接收到的IP和MAC的对应关系。(×) 1-5 ARP欺骗只会影响计算机,而不会影响交换机和路由器等设备。(×) 1-6 DHCP服务器只能给客户端提供IP地址和网关地址,而不能提供DNS的IP地址。(×) 1-7 TCP和UDP一样都是面向字节流的数据传输方式。(×) 1-8 在使用DNS的网络中,只能使用域名来访问网络,而不能使用IP地址。(×) 1-9 DNS缓存中毒是修改了用户端计算机缓存中的解析记录,将域名指向错误的IP地址。(×) 1-10 在DNSSEC系统中,只要在DNS服务器之间进行安全认证,而不需要在DNS客户端进行安全认证。(×)2 填空题 2-1 在网络接口层,将添加了网络首部的协议数据单元称网络组分组或数据帧。 2-2 用户在通过ADSL拨号方式上网时,IP地址及相关参数是DHCP服务器分配的。 2-3 TCP SYN泛洪攻击属于一种典型的DOS 攻击。 2-4 DNS同时调用了TCP和UDP的53端口,其中UTP 53 端口用于DNS客户端与DNS服务器端的通信,而TCP 53 端口用于DNS区域之间的数据复制。 3 选择题 3-1 下面关于IP协议的描述,不正确的是(B ) A. 提供一种“尽力而为”的服务 B. 是一种面向连接的可靠的服务 C. 是TCP/IP体系网络层唯一的一个协议 D. 由于IP协议的PDU称为分组,所以IP网络也称为分组网络 3-2 下面关于ARP工作原理的描述,不正确的是(C ) A. 是通过IP地址查询对应的MAC地址 B. ARP缓存中的数据是动态更新的 C. ARP请求报文可以跨网段传输 D. ARPA是通过AMC查询对应的IP地址 3-3 ARP欺骗的实质是(A ) A. 提供虚拟的MAC与IP地址的组合 B. 让其他计算机知道自己的存在 C. 窃取用户在网络中传输的数据 D. 扰乱网络的正常运行 3-4 在Windows操作系统中,对网关IP和MAC地址进行绑定的操作为(C ) A. ARP –a 192.168.0.1 00-0a-03-aa-5d-ff B. ARP –d 192.168.0.1 00-0a-03-aa-5d-ff C. ARP –s 192.168.0.1 00-0a-03-aa-5d-ff D. ARP –g 192.168.0.1 00-0a-03-aa-5d-ff 3-5 无法提供DHCP服务的设备可能是( C ) A. 无线路由器 B. 交换机 C. 集线器 D. 运行Windows 2008操作系统的计算机 3-6 DHCP Snooping的功能是(B ) A. 防止ARP欺骗 B. 防止DHCP欺骗 C. 进行端口与MAC地址的绑定 D. 提供基于端口的用户认证 3-7 TCP SYN泛洪攻击的原理是利用了(A ) A. TCP三次握手过程 B. TCP面向流的工作机制 C. TCP数据传输中的窗口技术 D. TCP连接终止时的FIN报文 3-8 在Windows操作系统中,如果要显示当前TCP和UDP的详细通信情况,可以运行( D ) A. ARP –a B. ipconfig/all C. netstat –nab D. ne -ab 3-9 DNS的功能是( B ) A. 建立应用进程与端口之间的对应关系 B. 建立IP地址与域名之间的对应关系
答:计算机网络安全所面临的威胁主要可分为两大类:一是对网络中信息的威胁,二是对网络中设备的威胁(2分)。从人的因素考虑,影响网络安全的因素包括: (1)人为的无意失误。(1分) (2)人为的恶意攻击。一种是主动攻击,另一种是被动攻击。(1分) (3)网络软件的漏洞和“后门”。 (1分) 2.网络攻击和防御分别包括哪些内容?(我们学的是远程攻击与防御P33) 答:网络攻击:网络扫描、监听、入侵、后门、隐身;网络防御:操作系统安全配置、加密技术、防火墙技术、入侵检测技术。3.网络安全橘皮书是什么,包括哪些内容? 答:可信计算机评价准则TCSEC,4档8级(P17-18) 4.分析TCP/IP协议,说明各层可能受到的威胁及防御方法。(P219) 答:网络层:IP欺骗欺骗攻击,保护措施:防火墙过滤、打补丁;传输层:应用层:邮件炸弹、病毒、木马等,防御方法:认证、病毒扫描、安全教育等。 5.读图,说明网络信息安全传输的基本环节和过程。 答:图示为源宿两端的信息发送和接收过程。源文件进行信息摘要(HASH)-》加密(私钥)-》连同原文再次加密(公钥)--》解密(私钥)-》摘要验算等。 6.请分析网络安全的层次体系。 答:从层次体系上,可以将网络安全分成四个层次上的安全:物理安全、逻辑安全、操作系统安全和联网安全。 7.请分析信息安全的层次体系。 答:信息安全从总体上可以分成5个层次:安全的密码算法,安全协议,网络安全,系统安全以及应用安全。 9.基于IPV4版本及TCP/IP协议模型的安全模型,有哪些补丁(协议)? 答:IPSec、ISAKMP、MOSS PEM PGP S/MIME、SHTTP SSH Kerberos等。 10.请说明“冰河”木马的工作方式。 答:病毒通过修改系统注册表,通过执行文本文件的双击打开操作,驻留病毒程序,伺机实现远端控制目的。 11.请分析以下代码的作用和涵义。 答:lRetCode = RegOpenKeyEx ( HKEY_LOCAL_MACHINE, "SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Winlogon", 0, KEY_WRITE, &hKey1 ); //以写方式打开注册表,&hKey1 为句柄 lRetCode = RegSetValueEx ( hKey1, "DefaultUserName", 0,REG_SZ,(byte*)"Hacker_sixage",20); //修改注册表值,将"DefaultUserName"设置为"Hacker_sixage" 1.简述防范远程攻击的技术措施。(P31) 答:防范远程攻击的主要技术措施有防火墙技术、数据加密技术和入侵检测技术等。(2分) (1)防火墙技术。用来保护计算机网络免受非授权人员的骚扰和黑客的入侵。(1分) (2)数据加密技术。数据加密技术已经成为所有通信安全的基石。(1分) (3)入侵检测技术。是一种防范远程攻击的重要技术手段,能够对潜在的入侵动作做出记录,并且能够预测攻击的后果。(1分) 2.防范远程攻击的管理措施有那些?(P30) 答:防范远程攻击的管理措施: (1) 使用系统最高的安全级别。高安全等级的系统是防范远程攻击的首选。(2分) (2) 加强内部管理。为对付内部产生的黑客行为,要在安全管理方面采取措施。(2分) (3) 修补系统的漏洞。任何系统都是有漏洞的,应当及时堵上已知的漏洞并及时发现未知的漏洞。(1分) 5. 缓冲区溢出攻击的原理是什么? 答:缓冲区溢出攻击指的是一种系统攻击的手段,通过往程序的缓冲区写超出其长度的内容,造成缓冲区的溢出,从而破坏程序的堆栈,使程序转而执行其他指令,以达到攻击的目的。(3分) 缓冲区溢出攻击最常见的方法是通过使某个特殊程序的缓冲区溢出转而执行一个Shell,通过Shell的权限可以执行高级的命令。如果这个特殊程序具有System权限,攻击成功者就能获得一个具有Shell权限的Shell,就可以对系统为所欲为了。(2分) 6.简述社会工程学攻击的原理。 答:利用计谋和假情报去获得密码和其他敏感信息的科学。攻击主要有两种方式:打电话请求密码和伪造邮件等。
网络安全中主要的攻击手段和防范措施 摘要:网络的重要性日益突出,网络应用中的安全问题也愈发引人关注,网络安全中对于密码的威胁与相关的防范是最重要的部分之一,因此,了解网络安全体系中密码相关的一些术语与协 议,以及常见的攻击软件与攻击手段能有效的避免大部分的威胁与攻击,减少因为密码信息 泄露而造成的财产损失。 关键词:网络安全,协议,算法,用户,密码…… The main means of attack in the network security and preventive measures Abstract:The growing importance of networks , network applications, security issues also become more concentrate,the password for the network security threats and related prevention is one of the most important part , therefore , to understand the network security system in a number of password-related terminology and protocols , and common means of attack and attack software can effectively prevent most of the threats and attacks , reducing the password information leak caused damage to property . Key words:n e twork,security,algorithm,user,password…… 1 引言
网络安全知识入门 近日,因为工作需要,对于网络安全的一些基础的知识做了一些简单的了解,并整理成总结文档以便于学习和分享。 网络安全的知识体系非常庞大,想要系统的完成学习非简单的几天就可以完成的。所以这篇文章是以实际需求为出发点,把需要用到的知识做系统的串联起来,形成知识体系,便于理解和记忆,使初学者可以更快的入门。 首先我们要对网络安全有一个基本的概念。网络安全是指网络系统的硬件、软件及其系统中的数据受到保护,不因偶然的或者恶意的原因而遭受到破坏、更改、泄露,系统连续可靠正常地运行,网络服务不中断。简单来说就是,保护网络不会因为恶意攻击而中断。了解了网络安全的职责,我们就可以从网络攻击的方式,网络攻击检测手段等几个方面来处理。在实际的学习中,我发现直接上手去学习效率并不是很好,因为网络安全也有很多的专业名词是不了解的所以在系统的学习之前对本文可能涉及到的专业名词做一个解释很有必要。 1.IRC服务器:RC是Internet Relay Chat 的英文缩写,中文一般称为互联网中继聊天。IRC 的工作原理非常简单,您只要在自己的PC上运行客户端软件,然后通过因特网以IRC协议连接到一台IRC服务器上即可。它的特点是速度非常之快,聊天时几乎没有延迟的现象,并且只占用很小的带宽资源。 2.TCP协议:TCP(Transmission Control Protocol 传输控制协议)是一种面向连接的、可 靠的、基于字节流的传输层通信协议。TCP的安全是基于三次握手四次挥手的链接释放协议(握手机制略)。 3.UDP协议:UDP 是User Datagram Protocol的简称,UDP协议全称是用户数据报协议, 在网络中它与TCP协议一样用于处理数据包,是一种无连接的协议。其特点是无须连接,快速,不安全,常用于文件传输。 4.报文:报文(message)是网络中交换与传输的数据单元,即站点一次性要发送的数据块。报 文包含了将要发送的完整的数据信息,其长短很不一致,长度不限且可变。 5.DNS:DNS(Domain Name System,域名系统),因特网上作为域名和IP地址相互映射 的一个分布式数据库,能够使用户更方便的访问互联网,而不用去记住能够被机器直接读取的IP数串。DNS协议运行在UDP协议之上,使用端口号53。DNS是网络攻击中的一个攻击密集区,需要重点留意。 6.ICMP协议:ICMP是(Internet Control Message Protocol)Internet控制报文协议。它是 TCP/IP协议族的一个子协议,用于在IP主机、路由器之间传递控制消息。 7.SNMP协议:简单网络管理协议(SNMP),由一组网络管理的标准组成,包含一个应用层 协议(application layer protocol)、数据库模型(database schema)和一组资源对象。该协议能够支持网络管理系统,用以监测连接到网络上的设备是否有任何引起管理上关注的情况。
第 1 章密码学基础 一、选择题 1. 计算机网络是地理上分散的多台(C)遵循约定的通信协议,通过软硬件互联的系统。 A. 计算机 B. 主从计算机 C. 自主计算机 D. 数字设备 2. 密码学的目的是(C)。 A. 研究数据加密 B. 研究数据解密 C. 研究数据保密 D. 研究信息安全 3. 假设使用一种加密算法,它的加密方法很简单:将每一个字母加5,即a加密成f。这种算法 的密钥就是5,那么它属于(A)。 A. 对称加密技术 B. 分组密码技术 C. 公钥加密技术 D. 单向函数密码技术 4. 网络安全最终是一个折衷的方案,即安全强度和安全操作代价的折衷,除增加安全设施投资 外,还应考虑(D)。 A. 用户的方便性 B. 管理的复杂性 C. 对现有系统的影响及对不同平台的支持 D. 上面3项都是 5.A方有一对密钥(K A公开,K A秘密),B方有一对密钥(K B公开,K B秘密),A方向B方发送数字签名M,对信息M加密为:M’= K B公开(K A秘密(M))。B方收到密文的解密方案是 (C)。 A. K B公开(K A秘密(M’)) B. K A公开(K A公开(M’)) C. K A公开(K B秘密(M’)) D. K B秘密(K A秘密(M’)) 6. “公开密钥密码体制”的含义是(C)。 A. 将所有密钥公开 B. 将私有密钥公开,公开密钥保密 C. 将公开密钥公开,私有密钥保密 D. 两个密钥相同 二、填空题 1.密码系统包括以下4个方面:明文空间、密文空间、密钥空间和密码算法。 2.解密算法D是加密算法E的逆运算。 3.常规密钥密码体制又称为对称密钥密码体制,是在公开密钥密码体制以前使用的密码体制。
网络安全知识—常见的攻击类型
常见的网络攻击类型 一旦非正常报文或攻击报文流入内网中,不仅会耗尽您服务器的资源,使服务器无法正常工作,还会影响您的整个网络,引起网络拥塞,以下几种都是网络中最常见、最普遍使用的攻击手段。 类型简单介绍防御 Floo d防护 SYN Flood (SYN洪 水) SYN Flood是 一种广为人知 的DoS(拒绝 服务攻击)与 DDoS(分布式 拒绝服务攻 击)的方式之 一,这是一种 利用TCP协议 缺陷,发送大 量伪造的TCP 连接请求,从 而使得被攻击 方资源耗尽 (CPU满负荷 在防火墙上过 滤来自同一主 机的后续连接。 未来的SYN洪 水令人担忧,由 于释放洪水的 并不寻求响应, 所以无法从一 个简单高容量 的传输中鉴别 出来。
或内存不足)的攻击方式。攻击者向目标服务器发送海量包含SYN标志的TCP报文,服务器接收到之后会为这些会话预留资源,并等待与攻击者完成TCP三次握手建立链接。而攻击者发送完海量包含SYN 标志的TCP报文之后,不再进行下一步操作。导致服务器资源被大量占用无法释放,甚至无法
再向正常用户提供服务。 ICMP Flood 拒绝服务攻击 常用手段之 一。攻击者向 目标服务器发 送海量ping request的请 求报文,服务 器需要占用资 源回应这些海 量的ping报 文,导致服务 器无法处理正 常数据,甚至 无法再向正常 用户提供服 务。 防火墙配置 UDP Flood (UDP洪水)拒绝服务攻击 常用手段之 一。不同UDP 协议下的应 关掉不必要的 TCP/IP服务, 或者对防火墙 进行配置阻断
网络安全:接入网常见的攻击及防范 电信级IP技术的发展成熟使得话音、数据、视频和移动等应用的融合成为必然,统一通讯已成为发展的趋势。以IP技术为核心进行网络改造并承载多种新型业务以提升竞争力,是固网运营商的发展方向。而以太网技术由于标准化程度高、应用广泛、带宽提供能力强、扩展性良好、技术成熟,设备性价比高,对IP的良好支持,成为城域网和接入网的发展趋势。但是,由于以太网技术的开放性和其应用广泛,也带来了一些安全上的问题。特别是当网络由原有的单业务承载转为多业务承载时,安全问题带来的影响愈发明显,已经逐步影响到业务的开展和部署。 目前接入网常见的攻击包括ARP“中间人“攻击、IP/MAC欺骗攻击、DHCP/ARP报文泛洪攻击等。 网络攻击 ARP“中间人”攻击 按照ARP协议的设计,一个主机即使收到的ARP应答并非自身请求得到的,也会将其IP地址和MAC地址的对应关系添加到自身的ARP映射表中。这样可以减少网络上过多的ARP数据通信,但也为“ARP欺骗”创造了条件。 如下图示,Host A和Host C通过Switch进行通信。此时,如果有黑客(Host B)想探听Host A和Host C之间的通信,它可以分别给这两台主机发送伪造的ARP应答报文,使Host A和Host C用MAC_B更新自身ARP映射表中与对方IP地址相应的表项。此后,Host A 和Host C之间看似“直接”的通信,实际上都是通过黑客所在的主机间接进行的,即Host B担当了“中间人”的角色,可以对信息进行了窃取和篡改。这种攻击方式就称作“中间人(Man-In-The-Middle)攻击”。 IP/MAC欺骗攻击 常见的欺骗种类有MAC欺骗、IP欺骗、IP/MAC欺骗,黑客可以伪造报文的源地址进行攻击,其目的一般为伪造身份或者获取针对IP/MAC的特权,另外此方法也被应用于DoS( Deny of Service,拒绝服务)攻击,严重的危害了网络安全。 为了防止IP/MAC欺骗攻击,H3C低端以太网交换机提供了IP过滤特性,开启该功能后,交换机可以强制经过某一端口流量的源地址符合动态获取的DHCP Snooping表项或静态配置的IP与MAC绑定表项的记录,防止攻击者通过伪造源地址来实施攻击。此外,该功能也可以防止用户随便指定IP地址,造成的网络地址冲突等现象。 DHCP报文泛洪攻击 DHCP报文泛洪攻击是指:恶意用户利用工具伪造大量DHCP报文发送到服务器,一方面恶意耗尽了IP资源,使得合法用户无法获得IP资源;另一方面,如果交换机上开启了DHCP Snooping功能,会将接收到的DHCP报文上送到CPU。因此大量的DHCP报文攻击设备会使DHCP服务器高负荷运行,甚至会导致设备瘫痪。 ARP报文泛洪攻击 ARP报文泛洪类似DHCP泛洪,同样是恶意用户发出大量的ARP报文,造成L3设备的ARP表项溢出,影响正常用户的转发。 安全防范 对于上述的几种攻击手段,H3C接入网解决方案在用户接入侧利用DHCP SNOOPING,提供相应的防范手段。