网吧常用安全技术
网吧常用安全技术
1.1 Arp病毒攻击
长期以来,局域网内经常会受到ARP病毒的攻击,其病毒攻击的原理是通过伪造IP地址和MAC地址实现ARP欺骗,破坏内网中的主机和路由器交换设备ARP高速缓存机制,症状严重时会造成网络流量增大、设备CPU利用率过高、交换机二层生成树环路、短时间内全部断网或部分断网、主机上网不稳定,或者交换机短时瘫痪等状况。
1.1.1 ARP地址解析协议
在局域网中,IP数据包通过以太网进行发送。但以太网设备并不识别32位的IP地址,而是以48位以太网地址,传输以太网数据包(即以“帧”形式发送)。设备驱动程序从不检查IP数据报文中的目的IP地址。这就需要将IP目的地址转换成以太网目的地址。ARP就是用来确定这些映像的协议,既地址解析协议。所谓“地址解析”就是主机在发送帧前将目标IP地址转换成目标MAC地址的过程。ARP协议的基本功能就是通过目标设备的IP地址,查询其MAC地址,以保证通信的顺利进行。每台装有TCP/IP协议的主机或服务器内都配有一个ARP缓存表,表内的IP地址与MAC地址一一对应。ARP缓存表采用了老化机制,在同一段时间内如果表中的某一行没有使用,就会被删除,这样可以减少ARP缓存的长度,加快查询速度。
IP地址与MAC地址对应表
假设219.219.108.1(主机A)向219.219.108.2(主机B)传送数据,ARP的工作过程为:首先主机A会在自己的ARP缓存表中寻目标主机B的IP地址。若到,也就知道了B的MAC地址,就可直接把目标MAC地址写入帧内发送给B;若未到,主机A就会在同网段内发送一个以太网广播数据包,目标MAC地址是“FF.FF.FF.FF.FF.FF”,即向同一网段内的所有主机发出这样的请求包,询问219.219.108.2的MAC地址。此时,只有目的主机B在接收到这个帧时,会向A发出表述“219.219.108.2的MAC地址是00-aa-00-64-f5-03”的一个含有IP和以太网地址对的数据应答包。而网络上的其它主机对ARP询问不会给予回应。这样,A就知道了B的MAC地址,也就可以向B传递信息了。同时,A将这个地址存入高速缓存,更新自己的ARP缓存表。下次再向主机B发送信息时,就可直接从ARP 缓存表里查。
受到arp攻击1.1.2 ARP攻击原理
通过ARP的工作原理可知,系统的ARP缓存表是可以随时更新的动态转换表,表中的IP和MAC是可以被修改的,这样,在以太网中就很容易实现ARP欺骗。
ARP攻击可分为“中间人”攻击、MAC/CAM攻击、DHCP攻击、地址欺骗等,攻击形式表现为对外网和对内网PC机和网络交换机、DHCP服务的欺骗。
1.1.
2.1 对内网IP/MAC的欺骗
局域网内的每个主机都用一个ARP高速缓存,用于存放近期内IP地址到MAC硬件地址之间的映射纪录。缓存中的IP-MAC条目是根据ARP响应包动态变化的,因此只要网络上有ARP响应包发送到本机,就会更新ARP高速缓存中的IP-MAC条目。同时,即使收到的ARP应答并非自己请求得到的,主机也会将其插入到自己的ARP缓存表中,这就造成了“ARP欺骗”的可能。典型的攻击是MITM(man-in-the-middle,中间人攻击)。例如,当攻击者想探听同一网络中两台主机之间的通信(即使是通过交换机相连,也可探听),就分别向这两台主机发送一个ARP应答机,让两台主机都“误”认为对方的MAC地址是攻击者所在的主机,这样,双方看似“直接”的通讯连接,实际上都是通过“中间人”所在的主机间接进行的,攻击者只需更改数据包中的一些信息,就能做好转发工作,从而嗅探到用户账号密码等机密信息。
目前利用ARP原理编制的工具十分简单易用,这些工具可以直接嗅探和分析FTP、POP3、SMB、SMTP、HTTP/HTTPS、SSH、MSN等超过30种应用的密码传输内容,随时切断指定用户的连接。当攻击者发送大量持续伪造的ARP包时,还会造成局域网中的机器ARP缓存混乱,上网不稳定。
下图中,219.219.108.1的MAC由原来的00-0f-3d-83-76-33被篡改为病毒主机的MAC 00-90-f5-34-5a-23。该网段的网关地址的MAC被篡改,同时局域网内的部分MAC也被篡改为00-00-00-00-00,导致该网段的许多主机无法正常上网。
被病毒主机攻击后的客户机ARP缓存表
1.1.
2.2 SWITCH的CAM欺骗
SWITCH(交换机)上同样有着一个动态的MAC缓存。它会主动学习客户端的MAC 地址,并建立维护端口和MAC地址的对应表,以此建立交换路径,这就是通常所说的CAM 表。也称MAC-PORT缓存。CA
M表的大小是固定的,不同交换机的CAM表的大小不同,开始时表内并无内容,交换机从来往数据帧中学习,CAM表也就不断地填充和更新。
对CAM的攻击是指利用木马程序产生欺骗MAC,快速添瞒CAM表,CAM表被填瞒后,交换机以广播方式处理通过交换机的报文,以前正常的MAC和PORT对应的关系被破坏,这时攻击者就可利用各种嗅探攻击获取网络信息。CAM表填满后,流量会以洪泛方式发送到所有端口,同时TRUNK接口上的流量也会发给所有接口和邻接交换机,这就会造成交换机负载过大、网络缓慢、丢包,甚至是瘫痪。
在ARP欺骗木马开始运行的时候,局域网有相当数量的主机MAC地址会被更新为病毒主机的MAC地址(即这些主机的MAC地址都一致为病毒主机的MAC地址),只有当
ARP欺骗的木马程序停止运行时,才能恢复到真实的MAC地址。
1.1.
2.3 DHCP 服务的攻击
采用DHCP Server可以自动为用户设置网络IP地址、掩码、网关、DNS等网络参数,从而简化设置、提高效率。但DHCP的运作通常没有服务器和客户端的认证机制,病毒对其攻击的方式通常会表现为DHCP Server的冒充、DHCP Server的DOS攻击等。所谓冒充,就是耗尽DHCP服务器所能分配的IP地
址,然后冒充合法的DHCP服务器,为用户分配一个经过修改的DNS Server,将用户在毫无察觉的情况下引导到预先配好的假网站,骗取其账户密码等机密信息。
1.1.3 ARP病毒分析
ARP病毒多数属于木马程序或蠕虫类病毒,例如pwsteal.lemir或其变种。病毒运作机理大多是通过组件,用病毒文件覆盖掉操作系统中的一些驱动程序,然后用病毒的组件注册(并监视)为内核级驱动设备,同时负责发送指令操作驱动程序,例如发送ARP欺骗包、抓包,过滤包等。这些病毒程序的破坏表现症状为,欺域网内所有主机和交换机,让局域网中总的信息流量必须经过病毒主机。原来直接通过交换机上网的其它用户,转而通过病毒主机上网,切换时会断线一次。由于ARP欺骗的木马程序发作时会发出大量的数据包导致局域网通讯堵塞,加之自身处理能力的限制,用户会感觉上网速度越来越慢。当ARP欺骗的木马程序停止运行,用户会恢复为从交换机上网。
木马程嗅探导致内网主机短时间断网过程
1.1.4 防御措施
根据ARP病毒对网主机和交换机、DHCP服务器攻击的特点,在防治该病毒时也必须对这3个环节加强防护。然而,目前对ARP的防御还存在着设备技术有限、病毒专杀工具不完善,实施有一定难度等诸多问题,要完全克服ARP协议缺陷,到更便捷有效的防御方法,仍然任重道远。
1.1.4.1 应急措施
发现病毒攻击时,首先应从病毒源头直接采取便捷的方法:
1、在客户机上进入MS-DOS窗口,输入命令“arp-a”,查看网关IP所对应的正确的MAC地址,将其纪录下来。若此时已经不能上网,则先运行一次命令“arp-d”将arp缓存
中的内容删空,计算机便可暂时恢复上网(攻击如果不停止的话),一旦能上网就立刻断开网络(禁用网卡或拔掉网线),然后再运行“arp –a”。
2、取得网关的正确MAC地址后,不能上网的情况下,手工绑定网关IP和正确的MAC,可确保计算机不再被攻击影响。手工绑定的方法是,在MS-DOS窗口下运行命令“Arp-s 网关IP网关MAC”。这时,类型
会变为静态(static),也就不会再受到攻击的影响。但是,手工绑定在计算机重启后就会失效,需要再次绑定。对于这一问题,可写一个在每次开机时自动绑定的批处理文件:
@echo off
arp –d
arp s 网关IP网关MAC
将文件中的网关IP地址和MAC地址更改为正确的网关IP地址和MAC地址,然后放入“windows-开始-程序-启动”中。
但是,要想真正彻底根除攻击,只有出网段内被病毒感染的计算机,然后杀毒。
1.1.4.2 定期防御
1、对于交换设备,可使用可防御ARP攻击的交换机(例如思科等多功能交换机),综合运用port security feature 、DHCP Snooping 、Dynamic ARP inspection(DAI)、IP source guard 等一些关键技术,来建立动态的IP+MAC+PORT对应表和绑定关系、实时控制ARP流量、建立DHCP嗅探匹配表等。并合理划分VLAN,进行端口隔离,彻底杜绝在交换环境中实施的“中间人”攻击、MAC/CAM攻击、DHCP攻击、地址欺骗等。
2、对于主机,应及时安装、更新防病毒软件,对内存和硬盘进行全面地防毒、杀毒。并及时下载ANTI ARP SNIFFER等专杀工具,保护本地计算机的正常运行。
3、及时更新操作系统、升级IE、打上各种漏洞补丁。
4、不要随便共享文件或文件夹,必须共享时,也应先设置好权限,尽量不开放可写或可控制权限。不要随便打开或运行陌生、可疑的文件和程序,例如邮件中的陌生附件,外挂程序等。关闭一些不需要的服务,完全单机的用户可直接关闭SERVER服务。使用移动存储介质进行数据访问时,先对其进行病毒检查。操作系统应设置6位以上的密码。
5、使用网络防火墙软件。网络防火墙在防病毒过程中的作用至关重要,它能有效阻止来自网络的攻击和病毒入侵。
1.2 木马入侵
木马(Trojan Horse,特洛伊木马)病毒的名称,来自于一个古希腊的特洛伊木马传说,现在专指为计算机入侵者打开方便之门的程序。
在现今的网络上,特洛伊木马和蠕虫病毒、垃圾邮件已经一起构成了影响网络正常秩序的三大公害。自20世纪80年代早期出现第一例木马至今,20多年时间里,木马技术飞速发展。毫无疑问,今后木马技术
仍将不断前进,功能会越来越多样、伪装术和入侵手段将会
越来越高明。基于木马入侵的攻与防必将是网络安全领域一场旷日持久的对抗。
1.2.1 木马病毒的原理
木马病毒属于客户/服务器模式,分为客户端和服务器端。服务器端程序骗取用户执行后,便植入计算机作为响应程序;客户端程序在黑客的计算机中执行,用于连接服务器端程序,以监视或控制远程计算机。典型的木马病毒是服务器端程序在服务器上打开一个特定端口进行监听,若有客户机向这台服务器的这一端口提出连接请求,服务器上的相应程序就会自动运行,来应答客户机的请求。服务器端程序与客户端建立连接后,由客户端发出指令,然后服务器执行这些指令后将数据传送至客户端。
1.2.2木马入侵的步骤
攻击者利用木马入侵他人电脑,一般按照如下步骤进行:
1、配置木马
为实现木马伪装和信息反馈,在对木马进行传播之前,黑客会对木马进行具体配置。
2、传播木马
木马传播的方式多种多样。例如,控制端可将巧妙伪装的木马程序以附件形式通过邮件发送出去,收信人只要打开附件,系统就会感染木马。或者也可通过软件下载,利用系统或软件的漏洞等进行木马传播,使木马入侵被控端。
3、运行木马
服务端用户运行木马或捆绑木马程序后,木马就会自动安装。首先木马会将自身拷贝到Windows的系统文件夹中,然后在注册表、启动组等位置设置好木马触发条件。
4、实现远程控制
控制端和服务端都在线时,控制端通过木马端口与服务端建立连接,然后就可通过木马程序对服务端进行远程控制。
1.2.3 木马病毒的特征
1、隐蔽性强
普通的木马服务器端运行后都会生成一个独立进程,较高级的木马(例如灰鸽子)则可以注册为系统后台服务,从而在任务管理器中实现进程隐藏。新型的DLL木马则会采用线程插入技术,将代码嵌入正在
运行的系统进程中,从而实现高级隐藏。这种木马既无法通过进程管理器来查,也不能直接终止进程的运行,危害巨大。
2、启动方式多样化
木马一般会借助修改启动分区的Autoexec.bat批处理文件、自动执行功能文件AutoRun. inf、注册表中的相关启动项、系统配置文件system.ini和win.ini,以及与某类型文件(例如*.TXT、*.EXE等)建立文件关联等手段来实现程序的自动运行,从而达到随系统启动或满足触发条件即自动运行的目的。
3、伪装方式多样化
为实现长期隐蔽,木马除使用常见文件名或扩展名(例如dll、win)或者仿制一些不易

版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。