在网络中充斥着大量的诱惑和陷阱,用户一不小心就可能掉进圈套,造成严重的损失,如网银被盗、游戏高级账号被盗等。为了保护用户数据的安全,有必要了解一些渗透入侵中的嗅探与欺骗技术,以及一些防御方法保护自己计算机的安全。
功能强大的嗅探器Sniffer
嗅探器既能用于合法网络管理也能用于窃取网络信息,如监视网络流量、分析数据包、监视网络资源利用、执行网络安全操作规则、鉴定分析网络数据以及诊断并修复网络问题等,都可以使用嗅探器来检测和维护。而非法的嗅探器则严重威胁着网络安全性。
对于网络上数据的嗅探侦听,可以分为两种途径,一种是将嗅探器(Sniff)工具软件放到网络连接的设备或放到可以控制网络连接设备的电脑上(如网关服务器、路由器等),当然要实现这样的效果还需要通过其他黑客技术(如通过木马方式)将嗅探器发给网络管理员,使其不自觉地把嗅探器进行安装。另一种足针对不安的局域网,如采用变换hub原理来实现通信的网络,只要把嗅探器放到个人电脑上就可以实现对整个局域网的侦听。
嗅探器只能捕捉通过所在机器的数据包,因此如果要使它能捕捉尽可能多的信息,安装前应该对所处网络的结构有所了解。例如:在环形拓扑结构的网络中,安装在其中任意一台机器上都可以捕捉到其他机器的信息包(当然不是全部),而对于使用交换机连接的交换网络,很有可能就无法捕捉到其他两台机器问通信的数据,而只能捕捉到与本机有关的信息。
嗅探器鼻祖TcpDump
TcpDump可以将网络中传送的数据包的“头”完全截获下来提供分析。它支持针对网络层、协议、主机、网络或端口的过滤,并提供and、or、not等逻辑语句去掉无用的信息。TcpDump运行后其起始界面Il-1。在Windows XP系统中可以利用TcpDump检查访问服务器中的文件包信息,从而监测自己网络中的问题所在,ll-2。
tcpdump支持相当多的不同参数,如使用-i参数指定tcpdump监听的网络界面,这在计算机具有多个网络界面时非常有用,使用一c参数指定要监听的数据包数量,使用-w参数指定将监听到的数据包写入文件中保存。从上述输出结果上可以看出来,基本上tcpdump检测结果的输出格式为:系统时间来源主机端口目标主机端口数据包参数。
用于捕获数据的SnifferPro嗅探器
协议分析软件Snif-fer町运行在各种Windows平台上性能优越。同时,Sniffer支持的协议更丰富,如PPPOE协议有时在其他嗅探器中并不被支持,而在Sniffer 上能够进行快速解码分析。使用SnifferPro嗅探器捕获数据的操作步骤如下。
下裁并安装Sniffer Pro嗅探器,重新启动系统后,选择“开始”→“所有程序”“Network General”→“Sniffer Protable”→“Sniffer Protable”菜单项,打开“Sniffer Protable”主窗口,11-3。
选择“file”→“Select Settings”菜单项,打开“Settings(设置)”对话框,在其中选择本机正在运行的网卡,11-4。
单击“确定”按钮,开始对本机正在运行的网卡进行数据捕获。在“SnifferProtable”工具栏中单击“Dashboard(仪表盘)”按钮,打开“Dashboard”窗口,在其中可以盘看网络情况、错误扫描、粒度分布等信息,11一5。
为了能够更精准地捕获到自己需要的数据资料,还需要对Sniffer Pro的相关参数进行设置。选择“Tools”→“Options”菜单项,打开“Options”对话框,在“General”选项卡中可以设置更新频率、显示的工具栏及Sniffer Pro的一些显示方式选项,11-6。
选择“MAC Threshold(MAC阈)”选项卡,在其中可以设置网卡的阈值,11-7。选择“App Threshold(应用阈)”选项卡,在其中可以设置各种协议的阈值,11-8。
选择“Alarm(警报)”选项卡,在其中可以设置发生异常情况下是否报警、报警的次数、报警的声音、报警的动作等选项,11-9;选择“Protocols(协议)”选项卡,在其中可以设置监听的协议及其端口,II-IO。
选择“Protocol Forcing(协议强度)”选项卡,在其中可以设置监听的规则,II—Il;选择“Real Time(实时)”选项卡,在其中可以设置实时监听的时间问隔,11-12。在设置完成后,单击“确定”按钮,保存设置
在“Sniffer Pro”主操作界面中“捕获”工具栏(11-13)上单击“开始”按钮img alt="图片1.png" src="http:www.weixianmanbu.comzb_usersupload201608201608091470724560106009.png">,开始捕获报文数据,单击“停止”按钮img alt="图片2.png" src="http:www.weixianmanbu.comzb_usersupload201608201608091470724568662028.png">,即可停止报文捕获。单击“停止并显示”按钮,即可停止报文捕获并显示捕获的报文信息,ll-14。 在捕获过程中,用户通过单击工具栏上的“捕获面板”按钮img alt="图片3.png" src="http:www.weixianmanbu.comzb_usersupload201608201608091470724584247426.png">,可以查看捕获报文的数量和缓冲区的利用率等信息,11-15。
单击“捕获”工具栏上的“Define Filter(定义过滤器)”按钮img alt="图片4.png" src="http:www.weixianmanbu.comzb_usersupload201608201608091470724623968727.png">,可打开“DefineFilter-Capture(定义过滤器-捕获)”对话框,在“Summary(摘要)”选项卡中可以设置摘要信息、地址选项、数据模式、缓冲区等选项,II-16。
选择“Address(地址)”选项卡,在其中可以设置基本的捕获条件,11-17。选择“Date Pattem(数据模式)”选项卡,在其中可以设置任意的捕获条件,11-18。选择“Advanced(高级)选项卡,在其中可以选择协议捕获的条件,若一个都不选,则表示捕获所有协议,11-19
选择“Buffer(缓冲)”选项卡,可以设置缓冲区的大小、捕获报文保存路径等选项,II-20。选择“Port(端口)”选项卡,存其中可以设置要扫描的TCP、UDP端口,11-21。
在设置任意的捕获条件时,请仔细考虑设置的条件,若设置不当,则可能捕获的数据包很少,甚至捕获不到。此外,Sniffer Pro还具有报文发送、网络监视、解码分析等功能,用户可以通过Sniffer Pro帮助文件来获得这方面的信息。
可实现多种操作的SpyNetSniffer嗅探器
网络监听工具SpyNet Sniffer包含Telnet、POP、lcQ、HTTP、login等,可以告诉用户谁连接到了自己的系统,还可以告诉用户与自己相连的计掉机正在做什么,如果有人攻击自己的系统,SpyNet Sniffer可以攫取相关证据。
使用SpyNet Sniffer攫取相关证据的具体操作步骤如下。
下载并安装SpyNet Sniffer嗅探器之后,第一次运行SpyNet Sniffer后,将会弹出“Settings”对话框,在其中选择需要监听对象,11-22。
单击“Active”按钮,在“Active”设置区域可以选择当缓冲满时应采取的措施,以及记录文件保存的路径等信息,11-23。
单击“Miscellaneous”按钮,在“Miscellaneous”设置区域设置缓冲区的大小,11-24。单击“确定”按钮,打开“SpyNet Sniffer”窗口,l1-25。
在“SpyNet Sniffer”操作窗口中单击“Start Capture”按钮,开始捕获与本机有通信关系的数据信息,11-26
单击“Stop Capture”按钮,即可停止捕获。单击工具栏上的“Save”按钮,打开“另存为”对话框,将捕获的信息保存成CAP文件,11-27。
单击工具栏上的“Peep Net”按钮img alt="图片5.png" src="http:www.weixianmanbu.comzb_usersupload201608201608091470724704870568.png">。打开“Peep Net”窗口,在其中单击“Open”按钮,在“打开”对话框中选择需要打开的文件,11-28。
单击“打开”按钮,即可将保存的CAP文件载入到“Peep Net”窗口,11-29。在“Peep Net”窗口的左侧单击需要查看的信息条,在右侧窗口中,即可看到其网页内容及其网页信息,11-30。
网络嗅探器:影音神撩
网络嗅探器——影音神探使用WinPcap开发包,可嗅探流过网卡的数据并智能分析过滤,快速找到所需要的网络信息,如音乐、视频、图片、文件等。软件智能化程度高,使用方便快捷。支持WINPCAP各个版本、支持操作系统WIN9XWIN210WINXPVISTAWIN7,适应能力加强。同时,增加了支持无线网卡的嗅探能力,软件使用更广泛。使用网络嗅探器“影音神探”的且体操作步骤如下。
下载并安装网络嗅探器(影音神探)之后,第一次运行该软什,可打开11-3 l的界面,提示用户还没有安装WinPcap安装包,单击“OK”按钮,打开“WinPcap 4.1.1 Setup”窗口.11-32。
单击“Next”按钮,打开“Welcome to the WinPcap 4.1+1 Setup Wizard(敢迎使用WinPcap 4.1.1安装向导)”窗口,11-33。
单击“Next”按钮,打开“Licence Agreement(许可证协议)”对话框,在其中查看相关的安装协议,11-34。
单击“lAgree(我旧意)”按钮,打开“Installation Options(安装选项)”对话框,在其中勾选相应的复选框,11-35。单击“Install,,按钮,即可开始安装WinPcap4.1.1软件并显示安装的进度,11-36.
安装完成后,再启动网络嗅探器(影音神探),会打开信息提示框,提示用户“首次运行程序,或网络适配器配置错误,程序将会测试所有网络适配器”,11-37,
单击“OK”按钮,即可打开“设置”对话框,提示用户“当前网络适配器可用,是否它作为缺省适配器”,11-38。
单击“OK”按钮,即可将当前网络适配器设置为缺省适配器,11-39。选择“常规设置”选项卡,在设置界面中可以勾选“自动开启嗅探”、“允许列举未定义文件类型”、“允许列举重复的URL”复选框,11-40。
选择“文件类型”选项卡,在设置界面中可以设置嗅探的文件类型,包括视频文件、音频文件、图片文件、文本文件、自定义类型等,11-41。单击“确定”按钮,保存设置,井打开网络嗅探器(影音神探)操作主界面,11-42。
在网络嗅探器(影音神探)操作主界面中单击“开始嗅探”按钮,即可开始嗅探流过本机网卡的数据,11-43。
如果需要嗅探一定类型的数据,则可以在网络嗅探器(影音神探)主界面中选择“嗅探”→“过滤设置”菜单项,打开“数据包过滤设置”对话框,在其中可以选择过滤的网站、数据包类型、包含的字符串、数据包方向、数据包长度等,11-44。
单击“确定”按钮,当再次单击“开始嗅探”按钮后,就只嗅探符合条件的数据包,11-45。
如果想要分类查看锁嗅探到的数据包,则可以在网络嗅探器(影音神探)主界面中单击鼠标右键,从弹出的快捷菜单中选择“分类查看”→“图片文件”菜单项,即可只显示图片文件类型的数据列表,11-46。
局域网嗅探工具:lRlS嗅探器
IRIS嗅探器是一款局域网嗅探工具,可以帮助系统管理员轻易地捕获用户的使用情况,同时检测进入本机和本机发出的信息流。
使用IRIS嗅探器捕获数据流的具体操作步骤如下。
下载并按照IRIS嗅探器,第一次启动该嗅探器时,将会弹出“Settings”对话框,在“Adapters(适配器)”选项卡中要求用户选择绑定的网卡,11-47。
用户还可以对其他选项进行设置,选择“Capture(捕获)”选项卡.在其中可以设置捕获的相关选项,包括是否用地址簿、操作选项等,11-48。
选择“Decode(解码)”选项卡,在其中可以设置解码的相关选项,包括是DNSReverseLookup(DNS反向查找)、HTTP端口等,11-49。
选择“Guard(监视)”选项卡,在其中可以设置监视的相关选项,包括是EnableAlarm sour(是否使用警报)等,II-50。
选择“Miscellaneous(其他)”选项卡,在其中可以设置其他的相关选项,包括数据包缓冲区)的大小等,11-51。单击“确定”按钮,保存设置,并打开IRIS嗅探器的主操作界面,11-52。
在IRIS嗅探器的主操作界面中单击.工具栏上的“start capture”按钮,可捕捉所在网段里所有的数据包,单击“Capture”图标,主窗口被分为3个窗格;左侧的“Packet Decoder”窗格用树型结构显示着每个数据包的详细结构以及数据包的每个部分所包含的数据:右下角的“Packet Editer”窗格分左右两部分,左边显示数据包的十六进制信息,右边则显示对应的ASCII值;右下角的“Packets Lists”窗格显示所有流经的数据包列表(新产生的数据包自动添加到列表里)。选中特定的数据包之后,其详细信息将会呈树型显示在"Packet Decoder”窗格中,11-53。
单击“Decode”按钮,即可对捕获的数据包进行分析,其上窗口也分为三个窗格。左边的“Host Activity”窗格用于列出按照服务类型显示的树型结构的主机传输信息;选中某个服务之后,客户端和服务器之间的会话信息就会显示在“Sessions list View”窗格中,选中某个会话记录,就可以存“Session Data View”窗格里显示解码后的信息:存“Sessions listView”窗格中每个会话的属性有服务器、客户机、服务器端口客户机端口、客户机物理地址,还有服务器到客户机的数据量、客户机到服务器的数据量以及总的数据量:右下角的“Session Data View”窗格显示解码后的会话信息,11-54,
一般情况下,流经Sniffer的数据很多,但大部分都没什么实际用处,可以通过“Filters”设置仅处理需要的信息以减少系统资源占用。单击Iris主窗口左边的“Filters”图标,弹出“Edit Filter Settings(编辑过滤设置)”的配置窗口,在“Hardware filters(硬件过滤)”选项卡中确保选中“Promiscuous(混杂)模式”复选框,以保证可捕捉当前网段的数据包,11-55。
选择“Word(单词过滤)”选项卡,在其中可以过滤包含特定字符串的数据包,比如包含“Password”、“User”等敏感字眼,可以同时包含多个关键字(All按钮)或其中之。(Any按钮),11-56
选择“MAC Address(物理地址)”选项卡,在打开的设置区域中可以对本机中的物理地址进行数据包过滤设置,11-57。选择“Port(端口)”选项卡,在打开的设置区域中可以对本机中的过滤端口进行设置,II-58。用户还可以lP地址、高级选项等进行条件过滤设置。在设置完毕后,单击“确定”按钮保存设置。
单击工具栏上的“Show Top Hosts Statistics”按钮,可按图表的形式展示与本机相连的数据量最大的10台主机,11-59。还可以用多种方式显示(包括饼图、柱状图等),还可以在底部状态栏上切换数据包类型(IP包、MAC包或IPX包)。可以据此查出可疑连接(显然数据通信量最大的几个连接主机都值得怀疑).11- 60。
另外,该嗅探工具还有一个很特别的用处,就是显示QQ聊友的IP地址,只需在状态栏上切换到lP类型(因为是互联网连接,所以只用到TCPJP协议)之后,给聊友发一个信息,图表中马上就可以增加对方的lP地址了。
ARP欺骗嗅探的渗透
ARP欺骗容易造成客户端断网,从而进行数据嗅探。按照影响网络连接通畅方式的不同,ARP欺骗分为对路由器ARP表的欺骗和对内网PC网关的欺骗两种方式。
ARP嗅探欺骗概述
ARP是地址转换协议,它是一个数据链路层协议,工作在OSI模式的第二层,在本层和硬件接口之间进行联系,同时为上一层(网络层)服务。简单地说,ARP就是用来将lP地址解析为MAC地址的,Im ARP欺骗就是冒名顶替其他计算机的MAC地址,从而捕获发送给其他计算机的数据信息。下面介绍一下如何查看ARP缓存表,另外,ARP缓存表也可以添加和修改。具体的操作步骤如下。
在“命令提示符”窗口中,输入“arp—a”命令就可以查看ARP缓存表中的内容,11-61:用“arp—d”命令可以删除ARP表中所有的内容,Il-62。
用arp一d+守格+<指定ip地址>”命令可以删除指定ip所在行的内容,11-63。用“arp—s”命令可以手动在ARP表中指定lP地址与MAC地址的对应,类型为static(静态),11-64。
另外,需要注意的是:此项存在硬盘中,而不是缓存表,计算机重新启动后仍然存在,且遵循静态优于动态的原则,所以这个设置不对,可能导致无法上网。
当一台或整个局域网遭受到ARP欺骗木马后,其上要现象表现为:客户端状态频频变红,用户频繁断网,IE浏览器频繁出错,以及一些常用软件出现故障等。如果局域网中是通过身份认证上网的,会突然出现可认证但不能上网的现象(无法pmg通网关),重启机器或在MS-DOS窗口下运行命令arp-d后,又可恢复上网。
ARP欺骗木马只需成功感染一台电脑,就可能导致整个局域网都无法上网,严重的甚至可能带来整个网络的瘫痪。该木马发作时除了会导致同一局域网内的其他用户上网出现时断时续的现象外。还会窃取用户密码,如盗取QQ密码、盗取各种网络游戏密码和账号去做金钱交易,盗窃网上银行账号来做非法交易活动等,这是木马的惯用伎俩,给用户造成了很大的不便和巨大的经济损失。
交换型网络嗅探器WinArpSpoof
WtnArpSpoof是一个用于交换机环境下的网络数据包转发的工具,其原理很简单,是目前流行的Arp欺骗技术。它通过发送虚假的Arp数据包,让局域网内的其他机器认为WinArpSpoof所在的电脑就是网关,把数据包发给它,然后冉由它转发给真正的网关。
使用WinArpSpooF嗅探网络数据的操作步骤如下。
下载并运行WinArpSpoof应用程序,如果本机中没有安装Winpcap驱动,则需要先把Winpcap驱动安装好上面已经讲过,这里不再重述),WinArpSpoof才能正常运行并打开其操作主界面,11-65。
在WinArpSpoof主界面的工具栏中单击“选项”按钮,打开“选项”对话框,在“适配器”选项卡中选择本机正在运行的网卡,包括当前网卡的IP地址、子网掩码、默认网关等,11-66。
选择“欺骗”选项卡,在其中可以选择欺骗的类型,设置欺骗更新时间,设置当ARP(或网关)欺骗时是否终止一切行为,11-67。在WinArpSpoof主界面的工具栏中单击“扫描”按钮,即可嗅探流经本台主机网卡的相关数据信息,11-68
内网DNS欺骗工具Cain
Cain是一款功能强大的密码破解工具,可以破解屏保密码、PWL密码、共享密码、拨号连接密码、缓存口令、远程桌面口令解码等,万一自己的密码忘记了,Cain是最好的选择。
而Cain&Abel是一款针对Microsofi操作系统的免费口令恢复工具,其功能也十分强大,可以网络嗅探、网络欺骗、破解加密口令、解码被打乱的口令、显示口令框、显示缓存口令和分析路由协议,甚至还可以监听内网中他人使用VOIP拨打电话。Abel是后台服务程序,一般不会用到,下面介绍如何使用Cain来获取论坛登录密码。具体的操作步骤如下。
下载并安装Cain软件之后,根据需要安装Winpcap驱动。当Cain软件和Winpcap驱动安装成功后,双击桌面上的Cain图标,打开“Cain”主窗口,11-69。
选择“Sniffer(嗅探)”选项卡,单击菜单栏中的按钮img alt="图片6.png" src="http:www.weixianmanbu.comzb_usersupload201608201608091470724945528082.png">,打开“Configuration Dialog(配置Dialog)”对话框,可以对Cain进行配置,11-70。
这里选择本机的适配器和IP地址。如果不知道本机的lP,可以单击在命令行窗口中键入“Ipconfig”命令,查看本机的配置,11-71。
当在命令提示窗口中查看到本机的IP和适配器后,在“Contlguration Dialog(配置)”对话框中选择同样的iP和适配器,最后单击“确定”按钮,完成配置。
返回“Sniffer(嗅探)”选项卡,在窗口下方的列表中右击,从弹出的快捷菜单中选择“Scan MAC Addresses”菜单项,打开“MAC Address Scanner”对话框,在其中选择扫描的目标,这里选择“All hosts in my subnet(扫描子网中的所有主机)”单选项,单击“OK”按钮,即可开始扫描,11-72。
当扫描完成后,在Sniffer选项列表中,可看到整个局域网内的所有主机的信息,11-73。
单击上方的。按钮img alt="图片7.png" src="http:www.weixianmanbu.comzb_usersupload201608201608091470725009629683.png">,进入“ARP”欺骗界面。在右边的空白处单击,再单击“添加到列表”按钮+,打开“New ARP Poison Routing(新建ARP欺骗)”对话框,在左边选择网关,右边选择被欺骗的1P,11-74。
单击“OK”按钮,返回ARP欺骗界面,即可在右边的列表中看到ARP欺骗的信息,11-75
在地址栏中输入论坛的网址http:*******.com,在论坛登录界面输入用户名和密码后单击“确定”按钮,即可成功登录论坛,11-76。
返回ARP欺骗界面,单击左侧“passwords”菜单下的“HTTP”选项,则右侧列表中即可看到目标主机论坛登录的用户名和密码,11-77。
为了防止自己登录网站或游戏的账号与密码被盗,需记住如下几点防范措施:
尽量不要将账号暴露在公共论坛和其他网站,更不要使用“记住密码”功能。
在设置密码时尽量设置复杂一些,位数应在8位以上,数字、字母和其他字符混杂。
不要使用可轻易获得的关于自己的信息作为密码,如生日、身份证号码、手机号码、居住的街道名称、门牌号码等。
要经常更换密码,因为再复杂的密码也是可以被破解的,所以经常更换密码可以提高密码的安全系数。
申情密码保护,也就是设置安全码,安全码不要与密码相同。如果没有设置安全码,别人一旦破解了密码就可以修改被盗账号的全部个人资料与登录密码。
进行完善的用户登录权限和软件安装权限管理,并尽可能地使用一些锁定软件在短暂离开时锁定计算机,避免其他人非法使用自己的计算机。
ARP欺骗嗅探的防御
ARP欺骗嗅探攻击的危害性非常大,不仪渗透攻击目标网络用户会遭受此攻击,且许多家庭用户也会遭受同样的ARP病毒攻击,因此,许多安全厂商开发了一些专门用于防范ARP欺骗的工具“ARP防火端”。
瑞星ARP防火墙
瑞星ARP防火墙是集成在瑞星防火墙网络安全组件中的,它可以通过不断地发送ARP请求来保证网关与主机正确的MAC地址,并且.避免遭受攻击。
使用瑞星ARP防火墙来防范ARP攻击欺骗的操作步骤如下.。
运行瑞星个人防火墙2010,打开“瑞星个人防火墙”主界面,在其中看到当前正在访问网络的应用程序、数据流量图、当前机器的工作状态等,1 1。78。
选择“网络安全”选项卡,在打开的设置界面中可以看到“ARP欺骗防御”选项,选中该选项,单击“开启”按钮,即可开启ARP欺骗防御功能,11-79。
如果需要对ARP欺骗防御功能进行设置,则可以单击“设置”按钮,打开“瑞星个人防火墙设置”对话框,在其中,可以设置提示对话框的显示时问、防御的方式、发现可疑或欺骗ARP包时如何提示用户等,II-80。
如果需要防范局域网中所有ARP欺骗的攻击,则可设置“防御范围”为“防御局域网中的所有电脑”,在左侧的"ARP静态规则”中需要增加所有内网用户的固定(静态)lP地址到规则列表中,11-81。
单击“增加”按钮,打开“ARP静态规则”对话框,在“名称”文本框中输入规则的名称,在"IP地址”文本框中输入相关的lP地址,再单击“自动获取”按钮建立链接,11-82。
设置完毕后,单击“确定”按钮,即可将该IP地址的计算机加入到ARP静态规则之中,11-83。
在使用瑞星ARP防火墙对系统进行保护时,检测到ARP攻击进程后,将会弹出“瑞星提示”对话框,用户可以禁止此程序访问网络,以此来阻止ARP的攻击,11-84。
另外,瑞星ARP防火墙还提供了ARP缓存保护和IP冲突防护等功能,可以有效地保护计算机不受ARP欺骗攻击。
但是,在实际应用中,瑞星ARP防火墙会产生很大的网络流量,特别是在大型的局域网中有可能会造成路由器或交换机的重启和断流等现象。
金山ARP防火墙
金山ARP防火墙能够双向拦截ARP欺骗攻击包,监测锁定攻击源,时刻保护局域网用户PC的正常上网数据流向,足一款适于个人用户的反ARP欺骗保护工具。其“网关动态探测+识别”功能可以识破伪造的网关地址动态获取数据,并分析判断后为受保护PC绑定正确的网关地址,从而时刻保障本机上网数据的正确流向,同时也支持用户手动设置绑定网关地址。使用金山ARP防火墙防御ARP攻击的操作步骤如下.。
下载并安装金山ARP防火墙应用程序,打开“金山ARP防火墙”主界面,其中包括“监控状态”、“综合设置”、“监控日志”三个选项卡,11-85。
在“监控状态”选项卡下,单击“开始保护”按钮,即可自动检测拦截由病毒引发的本机对外的ARP攻击或外来的ARP欺骗攻击,11-86。
如果本机或局域网中有ARP攻击,则会在系统托盘中弹出拦截提示框,当检测到攻击后,选择“监控日志”选项卡,即可查看详细的拦截记录和攻击数据信息,11-87。
ARP欺骗攻击之所以能够成功,是因为病毒通过欺骗的手段伪装成了网卡,因此要防范ARP欺骗攻击,最重要的一点就是保护网关不被ARP欺骗捕获。因此,需要对金山ARP防火墙进行综合设置,柬保护本机中的网关,具体的操作步骤如下。
在金山ARP防火墙主界面中选择“综合设置”选项卡,打开“综合设置”设置界面,ll-88。。
单击“基本设置”选项组中的“修改设置”按钮,打开“基本设置”对话框,在其中选择“启用手动设置网关”复选框,11-89。
单击“添加”按钮,打开“编辑网关IPfMAC”对话框,在“网关lP”文本框Ip输入添加的lP地址,单击“获取MAC”按钮,即可获取本IP地址计算机的MAC地址,单击“确定”按钮,即可应用设置对该网关进行保护,11-90。
在“综合设置”选项}中的“ARP安全设置”选项组中单击“修改设置”按钮,打开“ARP安全设置”对话框,在“通知网关”选项组中选择“实时通知网关”复选框,启用自动保护功能,让软件和网关保持实时连接状态,以防止被ARP欺骗的攻击,11-91。
如果想要金山ARP防火墙能够彻底阻止一切外来的ARP攻击.在“ARP安全设置”对话框中,选择“启用安仝模式”复选框,则可阻止一切来源于局域网内其他主机的不安全网络数据的交换,l 1 -92。
如果本机没有被ARP欺骗攻击,或在本机上要对局域网进行管理,则需要取消对本机ARP欺骗的监控,使网络工具能够正常使用,在“ARP安全设置”对话框中取消勾选“拦截本机对外ARP攻击”复选框,11-93。
在开启主动连接功能后,有时会占用少量的网络资源,这时可以通过修改“通知频率”,即通过设置主动连接网关的速度来减少占用量,对网关的IP地址与MAC地址进行全面保护,11-94。
360ARP防火墙
360ARP防火墙发布可在核心层直接拦截ARP攻击包并阻止攻击,对系统速度和整个网络速度完全无影响,360ARP防火墙通过在系统内核层拦截ARP攻击数据包,确保网关正确的MAC地址不被篡改,可以保障数据流向正确,不经过第三者,从而保证通信数据安全、保证网络畅通、保证通信数据不受第三者控制,完美地解决局域网内ARP攻击问题。
使用360ARP防火墙来防御ARP攻击的操作步骤如下。
下载并安装360安全卫士7.3后,双击桌面上的快捷图标,打开“360安全卫士”主窗口,11-95。
该主界面中单击“木马防火墙”图标按钮,打开“360木马防火墙”窗口,在“系统防护”选项卡看到“ARP防火墙”选项,但该功能处于关闭状态,l1-96。
单击“已关闭”按钮,打开“360木马防火墙”提示信息对话框,提示用户本功能建议局域网用户使用,如果是家庭用户,则不必开启本功能,11-97。
单击“继续开启”按钮,打开“360木马防火墙”提示信息对话框,提示用户ARP防火墙需要重新启动计算机后才能生效。单击“立即重启”按钮,重新启动计算机,11-98。
重新启动计算机后,再次打开“360木马防火墙”窗口,单击“已关闭”按钮,即可启动ARP防火墙,11-99。
在“360木马防火墙”窗口中选择“设置”选项卡,打开“功能设置”界面,在其中选择“AR防火墙”选项,在右侧区域中对“ARP防火墙”选项进行设置,包括保护DNS进行设置、ARP主动防御、拦截攻击类型、防御提示等,1100。这样360ARP防火墙就可以按照用户的设置来对ARP病毒进行防御了。
绿盾ARP防火墙
由于恶意ARP病毒的肆意攻击,会使网络时断时通,个人账号信息也可能在毫不知情的情况下.就被攻击者盗取,使用绿盾ARP防火墙可以轻松地解决这一问题。绿盾ARP防火墙是一款基于网络驱动技术的ARP防火端,可以出色地拦截ARP攻击。
使用绿盾ARP防火墙防御ARP攻击的操作步骤如下。
下载并安装绿盾ARP防火墙之后,打开“绿盾ARP防火墙”程序主界面,在“运行状态”功能选项的“拦截信息”选项卡中可以查看到当前系统信息,以及攻击方向选项,II-I01。
选择“系统设置”功能项下的“ARP保护设置”选项卡,在其中可设置是否启用ARP防火墙入站的防护、是否启用ARP防火墙出站的防护、是否启用ARP防火墙主动防护功能等,11-102。
选择“系统设置”功能项下的“扫描限制设置”选项卡,在其中可设置是否发现本机出站SYN报文异常增多时拒绝继续发送、是否发现本机出站ARP报文异常增多时拒绝继续发送等,11-103。
选择“系统设置”功能项下的“带宽管理设置”选项卡,在其中可设置是否启用公网带宽管理功能,同时还可以设置上传带宽限制值和下传带宽限制值,11-104。
选择“系统设置”功能项“常规设置”选项卡,在其中设置是否启用界面弹出密码、隐藏任务栏圈标并设置弹出热键、Windows启动时是否自动启用等,11-105。
单击“保存设置”按钮,即可将修改的相关参数选项进行保存,并弹出一个信息提示框,11-106。
ARP卫士
ARP Guard(ARP卫士)是一款可以从根本上彻底解决ARP欺骗攻击所带来的所有问题的软件,它是通过系统底层核心驱动的,因此无须安装其他任何第三方软件,且以服务器及进程并存的形式随系统的启动而运行,在ARP欺骗攻击的防护和拦截方面有很大作用。
使用ARP 卫士防御ARP攻击的操作步骤如下。
下载并安装ARP卫士之后,可自动弹出“欢迎使用规则配置向导”对话框,11-107。单击“下一步”按钮,打开“规则配置向导”对话框,在其中需要设置用户的网络信息,保存开始地址和结束地址等,11-108。
输入完毕后,单击“下—步”按钮,打开“正在扫描计算机,请等待…”对话框,在下方的窗格中可以看到扫描出来的当前在线的主机IP地址,11-109。
在扫描完毕后,单击“下一步”按钮,打开“自动扫描向导已经顺利完成”对话框,Il-ll0,单击“完成”按钮,打开ARP卫士管理端的主界面,在其中列出了当前局域网内部计算机开启的情况以及保护的状态,11-111。
当局域网中出现攻击时,每台主机上的客户端软件都会自动进行拦截,并指出攻击源和信息数据,然后开始分析攻击数据,只要将鼠标移至数据上,软件就会自动显示相关的分析报告,11-112。
DNS欺骗攻击
DNS欺骗攻击是攻击者通过入侵DNS服务器、控制路由器等方法,把受害者要访问的目标机器域名对应的IP解析为攻击者所控制的机器,这样,受害者原本要发送给目标机器的数据就发到了攻击者的机器上,这时攻击者就可以监听甚至修改数据,从而搜集到大量的信息。DNS欺骗是一种非常复杂的攻击手段,但使刚起来比lP欺骗要简单一些。
DNS欺骗原理
DNS欺骗的基本原理是:如果可以冒充域名服务器,然后把查询的IP地址设置为攻击者的lP地址,这样用户上网就只能看到攻击者的主页,而不是用户想去的网站的主页,DNS
欺骗的真正的日的并不是要黑掉对方的网站,而是冒名顶替。从而实现其欺骗的目的。和lP欺骗相似,DNS欺骗的技术在实现上仍然有一定的困难,为了克服这些困难,有必要了解DNS查询包的结构。
在DNS查询包中有个标识lP,它是一个很重要的域,其作用是鉴别每个DNS数据包的印记,从客户端设置,由服务器返回,使用户匹配请求与之相应。如果用户在IE浏览器地址栏中输入www.baidu.com,如果黑客想通过假的域名服务器(如220.181.6.20)进行欺骗,就要在真正的域名服务器( 220.181.6.18)返回响应前,先给出查询的IP地址,ll-113。
上图很直观,就是在真正的域名服务器220.181.6.18前,黑客给用户发送一个伪造的DNS信息包。但是在DNS查询包中有一个重要的域就是标识ID,如果要使发送的伪造的DNS信息包不被识破,就必须伪造出正确的ID。如果无法判别该标记,DNS欺骗将无法进行。只要在局域网上安装有嗅探器,通过嗅探器就可以知道用户的ID。但要是在Intemet上实现欺骗,就只有发送大量的,定范围的DNS信息包,来提高得到正确ID的机会。
DNS欺骗的实现过程
DNS欺骗就是攻击者冒充域名服务器的一种欺骗行为。在局域网和广域网上要实现DNS欺骗是有所不同的,相比在局域网中实现DNS欺骗显得稍微容易些。
下面介绍在两种网络环境下实现DNS欺骗的过程。
1、在局域网中利用嗅探器实现DNS欺骗
如果已经成功控制了220.18.6.18所属子网中的任意一台主机,而且还通过Sniffer对整个子网中传输的数据包进行嗅探,可以设置只对220,181.6.18进行监听,从而获得需要的标识ID。当DNS服务器发出查询数据包时,它会在数据包内设置标识ID。只有在应答包中的1P地址和ID值都正确时才能为服务器所接收。该ID每次会自动增加l,所以可以第一次被DNS服务器发一个查询包并监听到该ID值,随后再发一个查询包,即可发送构造好的应答包,包内的标识ID为预测的值。可以指定一个范围,如ID+I-ID+50,这样可以提高成功率。
如果某用户( 192.】68.0.45)向域名服务器220.181.6.18发来请求查询www.baidu.com的lP地址包,此时220.181.6.20要进行欺骗,其看到的地址包的格式如下:
192.168.0.45 - - - - >220.1引,6+18[Quer]
NQY:l NAN:O NNS:O NAD:O QJD: 1234
QY: www.baidu.com
其中NQY和NAN等都是查询包的标志位,当这两个标记为l时表示查询安保。这是在220.181.6.20 上监听到的包,得到它的ID值为1234,然后也向服务器220.181.6.18发送一次查询,使其忙于应答这个包。查询包的具体内容如下:
220.181,6.20 - - -一 > 220.1引.6.18【Query]
NQY:l NAN:0 NNS:0 NAD:0
QY: www.baidu.com
然后再给用,、l92.168.0.45发送伪造的宽带预测QID的应答包,其具体内容如下:
220.181.6.t8一- - - >】92.168.0,45 [Answer]NQ'tr:l NAN:0 NNS:0 NAD:0
QV: www.baidu.com PTR
AN: www.baidu.com PTR 222,122.12.84
其中“222,122.12.84”就是伪造的lP地址,这样DNS欺骗就完成了。而当用户打开百度主页时,用户还认为这个网站被黑掉了。
2、在广域网中实现DNS欺骗
在广域网上实现DNS欺骗并没有太多选择,黑客常采用如下方式实现DNS欺骗:
随机地测试所有ID的可能存在的值。该种方法不实用,除非确切知道该ID的具体值,或者有一些有利的条件可以使其更容易实现。
发送更多的DNS查询包来提升得知正确ID的机会:
对DNS服务器实行拒绝服务式攻击,使其无法提供服务,就会出现类似的提示信息:
18:20:17 ADM named [193 l]:db_F_ACTIVE set -ABORT at this time nameddeamon iS OUt oforder
可以利用由SNI (SecureNetworks,Irlc.)发现BIND漏洞,然后利用BIND漏洞的ID来实现DSN欺骗攻击。
DNS攻击的防御
1、用网络守护神来防御DNS攻击
网络守护神是一套可以为广大机关、企事业单位提供完美管理解决方案的网络管理软件。
该软件主要针对目前国内机关、企事业单位的网络应用现状,如单位总出口带宽有限、网络滥用、员工无节制上网、聊天等情况,提供了简单、快捷而非常有效的管理功能。该软件和同类产品相比,具有性能优异、部署方便、功能全面等优点。
使用网络守护神反击攻击者的具体操作步骤如下。
安装网络守护神后,首次启动时会弹出要求设置自动维护时间间隔的“网络守护神性能维护程序”对话框,在其中设置自动维护网络守护神的时间间隔,ll-114。
单击“确定”按钮,打开“网段名称”对话框,在“请输入网段名称”文本框中输入网段名称,11-115。
单击“下一步”按钮,打开“接入公网类型”对话框,在其中选择“路由器(企业路由器、宽带路由器等)”单选项,11-116。
单击“下一步”按钮,打开“选择网卡”对话框,在“请为网段选择对应的操作”下拉列表中选择对应的网卡,此时会看到该网卡对应的信息,11-117。
单击“下一步”按钮,打开“指定网段范围”对话框,在其中设置相应的lP地址范围,如192.168.0.1—192+168.0+50,如网11-118。
单击“下一步”按钮,打开“出口带宽”对话框,在“本网段局域网出口带宽接入带宽”下拉列表中选择“lOMps及以上(办公局域网)”选项,11-119。
单击“完成”按钮,打开“监控网段配冒”窗口,在其中选择监控的网段,如单击“开始扫描”按钮,即可启动网络守护神服务,11-1 21。
单击“信息提示”对话框中的“确定”按钮,打开“策略管理器”窗口,11-122。单击“新建策略”按钮建立一个策略,在“网络守护神”主窗口中单击“软件配置”图标,打开“软件选项”对话框,在其中可以对软件的各种性能进行设置,11-123。
在“网络守护神”主窗口中单击“攻击检测”图标,在“网络攻击检测”对话框中单击“开始”按钮,进行扫描,其扫描结果11-124。在“网络守护神”主窗口中单击“lP绑定”图标,在“IP-MAC地址绑定设置”对话框中勾选“启用MAC-IP地址绑定”复选框,在其中可以添加MAC-IP地址绑定,11- 125。
2、通过AntiARP-DNS防火墙防御DNS欺骗
Anti ARI -DNS防火墒是一款可以对ARP和DNS欺骗攻击的实时监控和防御的防火墙。当受到ARP和DNS欺骗攻击时,Anti ARP-DNS防火墙会迅速记录追踪攻击者并且将攻击的程度控制至最低,有效防止局域网内的非法ARP或DNS欺骗攻击,还能解决被人攻击之后出现lP冲突问题。其具体的使用步骤如下。
下载并安装Anti ARP-DNS防火墙后,并打开其主窗口,11-126。可以看出在主界面中显示的网卡数据信息,包括子网掩码、本地lP以及局域网中其他计算机等信息。当启动防护程序后,该软件就会把本机MAC地址与lP地址自动绑定实施防护。
单击主窗口下面的“广播散列”按钮,即可看到广播来源的相关信息,11-127。单击“历史记录”按钮,可看到受ARP攻击的详细记录。
可以在下面的“IP”地址文本框中输入IP机制,单击“查询”按钮,查出其对应的MAC地址,ll-128。单击“基本设置”按钮,即可看到相关的设置信息,在其中可以设置各个选项的属性,l1-129。
单击“本地防御”按钮,看到“本地防御”选项卡,11-130。在其中根据DNS绑定功能可以屏蔽不良网站,如在用户所打开的网站被ARP挂马等,可以找出页面进行屏蔽。其格式是:127.0.0.1 www.xxx.com,同时该网站还提供了大量的恶意网站域名,用户可以根据自己的情况进行设置。
单击“本地安全”按钮,即可看到“本地安全”选项卡,在其中可以扫描本地计算机中存在的危险进程,11-131。
点拨1:如何才能判断网络中存在着Sniffer?
解答:由于嗅探器需要将网络中入侵的网卡设置为混杂模式才能工作,所以要检测网络中是否存在嗅探器,可以采用检测棍杂模式网卡的工具。如果出现如下两种情况也可以怀疑网络被放上了嗅探器:网络通信丢包率非常高。可以通过Ping命令来查看信息包传送情况,如果网络结构正常却大量丢包,就可以怀疑是在用嗅探器进行监听,截获数据包。网络带宽出现反常。通过某些带宽控制器,可以实时看到目前网络带宽的分布情况,如果某台机器长时问地占用了较大的带宽,这台机器就有可能在监听。
点拨2:DNS欺骗攻击有哪些缺点?
解答:DNS欺骗攻击具有很多的破坏性,但也有着不可克服的缺点。掌握了这些缺点,将有助于防御DNS欺骗攻击。DNS欺骗攻击的缺点主要表现在如下两个方面:
攻击者不能替换缓存中已经存在的记录。如果在220.181.6.18这个DNS服务器上已经有本队的记录,则攻击者试图替换为本地将不会成功。但一些记录可以累加,如在DNS的缓存中已存在一条本地的记录为220.181.6.20,而攻击者却欺骗DNS服务器说www.baidu,com的记录为4.3.2.1,则本地将会有两个记录,客户端查询时会随机返回其中一个。
DNS服务器有个缓存刷新时间问题。如果本地的TTL为7200,那么DNS服务器仪仪会把本地的信息缓存7200秒(两个小时)。如攻击者放入一条TTL为604800的记录,则这条记录将会在缓存中保存一周时间,过了默认的两天后,这个DNS服务器就会到处“分发”攻击者假造的记录。
本文内容所提及均为本地测试或经过目标授权同意,旨在提供教育和研究信息,内容已去除关键敏感信息和代码,以防止被恶意利用。文章内提及的漏洞均已修复,作者不鼓励或支持任何形式的非法行为。