網(wǎng)絡安全培訓課程

1、LOGO重慶網(wǎng)安計算機技術效勞中心網(wǎng)絡平安培訓課程網(wǎng)絡平安培訓課程Page 2目錄認識信息平安等級保護1 了解網(wǎng)絡根底及平安防護2學習網(wǎng)絡故障排查-實例3Page 3信息平安等級保護簡介 我國?計算機信息系統(tǒng)平安保護等級劃分細那么?于1999年9月13日經(jīng)國家質量技術監(jiān)督局審查通過并正式批準發(fā)布，根據(jù)細那么將計算機信息系統(tǒng)平安保護能力劃分為五個平安保護等級： 第一級：用戶自主保護級。用戶自主保護級通過身份鑒別，自主訪問控制機制，要求系統(tǒng)提供每一個用戶具有對自身所創(chuàng)造的數(shù)據(jù)進行平安保護的能力。適用于普通內聯(lián)網(wǎng)用戶。 第二級：系統(tǒng)審計保護級。在用戶自主保護級的根底上，重點強調系統(tǒng)的審計功能，要求通

2、過審計、資源隔離等平安機帛，使每一個用戶對自己的行為負責。適用于內聯(lián)/國際互聯(lián)網(wǎng)需要保密商務活動的用戶。 第三級：平安標記保護級。在系統(tǒng)審計保護的根底上，從平安功能的設置和平安強度的要求方面均有明顯的提高。首先，增加了標記和強制訪問控制功能。同時，對身份鑒別、審計、數(shù)據(jù)完整性等平安功能均有更進一步的要求。如要求使用完整性敏感性標記，確保信息在網(wǎng)絡傳輸?shù)耐暾?。一般黨政機關、金融機構、大型商業(yè)工業(yè)用戶。 第四級：結構化保護級。在平安標記保護級的根底上，重點強調通過結構化設計方法使得所具有的平安功能具有更高的平安要求。適用于國家機關、中央金融機構、尖端科技和國防應用系統(tǒng)單位。 第五級：訪問控制保護

3、級。訪問驗證保護級重點強調訪問“監(jiān)控器本身的可驗證性，也是從平安功能的設計和實現(xiàn)方面提出更高要求。適用于國防關鍵應用以及國家特殊隔離信息系統(tǒng)使用單位。 Page 4信息平安等級保護Page 5信息平安系統(tǒng)定級 定級是等級保護工作的首要環(huán)節(jié)，是開展信息系統(tǒng)建設、整改、測評、備案、監(jiān)督檢查等后續(xù)工作的重要根底。信息系統(tǒng)平安級別定不準，系統(tǒng)建設、整改、備案、等級測評等后續(xù)工作都失去了針對性。 信息系統(tǒng)的平安保護等級是信息系統(tǒng)的客觀屬性，不以已采取或將采取什么平安保護措施為依據(jù)，也不以風險評估為依據(jù)，而是以信息系統(tǒng)的重要性和信息系統(tǒng)遭到破壞后對國家平安、社會穩(wěn)定、人民群眾合法權益的危害程度為依據(jù)，確定

4、信息系統(tǒng)的平安等級。Page 6系統(tǒng)定級一般流程 信息系統(tǒng)平安包括業(yè)務信息平安和系統(tǒng)效勞平安。信息平安是指確保信息系統(tǒng)內信息的保密性、完整性和可用性等，系統(tǒng)效勞平安是指確保信息系統(tǒng)可以及時、有效地提供效勞，以完成預定的業(yè)務目標。 業(yè)務信息平安和系統(tǒng)效勞平安，與之相關的受侵害客體和對客體的侵害程度可能不同，因此，信息系統(tǒng)定級也應由業(yè)務信息平安和系統(tǒng)效勞平安兩方面確定。從業(yè)務信息平安角度反映的信息系統(tǒng)平安保護等級稱業(yè)務信息平安等級。從系統(tǒng)效勞平安角度反映的信息系統(tǒng)平安保護等級稱系統(tǒng)效勞平安等級。 由業(yè)務信息平安等級和系統(tǒng)效勞平安等級的較高者確定定級對象的平安保護等級。Page 7系統(tǒng)定級一般流程3

5、、綜合評定對客體的侵害程度2、確定業(yè)務信息安全受到破壞時所侵害的客體6、綜合評定對客體的侵害程度5、確定系統(tǒng)服務安全受到破壞時所侵害的客體7、系統(tǒng)服務安全保護等級4、業(yè)務信息安全保護等級8、定級對象的安全保護等級1、確定定級對象Page 8 信息平安等級保護制度是國家信息平安保障的根本制度、根本策略、根本方法 ；是當今興旺國家的通行做法，也是我國多年來信息平安工作經(jīng)驗的總結 。信息平安等級保護工作的重要意義 開展信息平安等級保護工作：有利于同步建設 ；有利于指導和效勞；有利于保障重點；有利于明確責任 ；有利于產(chǎn)業(yè)開展。Page 9網(wǎng)絡根底及平安防護 網(wǎng)絡根底與網(wǎng)絡根底與OSI模型模型1 TCP

6、-IP編址編址23 交換原理和交換原理和VLANPage 10網(wǎng)絡根底與OSI模型n 計算機網(wǎng)絡定義：通過通信線路和通信設備將不同地理位置上的計算機系統(tǒng)互連起來的一個計算機系統(tǒng)的集合，通過運行特定的操作系統(tǒng)和通信協(xié)議來實現(xiàn)數(shù)據(jù)通信和資源共享。n 計算機網(wǎng)絡組成：通信線路、通信設備、計算機系統(tǒng)、操作系統(tǒng)、通信協(xié)議、通信子網(wǎng)、資源子網(wǎng)。n 計算機網(wǎng)絡類型：局域網(wǎng)、廣域網(wǎng)。Page 11計算機網(wǎng)絡組成Page 12計算機網(wǎng)絡類型運行在有限的地理區(qū)域；允許網(wǎng)絡設備同時訪問高帶寬的介質；通過局部管理控制網(wǎng)絡的權限；提供全時的局部效勞；連接物理上相鄰的設備。 通常指幾公里以內的，可以通過某種介質互聯(lián)的計算

7、機、打印機或其它設備的集合。目前,大多數(shù)網(wǎng)絡都使用某些形式的以太網(wǎng)。距離短、延遲小、數(shù)據(jù)速率高、傳輸可靠Page 13計算機網(wǎng)絡類型運行在廣闊的地理區(qū)域；通過低速串行鏈路進行訪問；網(wǎng)絡控制服從公共效勞的規(guī)那么；提供全時的或局部時間的連接；連接物理上別離的、遙遠的、甚至全球的設備在大范圍區(qū)域內提供數(shù)據(jù)通信效勞，主要用于互連局域網(wǎng)。公用 網(wǎng)：PSTN綜合業(yè)務數(shù)字網(wǎng)：ISDN數(shù)字數(shù)據(jù)網(wǎng)：專線幀中繼：Frame Relay異步傳輸模式：ATMPage 14OSI七層參考模型n OSI模型：1984年由國際標準化組織ISO國際標準化組織提出。n 目的：提供一個大家共同遵守的標準，解決不同網(wǎng)絡之間的兼容性

8、和互操作性問題。n 分層標準：依據(jù)功能來劃分。n OSI七層參考模型的優(yōu)點：n 促進標準化工作,允許各個供給商進行開發(fā).n 各層間相互獨立,把網(wǎng)絡操作分成低復雜性單元.n 靈活性好,某一層變化不會影響到別層.n 各層間通過一個接口在相鄰層上下通信.Page 15OSI分層結構數(shù)據(jù)流層數(shù)據(jù)流層傳輸層傳輸層數(shù)據(jù)鏈路層數(shù)據(jù)鏈路層網(wǎng)絡層網(wǎng)絡層物理層物理層應用層應用層 (高高) 會話層會話層表示層表示層應用層應用層負責主機之間的數(shù)據(jù)傳輸負責主機之間的數(shù)據(jù)傳輸負責網(wǎng)絡數(shù)據(jù)傳輸負責網(wǎng)絡數(shù)據(jù)傳輸Page 16OSI分層結構 規(guī)定通信設備的機械的、電氣的、功能的和規(guī)程的特性。主要涉及比特的傳輸，網(wǎng)絡接口卡和網(wǎng)絡

9、連接等. 沒有智能性，只能對bit 流進行簡單的處理。如傳輸，放大，復制等。 網(wǎng)線：bit 流的傳輸. 中繼器：信號的放大. 集線器：信號的放大和復制.Page 17OSI分層結構 在相鄰節(jié)點之間建立鏈路，傳送數(shù)據(jù)幀。工作在同一個網(wǎng)段。主要涉及介質訪問控制、連接控制、流量控制和過失控制等。 定義物理地址，標識節(jié)點。 將bit流組合成數(shù)據(jù)幀。交換機：能識別數(shù)據(jù)幀中的MAC地址信息，在同一網(wǎng) 段轉發(fā)數(shù)據(jù)。有智能，進行定向轉發(fā)。Page 18OSI分層結構 是一座橋梁，將不同標準的網(wǎng)絡互連起來。在不同網(wǎng)段路由數(shù)據(jù)包。 定義IP地址，由32bit的二進制數(shù)組成，點分十進制表示。 路由轉發(fā)，通過路由表實

10、現(xiàn)三層尋址.MAC地址二層 物理地址 平面結構 身份IP地址 三層 邏輯地址 層次結構 位置Page 19OSI分層結構 實現(xiàn)終端用戶到終端用戶之間的連接?？梢詫崿F(xiàn)流量控制、負載均衡。 分段，使數(shù)據(jù)的大小適合在網(wǎng)絡上傳遞。 區(qū)分效勞，端口號標識上層的通信進程。Page 20OSI分層結構 在兩個應用程序之間建立會話，管理會話，終止會話。一旦建立連接，會話層的任務就是管理會話。 主要由操作系統(tǒng)來完成，把不同的應用程序設置內存區(qū)間，分配相應的內存，CPU資源，保持不同的應用程序的數(shù)據(jù)獨立性。 將數(shù)據(jù)轉換成接收設備可以了解的格式. 翻譯數(shù)據(jù)格式，加密，壓縮.Page 21OSI分層結構 為具體的應用

11、程序提供效勞，實現(xiàn)各種網(wǎng)絡應用WWW FTP QQ SMTP POP3。 我們說某個應用程序的界面是否友好，就是應用層完成的。應用層為用戶和計算時機話提供一個界面。 計算機有他的語言，人有人的語言，人要和計算機交流，必須有一個窗口來把信息傳遞出來。Page 22數(shù)據(jù)的封裝與解封裝 數(shù)據(jù)要通過網(wǎng)絡進行傳輸，要從高層逐層的向下傳送，如果一個主機要傳送數(shù)據(jù)到別的主機，先把數(shù)據(jù)裝到一個特殊協(xié)議報頭中，這個過程叫封裝。 上述的逆向過程。Page 23封裝過程上層數(shù)據(jù)上層數(shù)據(jù)LLC 頭頭 + IP + TCP + 上層數(shù)據(jù)上層數(shù)據(jù)IP + TCP +上層數(shù)據(jù)上層數(shù)據(jù)TCP+上層數(shù)據(jù)上層數(shù)據(jù)上層數(shù)據(jù)上層數(shù)據(jù)

12、0101110101001000010傳輸層傳輸層 數(shù)據(jù)鏈路層數(shù)據(jù)鏈路層物理層物理層 網(wǎng)絡層網(wǎng)絡層 表示層表示層應用層應用層會話層會話層FCSFCSTCP 頭頭LLC 頭頭IP 頭頭MAC 頭頭Page 24解封裝過程上層數(shù)據(jù)上層數(shù)據(jù)LLC 頭頭 + IP + TCP + 上層數(shù)據(jù)上層數(shù)據(jù)IP + TCP +上層數(shù)據(jù)上層數(shù)據(jù)TCP+上層數(shù)據(jù)上層數(shù)據(jù)上層數(shù)據(jù)上層數(shù)據(jù)0101110101001000010傳輸層傳輸層 數(shù)據(jù)鏈路層數(shù)據(jù)鏈路層物理層物理層 網(wǎng)絡層網(wǎng)絡層 表示層表示層應用層應用層會話層會話層TCP 頭頭IP 頭頭LLC 頭頭MAC 頭頭Page 25數(shù)據(jù)傳輸過程通通 信信 介介 質質應用

13、層應用層表示層表示層會話層會話層傳輸層傳輸層網(wǎng)絡層網(wǎng)絡層數(shù)據(jù)連路層數(shù)據(jù)連路層物理層物理層應用層應用層表示層表示層會話層會話層傳輸層傳輸層網(wǎng)絡層網(wǎng)絡層數(shù)據(jù)連路層數(shù)據(jù)連路層物理層物理層網(wǎng)絡層數(shù)據(jù)連路層物理層通通 信信 介介 質質協(xié)議端系統(tǒng)端系統(tǒng)A A端系統(tǒng)端系統(tǒng)B BPage 26沖突域和播送域沖突域：一個支持共享介質的網(wǎng)段。播送域：播送幀傳輸?shù)木W(wǎng)絡范圍，一般是路由器來設定邊界因為router不轉發(fā)播送。 沖突：在以太網(wǎng)中，當兩個節(jié)點同時傳輸數(shù)據(jù)時，從兩個設備發(fā)出的幀將會碰撞，在物理介質上相遇，彼此數(shù)據(jù)都會被破壞。Page 27OSI模型的缺陷及意義 提供了網(wǎng)絡間互連的參考模型。 成為實際網(wǎng)絡建模

14、、設計的重要參考工具和理論依據(jù)。 為我們提供了進行網(wǎng)絡設計與分析的方法。 許多功能在多個層次重復，有冗余感如流2.3.4層都有，過失控制等，數(shù)據(jù)鏈路層有流控。 各層功能分配不均勻鏈路、網(wǎng)絡層任務重，會話層任務輕。 功能和效勞定義復雜，很難產(chǎn)品化。Page 28TCP/IP與OSITCP/IP與OSI的比較:TCP/IP 分四層，OSI分的是七層。TCP/IP網(wǎng)絡實踐上的標準，OSI網(wǎng)絡理論的標準。TCP/IP定義每一層功能如何實現(xiàn),OSI定義每一層做什么。TCO/IP的每一層都可以映射到OSI模型中去。Page 29TCP/IP與OSI應用層應用層表示層表示層會話層會話層傳輸層傳輸層網(wǎng)絡層網(wǎng)絡

15、層數(shù)據(jù)鏈路層數(shù)據(jù)鏈路層物理層物理層應用層應用層傳輸層傳輸層網(wǎng)絡層網(wǎng)絡層網(wǎng)絡接口層網(wǎng)絡接口層Page 30TCP/IP應用層應用層應用層傳輸層傳輸層網(wǎng)絡層網(wǎng)絡層文件傳輸文件傳輸- TFTP *- FTP *E-Mail- SMTP遠程登陸遠程登陸- Telnet *- SSH*網(wǎng)絡管理網(wǎng)絡管理- SNMP *名稱管理名稱管理- DNS*網(wǎng)絡接口層網(wǎng)絡接口層Page 31TCP/IP傳輸層傳輸控制協(xié)議傳輸控制協(xié)議(TCP) 面向連接面向連接用戶數(shù)據(jù)報協(xié)議用戶數(shù)據(jù)報協(xié)議(UDP) 非面向連接非面向連接應用層應用層傳輸層傳輸層網(wǎng)絡層網(wǎng)絡層網(wǎng)絡接口層網(wǎng)絡接口層Page 32端口號TCP端口號端口號FTP

16、TELNETDNSSNMPTFTPSMTPUDP應用層應用層2123255369161RIP520傳輸層傳輸層Page 33端口號作用源端口源端口目標端口目標端口Host A102823SPDPHost ZTelnet Z目標端口目標端口 = 23.端口號標識上層通信進程。小于1024 為周知端口、1024-5000為臨時端口、大于5000為其他效勞預留。Page 34TCP 確認機制發(fā)送方發(fā)送方 發(fā)送發(fā)送 1接收接收 1發(fā)送發(fā)送 ACK 2發(fā)送發(fā)送 2接收接收 2發(fā)送發(fā)送 ACK 3發(fā)送發(fā)送 3接收接收 3接收接收 ACK 4滑動窗口 = 1接收方接收方Page 35TCP 三次握手發(fā)送發(fā)送

17、 SYN (seq=100 ctl=SYN)接收接收 SYN發(fā)送發(fā)送 SYN, ACK (seq=300 ack=101 ctl=syn,ack)建立會話建立會話(seq=101 ack=301 ctl=ack)Host AHost B123接收接收 SYNTCP連接建立Page 36IP地址組成 IP地址為32Bit二進制數(shù)組成，用點分十進制表示。例如：/24 IP地址=網(wǎng)絡位+主機位 用來標識一個IP地址哪些是網(wǎng)絡位, 哪些是主機位。 用1 標識網(wǎng)絡為，用0標識主機位。Page 37IP地址分類A類 1-126 前8位表示網(wǎng)絡位，后24位表示主機位。B類 128-19

18、1前16位表示網(wǎng)絡位，后16位表示主機位。C類 192-223前24位表示網(wǎng)絡位，后8位表示主機位。D類 224-239用于組播地址。E類 240-255科研使用。Page 38特殊IP地址本地回環(huán)本地回環(huán)(loopback)測試地測試地址址播送地址播送地址代表任何網(wǎng)絡代表任何網(wǎng)絡主機位全為1: 代表該網(wǎng)段的所有主機。Page 39私有IP地址C類256個：B類16個：Page 40子網(wǎng)劃分的核心思想n “借用主機位來“制造新的“網(wǎng)絡16網(wǎng)絡網(wǎng)絡主機主機 172201010110011111111101011000001000011111111000100001111

19、11110000001010100000000000000000000000000010子網(wǎng)借位子網(wǎng)借位網(wǎng)絡號網(wǎng)絡號128192224240248252254255Page 41劃分子網(wǎng)方法n所選擇的子網(wǎng)掩碼將會產(chǎn)生多少個子網(wǎng)?:n2的x 次方(x代表借掩碼位數(shù))。n每個子網(wǎng)能有多少主機?: n2的y 次方-2(y代表當前主機位數(shù))。n每個子網(wǎng)的播送地址是?:n播送地址=下個子網(wǎng)號-1n每個子網(wǎng)的有效主機分別是?:n忽略全為0和全為1的地址，剩下的就是有效主機地址。Page 42子網(wǎng)劃分優(yōu)點n子網(wǎng)劃分可以解決IP地址緊缺的問題。n子網(wǎng)劃分可以解決播送問題，分割播送域。n例如：一個C類網(wǎng)絡，有2

20、54臺主機可以用。當我們分給一個公司，但是該公司沒有這么多主機，地址就有很大的浪費。通過子網(wǎng)劃分可以節(jié)省IP地址。Page 43交換機概述 是全雙工，可發(fā)可收。能識別數(shù)據(jù)幀中的MAC信息，根據(jù)地址信息把數(shù)據(jù)交換到特定的接口。 交換機是根據(jù)數(shù)據(jù)幀中的封裝的目的MAC地址來做出轉發(fā)數(shù)據(jù)的決定。 是目的MAC和交換機接口的映射，交換機根據(jù)MAC表把數(shù)據(jù)發(fā)送到相應的接口。Page 44交換機的三個功能地址學習幀的轉發(fā)/過濾環(huán)路防止Page 45交換機地址學習n 最初開機時MAC地址表是空的n Mac地址表條目默認老化時間是300秒，以下命令可改變老化時間: sw(config)#mac-address

21、-table aging-time ? Aging time valueMAC地址表地址表E0E1E2E3ABCDPage 46交換機地址學習n 主機A發(fā)送數(shù)據(jù)幀給主機Cn 交換機通過學習數(shù)據(jù)幀的源MAC地址，記錄下主機A的MAC地址對應端口E0 n 該數(shù)據(jù)幀轉發(fā)到除端口E0以外的其它所有端口(不清楚目標主機的單點傳送用泛洪方式)E0E1E2E3DCBAMAC地址表地址表Page 47幀的轉發(fā)n 主機C發(fā)送數(shù)據(jù)給B：交換機發(fā)現(xiàn)目的B的MAC對應E1接口，就把數(shù)據(jù)從這里發(fā)送出去。n 主機D發(fā)送播送幀或多點幀：播送幀或多點幀泛洪到除源端口外的所有端口。E0E1E2E3DCABMAC地址表地址表Pa

22、ge 48防止環(huán)路n 運行STP協(xié)議防止環(huán)路。n 某些端口置于阻塞狀態(tài)就能防止冗余結構的網(wǎng)絡拓撲中產(chǎn)生回路。阻塞阻塞xPage 49交換機配置n 配置命名：Switch(config)# hostname Sw1n 配置管理IP： Sw1(config)# int vlan 1 Sw1(config-if)# no shutn 配置網(wǎng)關 ：n 查看MAC表。 Sw1#sh mac-addn 設置雙工和速率。 Sw1(config)# int f0/1 Sw1(config-if)#speed 10 / 100 / auto Sw1(config-if)#duplex half / full /

23、 autoPage 50VLAN概述第三層第三層第二層第二層第一層第一層銷售部銷售部人力資源部人力資源部工程部工程部一個VLAN =一個播送域 = 邏輯網(wǎng)段 (子網(wǎng)) Page 51VLAN的優(yōu)點及分類 靜態(tài)VLAN：基于交換機接口。 動態(tài)VLAN：基于主機MAC地址，不常用, 需要在交換中建立一張VMPS表，來標明哪些MAC屬于哪個VLAN. 效率低。 隔離二層播送，優(yōu)化網(wǎng)性能。 VLAN可以跨越交換機，簡化布線，方便管理。 每個VLAN是一個獨立的子網(wǎng)，VLNA間的通信要通過三層設備實現(xiàn)，可以通過訪問控制列表對VLNA間的通信進行平安控制。優(yōu)點分類Page 52VLAN運行n 每個邏輯的V

24、LAN就象一個獨立的物理橋n 交換機上的每一個端口都可以分配給不同的VLANn 默認的情況下，所有的端口都屬于VLAN1Cisco交換機交換機 A綠色綠色VLAN黑色黑色VLAN 紅色紅色VLANPage 53VLAN運作n 同一個VLAN可以跨越多個交換機交換機交換機A交換機交換機B綠色綠色VLAN黑色黑色VLAN 紅色紅色VLAN綠色綠色VLAN黑色黑色VLAN 紅色紅色VLANPage 54VLAN運作n 主干功能支持多個VLAN的數(shù)據(jù)n 主干使用了特殊的封裝格式支持不同的VLANn 只有快速以太網(wǎng)端口可以配置為主干端口 干道連接干道連接 快速以太網(wǎng)快速以太網(wǎng)綠色綠色VLAN黑色黑色VL

25、AN 紅色紅色VLAN綠色綠色VLAN黑色黑色VLAN 紅色紅色VLANPage 55VLAN的配置全局模式Switch# configure terminal Switch(config)# vlan 3 Switch(config-vlan)# name Vlan3Switch(config-vlan)# exit Switch(config)# endSwitch# vlan database Switch(vlan)# vlan 3 VLAN 3 added: Name: VLAN0003Switch(vlan)# exit APPLY completed.Exiting.數(shù)據(jù)庫模式P

26、age 56VLAN的接入端口n 接入交換機端口在一個單一的數(shù)據(jù)的VLANPage 57VLAN執(zhí)行的命令n 配置VLAN-vlan 101-switchport mode access-switchport access vlan 101n 驗證VLAN-show interfaces-show vlanPage 58配置VLAN的接入Switch(config)# vlan vlan_id配置一個VLAN.Switch(config-vlan)# name vlan_name給VLAN命名.Switch(config-if)# switchport mode access 配置交換機的端口

27、為接入模式.Switch(config-if)# switchport access vlan vlan_id把接入端口劃分到vlan中.Page 59查看VLANSwitch#show vlanVLAN Name Status Ports- - - -1 default active Fa0/1, Fa0/2, Fa0/3, Fa0/4 Fa0/5, Fa0/7, Fa0/911 asw11_data active12 asw12_data active95 VLAN0095 active Fa0/899 Trunk_Native active100 Internal_Access acti

28、ve111 voice-for-group-11 active112 voice-for-group-12 active1002 fddi-default act/unsup1003 token-ring-default act/unsup1004 fddinet-default act/unsup1005 trnet-default act/unsupVLAN Type SAID MTU Parent RingNo BridgeNo Stp BrdgMode Trans1 - - - - - - - - -1 enet 100001 1500 - - - - - 0 enet 100011

29、1500 - - - - - 0 . . . . .Page 60網(wǎng)絡故障排查ARP及ARP防護 arp原理原理1 arp攻擊方式攻擊方式23 arp防護防護Page 61ARP協(xié)議原理 ARP協(xié)議是“Address Resolution Protocol地址解析協(xié)議的縮寫。在局域網(wǎng)中，網(wǎng)絡中實際傳輸?shù)氖恰皫?，幀里面有目標主機的MAC地址； 在以太網(wǎng)中，一個主機要和另一個主機進行直接通信，必須要知道目標主機的MAC地址。但這個目標MAC地址是如何獲得的呢？它就是通過地址解析協(xié)議獲得的。 ARP協(xié)議的根本功能就是主機在發(fā)送報文前將目標主機的IP地址解析成目標主機的MAC地址，以保證通信的順利進行

30、。Page 62ARP協(xié)議原理以太網(wǎng)目的地址以太網(wǎng)源地址幀類型硬件地址協(xié)議類型硬件地址長度協(xié)議地址長度OP發(fā)送端以太網(wǎng)地址目的以太網(wǎng)地址發(fā)送端IP地址目的IP地址662222116644以太網(wǎng)首部28字節(jié)ARP請求/應答n Arp request和reply的數(shù)據(jù)幀長都是42字節(jié)28字節(jié)的arp數(shù)據(jù)、14字節(jié)的以太幀頭Page 63ARP協(xié)議原理Page 64ARP協(xié)議原理ARP RequestPCgatewayARP Replay 正常的ARP通訊過程只需ARP Request和ARP Replay兩個過程，簡單的說就是一問一答： Page 65ARP協(xié)議原理PC網(wǎng)關回應給主機的ARP Re

31、ply報文 主機收到網(wǎng)關的主機收到網(wǎng)關的ARP ReplyARP Reply報文后，同樣會提取報文中的報文后，同樣會提取報文中的“Senders “Senders hardware addresshardware address和和“Senders protocol address“Senders protocol address生成自己的生成自己的ARPARP表項；表項；Page 66ARP攻擊方式n Arp flood arp 泛洪，只要是瞬間發(fā)送大量的arp數(shù)據(jù)包給switch，填滿switch的mac table，導致無法switch工作異常， 提示：這時switch就會象hub一樣工

32、作Page 67ARP攻擊方式ngratuitous arp 免費arp， 原理： 1.gratuitous arp也是arp request的一種，所以是 broadcast,就是群發(fā)，就是搞的地球人都知道 2. gratuitous arp的arp報文中，源ip和目的ip是 一樣的，就是為了再次確認網(wǎng)絡中身份。 ms的ip地址沖突監(jiān)測機制就是通過 免費arp實現(xiàn)的 Page 68ARP攻擊方式n 免費arp的精髓n 前文說到構建arp spoof的簡易方式。n 這里我有一個疑問，如果攻擊者不讓其中的1個用戶訪問任何地址，是否需要發(fā)送整個網(wǎng)段的錯誤的mac地址給 受害主機？n 答案是 NOn

33、 如果這樣勞命傷財，不是好方法！n 只要代表受害主機發(fā)送錯誤的gratuitous arp。1個arp報文足以！當然arp table有老化時間，不過謊話不停的說，說了屢次，就變成“真di了n 這樣網(wǎng)絡中的其他主機都收到錯誤的mac地址的arp報文進行更新自身的arp cache。于是災難就這樣發(fā)生了！Page 69ARP攻擊方式免費arp的工作原理普通交換機普通交換機極品良民極品良民恐怖份子恐怖份子GratuitousArpSend mac add=錯誤的錯誤的mac地址地址Send ip add=受害主機受害主機ipTarget ip add受害主機受害主機ip這是播送報文哦這是播送報文哦

34、為什么整個為什么整個網(wǎng)段都網(wǎng)段都ping不通？！不通？！發(fā)送發(fā)送源源ip和目的和目的ip均為均為受害主機的受害主機的ip地址地址的免費的免費arp報文報文我好毒、我好毒、我好毒我好毒原來 良民的地址是我真實的mac是Page 70ARP攻擊方式n Arp proxyn arp 代理：arp proxy是arp的攻擊之首， 這也是傳說的“中間人攻擊！n n 原理: 雙向arp spoofPage 71ARP攻擊方式Proxy arp的工作原理普通交換機普通交換機極品良民極品良民恐怖份子恐怖份子Arp reply to GWSend mac add恐怖份子恐怖份子macSend ip add=極品

35、良民極品良民ipTarget mac add GW mac地址地址Target ip addGW ip地址地址我要和網(wǎng)關通我要和網(wǎng)關通訊，沒錢了，訊，沒錢了，我要查我的銀我要查我的銀行賬戶行賬戶S8610GatewayIC、IP、IQ卡，卡，統(tǒng)統(tǒng)告訴我密碼統(tǒng)統(tǒng)告訴我密碼恐怖份子的潛臺詞：恐怖份子的潛臺詞：Hello，良民，我是網(wǎng)關！Hello，網(wǎng)關，我是良民！Arp reply to 良民良民Send mac add恐怖份子恐怖份子macSend ip add=網(wǎng)關網(wǎng)關ipTarget mac add 良民良民mac地址地址Target ip add良民良民 ip地址地址Page 72ARP攻擊方式Proxy arp的工作原理普通交換機普通交換機極品良民極品良民恐怖份子恐怖份子我要和網(wǎng)關