《計(jì)算機(jī)網(wǎng)絡(luò)安全與管理實(shí)踐》課件-第4章

第4章網(wǎng)絡(luò)病毒與攻擊預(yù)防技術(shù)任務(wù)1企業(yè)網(wǎng)防病毒系統(tǒng)的實(shí)施任務(wù)2企業(yè)網(wǎng)ARP攻擊預(yù)防

任務(wù)1企業(yè)網(wǎng)防病毒系統(tǒng)的實(shí)施

一、任務(wù)描述

某公司已經(jīng)建立局域網(wǎng)并通過防火墻與互聯(lián)網(wǎng)連接，并建立了多臺服務(wù)器提供服務(wù)，公司擁有近200臺員工計(jì)算機(jī)，在員工計(jì)算機(jī)以及服務(wù)器上出現(xiàn)的計(jì)算機(jī)病毒和木馬程序等威脅著公司網(wǎng)絡(luò)的正常運(yùn)行，為保障公司網(wǎng)絡(luò)的正常使用和穩(wěn)定運(yùn)行，需要加強(qiáng)服務(wù)器和員工計(jì)算機(jī)的安全防護(hù)，請進(jìn)行規(guī)劃并實(shí)施。

二、任務(wù)目標(biāo)和目的

1.任務(wù)目標(biāo)

針對公司服務(wù)器和員工計(jì)算機(jī)進(jìn)行安全防護(hù)的規(guī)劃和實(shí)施。

2.任務(wù)目的

通過本任務(wù)進(jìn)行網(wǎng)絡(luò)病毒防護(hù)系統(tǒng)的安全實(shí)訓(xùn)，幫助讀者了解網(wǎng)絡(luò)病毒防護(hù)系統(tǒng)的配置方法，并具備實(shí)施網(wǎng)絡(luò)病毒防護(hù)系統(tǒng)的能力。

三、任務(wù)需求與分析

需求：公司全網(wǎng)計(jì)算機(jī)的安全防護(hù)。

分析：采用病毒網(wǎng)絡(luò)防護(hù)系統(tǒng)，支持服務(wù)器和客戶端計(jì)算機(jī)多種操作系統(tǒng)版本，統(tǒng)一規(guī)劃、部署、制定安全策略。

四、知識鏈接

1.計(jì)算機(jī)病毒防護(hù)

計(jì)算機(jī)病毒是指編制或者在計(jì)算機(jī)程序中插入的破壞計(jì)算機(jī)功能或者數(shù)據(jù)，影響計(jì)算機(jī)使用并且能夠自我復(fù)制的一組計(jì)算機(jī)指令或者程序代碼。

1)計(jì)算機(jī)病毒的特點(diǎn)

計(jì)算機(jī)病毒的特點(diǎn)主要有以下幾個(gè)。

(1)寄生性。

(2)傳染性。

(3)隱蔽性。

(4)破壞性。

(5)潛伏性。

2)計(jì)算機(jī)病毒的預(yù)防

計(jì)算機(jī)病毒主要通過以下途徑進(jìn)行預(yù)防。

(1)安裝防病毒軟件，開啟病毒實(shí)時(shí)監(jiān)控，定期升級防病毒軟件病毒庫。

(2)不要隨便打開不明來源的郵件附件或從互聯(lián)網(wǎng)下載的未經(jīng)殺毒處理的軟件等。

(3)盡量避免他人使用自己的計(jì)算機(jī)，使用新設(shè)備和新軟件之前先進(jìn)行病毒檢查。

(4)及時(shí)更新操作系統(tǒng)補(bǔ)丁和安全補(bǔ)丁。

(5)建立系統(tǒng)恢復(fù)盤，定期備份文件。

2.網(wǎng)絡(luò)病毒防護(hù)系統(tǒng)

網(wǎng)絡(luò)工作站的防護(hù)位于企業(yè)防毒體系中的最底層，對企業(yè)計(jì)算機(jī)用戶而言，也是最后一道防、殺病毒的防線。

網(wǎng)絡(luò)版防毒軟件的防病毒功能是通過客戶機(jī)提供的，客戶機(jī)向服務(wù)器報(bào)告并從服務(wù)器獲取更新。通過網(wǎng)絡(luò)版防毒軟件控制臺，管理員可以配置、監(jiān)控和更新客戶機(jī)。

3.SymantecEndpointProtection安全防護(hù)系統(tǒng)

SymantecEndpointProtection(以下簡稱SEP)安全防護(hù)系統(tǒng)將賽門鐵克防病毒軟件與高級威脅防御功能相結(jié)合，可以為筆記本、臺式機(jī)和服務(wù)器提供無與倫比的惡意軟件防護(hù)能

力。它在一個(gè)代理和管理控制臺中無縫集成了基本安全技術(shù)，不僅提高了防護(hù)能力，而且還降低了總成本。它能主動保護(hù)計(jì)算機(jī)的安全，使其不受已知和未知威脅的攻擊。

五、任務(wù)實(shí)施

1.實(shí)施規(guī)劃

實(shí)訓(xùn)拓?fù)浣Y(jié)構(gòu)

根據(jù)任務(wù)的需求與分析，實(shí)訓(xùn)的拓?fù)浣Y(jié)構(gòu)如圖4-1所示，以PC1模擬用戶計(jì)算機(jī)，Server1模擬公司的業(yè)務(wù)服務(wù)器，Server2作為SEP管理服務(wù)器，連通互聯(lián)網(wǎng)。

圖4-1實(shí)訓(xùn)的拓?fù)浣Y(jié)構(gòu)

實(shí)訓(xùn)設(shè)備

根據(jù)任務(wù)的需求和實(shí)訓(xùn)拓?fù)浣Y(jié)構(gòu)，每個(gè)實(shí)訓(xùn)小組的實(shí)訓(xùn)設(shè)備配置建議如表4-1所示。其中，SEP管理服務(wù)器應(yīng)至少配備1GHzCPU、1G內(nèi)存、8G磁盤空間。

IP地址規(guī)劃

本任務(wù)中IP地址網(wǎng)段規(guī)劃為/24，各實(shí)訓(xùn)設(shè)備的IP地址規(guī)劃如表4-2所示。

2.實(shí)施步驟

(1)根據(jù)實(shí)訓(xùn)拓?fù)浣Y(jié)構(gòu)圖進(jìn)行交換機(jī)、計(jì)算機(jī)的線纜連接，配置PC1、Server1、Server2的IP地址。

SymantecEndpointProtectionManager的安裝進(jìn)程主要分成三個(gè)部分：安裝管理服務(wù)器和控制臺、配置管理服務(wù)器并創(chuàng)建嵌入式數(shù)據(jù)庫、創(chuàng)建并部署客戶端軟件。

(2)安裝SEPManager管理服務(wù)器和控制臺。將產(chǎn)品光盤插入驅(qū)動器，然后開始安裝。若為下載的產(chǎn)品，請打開文件夾并雙擊setup.exe程序，在出現(xiàn)的安裝界面上選擇“安裝SymantecEndpointProtectionManager”選項(xiàng)。

在“授權(quán)許可協(xié)議”頁面上，選中“我接受該授權(quán)許可協(xié)議中的條款”單選按鈕，然后單擊“下一步”按鈕，如圖4-2所示。

圖4-2接受授權(quán)許可協(xié)議

打開“安裝類型”對話框，選擇安裝類型，建議大部分用戶選擇“典型”安裝類型，如圖4-3所示。

圖4-3安裝類型選擇．

在“選擇網(wǎng)站”頁面上執(zhí)行下列操作之一，如圖4-4所示。圖4-4選擇安裝的網(wǎng)站及端口

①選中“創(chuàng)建自定義網(wǎng)站”單選按鈕，然后接受或更改“TCP端口”

②“使用默認(rèn)網(wǎng)站”，此設(shè)置使用IIS的默認(rèn)網(wǎng)站，不建議使用。

單擊“下一步”按鈕，在“準(zhǔn)備安裝程序”頁面上單擊“安裝”按鈕，即開始安裝，如圖4-5所示。圖4-5開始安裝

安裝完成并出現(xiàn)“安裝向?qū)б淹瓿伞表撁鏁r(shí)，單擊“完成”按鈕，如圖4-6所示。圖4-6安裝向?qū)б淹瓿?/p>

(3)配置管理服務(wù)器并創(chuàng)建嵌入式數(shù)據(jù)庫。在“管理服務(wù)器配置向?qū)А表撁嫔线x擇“簡單”選項(xiàng)，再單擊“下一步”按鈕。在出現(xiàn)的創(chuàng)建系統(tǒng)管理員賬戶界面輸入并確認(rèn)密碼(6

個(gè)或更多個(gè)字符)，密碼是用來登錄SymantecEndpointProtectionManager控制臺的管理員賬戶密碼。管理員的電子郵件地址為可選輸入，如圖4-7所示。圖4-7創(chuàng)建管理員賬戶

單擊“下一步”按鈕，在“數(shù)據(jù)收集”頁面上，執(zhí)行下列操作之一：

①若要讓SymantecEndpointProtection將如何使用本產(chǎn)品的相關(guān)信息發(fā)送給Symantec，請選中相應(yīng)復(fù)選框。

②若要拒絕將如何使用本產(chǎn)品的相關(guān)信息發(fā)送給Symantec，請取消選中相應(yīng)復(fù)選框。

單擊“下一步”按鈕，“配置摘要”頁面會顯示用于安裝SymantecEndpointProtectionManager的配置情況?？梢源蛴≡O(shè)置的副本以維護(hù)記錄，或單擊“下一步”按鈕，如圖4-8所示。圖4-8配置摘要

(3)在“管理服務(wù)器配置向?qū)б淹瓿伞表撁嫔?，如圖4-9所示，執(zhí)行下列操作之一：

①若要使用“遷移和部署向?qū)А辈渴鹂蛻舳塑浖?，請單擊“是”單選按鈕，然后單擊“完成”按鈕。

②若要先登錄SymantecEndpointProtectionManager控制臺后再部署客戶端軟件，請選中“否”單選按鈕，然后單擊“完成”按鈕。圖4-9完成管理服務(wù)器配置

(4)創(chuàng)建并部署客戶端軟件。使用遷移和部署向?qū)Э梢耘渲每蛻舳塑浖?。可以選擇顯示推式部署向?qū)?，也可以用它將客戶端軟件包部署至Windows計(jì)算機(jī)(需要客戶端計(jì)算

機(jī)的賬號和權(quán)限)，還可以將制作的客戶端軟件包通過其他方式(如拷貝、共享、FTP)在客戶端進(jìn)行安裝。下面以后者為例進(jìn)行安裝。

運(yùn)行下列其中一項(xiàng)操作，啟動“遷移和部署向?qū)А薄?/p>

①依次選擇“開始”|“程序”|“SymantecEndpointProtectionManager”|“遷移和部署向?qū)А边x項(xiàng)，具體路徑可能會因使用的Windows版本而異。

②在“管理服務(wù)器配置向?qū)А钡淖詈笠粋€(gè)面板中單擊“是”單選按鈕，然后單擊“完成”按鈕。在“歡迎使用遷移和部署向?qū)А泵姘逯?，單擊“下一步”按鈕，如圖4-10所示。圖4-10遷移和部署向?qū)?/p>

在“您選擇何種操作”面板中，選中“部署Windows客戶端”單選按鈕，然后單擊“下一步”按鈕。在下一個(gè)面板中選中“指定您要部署客戶端的新組名”單選按鈕，在框

中鍵入組名(如sepclient)，如圖4-11所示，然后單擊“下一步”按鈕。已部署客戶端軟件并登錄到控制臺后，可在控制臺找到此組。圖4-11部署的客戶端組名

在下一個(gè)面板中，取消選中不想安裝的SymantecEndpointProtection中任何類型的防護(hù)軟件組件功能，如圖4-12所示，然后單擊“下一步”按鈕。

在下一個(gè)面板中選中您所需的軟件包、文件及用戶交互安裝選項(xiàng)。單擊“瀏覽”按鈕，找到并選擇要放置安裝文件的目錄，然后單擊“打開”按鈕，如圖4-13所示。

圖4-12選擇客戶端包含的組件功能

圖4-13選擇軟件包安裝選項(xiàng)

單擊“下一步”按鈕，在創(chuàng)建客戶端安裝軟件包面板中運(yùn)行下列其中一項(xiàng)操作：

①選擇“是”單選按鈕，然后單擊“完成”按鈕。下一步顯示“推式部署向?qū)А?，遠(yuǎn)程將客戶端軟件安裝包推送至客戶端(需要客戶端驗(yàn)證)。

②選擇“否”單選按鈕，然后單擊“完成”按鈕。

此處選擇“否，只要創(chuàng)建即可，我稍后會部署”單選按鈕，如圖4-14所示。圖4-14選擇部署方式

創(chuàng)建并導(dǎo)出組的安裝軟件包可能需要幾分鐘的時(shí)間，如圖4-15所示，然后退出遷移和部署向?qū)?。圖4-15創(chuàng)建客戶端安裝軟件包

在客戶端計(jì)算機(jī)上雙擊運(yùn)行setup.exe文件進(jìn)行安裝，安裝包自動進(jìn)行安裝，如圖4-16所示。圖4-16客戶端自動安裝

安裝完成后，系統(tǒng)會提示重啟客戶端計(jì)算機(jī)才能生效，重啟客戶端計(jì)算機(jī)后，在右下角生成客戶端圖標(biāo)。雙擊可打開客戶端界面進(jìn)行操作，如圖4-17所示。圖4-17SymantecEndpointProtection客戶端

(5)SymantecEndpointProtectionManager控制臺配置。SymantecEndpointProtectionManager控制臺提供了圖形用戶界面供管理員使用，用來管理策略和計(jì)算機(jī)、監(jiān)控端點(diǎn)防

護(hù)狀態(tài)，以及創(chuàng)建和管理管理員賬戶。

安裝SymantecEndpointProtection之后登錄SymantecEndpointProtectionManager控

制臺，可以通過以下兩種方式：

①通過本地，從安裝管理服務(wù)器的計(jì)算機(jī)上依次選擇“開始”|“程序”|“Symantec

EndpointProtectionManager”|“SymantecEndpointProtectionManager控制臺”選項(xiàng)。

②通過遠(yuǎn)程，從滿足遠(yuǎn)程控制臺的系統(tǒng)要求，并且可連網(wǎng)至管理服務(wù)器的任何計(jì)算機(jī)中打開IE瀏覽器，然后在地址框中鍵入下列地址：:9090。在“SymantecEndpointProtectionManager控制臺Web訪問”頁面，單擊所需的控制臺類型。

出現(xiàn)控制臺登錄界面后，使用安裝時(shí)設(shè)定的管理員賬戶進(jìn)行登錄。登錄后的界面如圖4-18所示。

圖4-18SymantecEndpointProtectionManager控制臺主頁．

(6)策略配置。SymantecEndpointProtection使用不同類型的安全策略來管理網(wǎng)絡(luò)安全性。許多策略是在安裝期間自動創(chuàng)建的，可以使用默認(rèn)策略，也可以自定義策略以符合特

定環(huán)境的需要。策略可以為共享策略，也可以為非共享策略。共享策略應(yīng)用于任何組和位置，如果創(chuàng)建共享策略，則可以在所有使用相應(yīng)策略的組和位置將其編輯和替換。非共享策略應(yīng)用于組中的特定位置，每個(gè)策略只能應(yīng)用至一個(gè)位置。針對已經(jīng)存在的特定位置可能需要特定的策略，在這種情況下，可以為該位置創(chuàng)建一個(gè)唯一的策略。

要查看已有的策略或編輯、添加策略，在控制臺中單擊“策略”。在“查看策略”下，選擇任一策略類型，在“任務(wù)”下方選擇“編輯策略”“刪除策略”“分配策略”等操作，如圖4-19所示。圖4-19策略操作

防病毒和防間諜軟件策略主要包括下列類型的選項(xiàng)：

①文件系統(tǒng)自動防護(hù)。

②管理員定義的掃描(調(diào)度和按需掃描)。

③TruScan主動型威脅掃描。

④隔離選項(xiàng)。

⑤提交選項(xiàng)。

⑥其他參數(shù)。

當(dāng)安裝SymantecEndpointProtection時(shí)，控制臺的策略列表中會顯示若干防病毒和防間諜軟件策略，可以修改這些預(yù)先配置的策略之一，也可以創(chuàng)建新的策略。圖4-20為防病毒和防間諜軟件策略配置界面，可根據(jù)實(shí)際需要進(jìn)行配置。圖4-20防病毒和防間諜軟件策略配置

在“客戶端”頁面的“查看客戶端”下，選擇頂層組MyCompany以外的任何組，選擇要對其禁用或啟用繼承的組。在<組名稱>窗格的“策略”選項(xiàng)卡上，執(zhí)行下列其中一個(gè)操作，如圖4-22所示。

①若要禁用繼承，請取消選中“從父組<組名稱>繼承策略和設(shè)置”。

②若要啟用繼承，請選中“從父組<組名稱>繼承策略和設(shè)置”，然后在詢問是否繼續(xù)時(shí)單擊“是”按鈕。圖4-22禁用與啟用組的繼承

(8)LiveUpdate更新。SymantecLiveUpdate是一種使用病毒定義、入侵檢測特征、產(chǎn)品補(bǔ)丁程序等內(nèi)容來更新客戶端計(jì)算機(jī)的程序。

LiveUpdate可將內(nèi)容更新分發(fā)至客戶端或服務(wù)器，然后再將內(nèi)容分發(fā)至客戶端。客戶端會定期接收病毒與間諜軟件定義、IPS特征、產(chǎn)品軟件等的更新。LiveUpdate服務(wù)可通過SEP管理服務(wù)器、客戶端和LiveUpdate服務(wù)器進(jìn)行更新，默認(rèn)情況下，SEP客戶端會從默認(rèn)管理服務(wù)器獲取更新，并默認(rèn)接收所有類型的內(nèi)容更新。在大型網(wǎng)絡(luò)中，可安裝配置一臺或多臺專用的LiveUpdate服務(wù)器來提供下載更新。LiveUpdate的體系結(jié)構(gòu)如圖4-23所示。圖4-23LiveUpdate體系結(jié)構(gòu)

SEP管理服務(wù)器上的LiveUpdate策略有兩種類型。一種為LiveUpdate設(shè)置策略，另一種為LiveUpdate內(nèi)容策略。LiveUpdate設(shè)置策略可指定客戶端要聯(lián)系以檢查更新的計(jì)算

機(jī)，并控制客戶端檢查更新的頻率。LiveUpdate內(nèi)容策略指定允許客戶端檢查和安裝的更新類型。針對每種類型，可以指定客戶端查看和安裝最新的更新。但此策略不能應(yīng)用于組

中的特定位置，只能在組級別應(yīng)用。LiveUpdate策略的配置如圖4-24所示。圖4-24LiveUpdate策略

六、任務(wù)驗(yàn)收

1.設(shè)備驗(yàn)收

根據(jù)實(shí)訓(xùn)拓?fù)浣Y(jié)構(gòu)圖檢查、驗(yàn)收交換機(jī)、計(jì)算機(jī)的線纜連接，檢查PC1、Server1、Server2的IP地址。

2.配置驗(yàn)收

1)安裝驗(yàn)收

檢查Server2的SymantecEndpointProtectionManager安裝，通過瀏覽器訪問:9090能正常登錄控制臺界面，從控制臺的客戶端菜單可看見PC1、Server1、

Server2客戶端軟件安裝正確并正常運(yùn)行，選擇客戶端可查看其軟件版本、病毒定義及相關(guān)屬性等，如圖4-25所示。圖4-25受管理的客戶端屬性

2)組及策略配置驗(yàn)收

檢查創(chuàng)建的sepclient組的防病毒和防間諜軟件策略，其掃描調(diào)度時(shí)間為每周一上午12：00，如圖4-26所示。

檢查LiveUpdate策略，其調(diào)度更新頻率為連續(xù)，如圖4-27所示。圖4-26掃描調(diào)度圖4-27LiveUpdate調(diào)度更新頻率

3.功能驗(yàn)收

1)客戶端更新

新安裝的客戶端防病毒和防間諜軟件定義為過期，在客戶端上單擊“修復(fù)”按鈕，客戶端將從管理服務(wù)器開始進(jìn)行更新，更新完成后防病毒和防間諜軟件定義將會與管理服務(wù)器的定義一致，從查看日志里能檢查客戶端更新的情況。也可以從管理服務(wù)器開始進(jìn)行更新，在客戶端菜單選項(xiàng)里，選擇需要更新的客戶端，點(diǎn)擊右鍵，選擇“對客戶端運(yùn)行命

令”中的“更新內(nèi)容”命令，根據(jù)提示單擊“確定”按鈕，如圖4-28所示。圖4-28從管理服務(wù)器更新

2)客戶端掃描

掃描客戶端計(jì)算機(jī)的安全威脅，與客戶端更新類似，可選擇客戶端界面的“掃描威脅”進(jìn)行掃描，也可從管理服務(wù)器開始對客戶端運(yùn)行掃描命令，運(yùn)行后查看掃描結(jié)果。

七、任務(wù)總結(jié)

針對某公司計(jì)算機(jī)和服務(wù)器網(wǎng)絡(luò)病毒防護(hù)的任務(wù)內(nèi)容和目標(biāo)，通過需求分析進(jìn)行了實(shí)訓(xùn)的規(guī)劃和實(shí)施。本任務(wù)進(jìn)行了網(wǎng)絡(luò)病毒防護(hù)系統(tǒng)的安裝、安全策略配置、組與客戶端管

理等方面的實(shí)訓(xùn)。

任務(wù)2企業(yè)網(wǎng)ARP攻擊預(yù)防一、任務(wù)描述某公司已完成了公司園區(qū)網(wǎng)的基本建設(shè)，采用VLAN、生成樹、路由等技術(shù)構(gòu)建了穩(wěn)定的三層園區(qū)網(wǎng)絡(luò)結(jié)構(gòu)，并通過DHCP分配客戶端網(wǎng)絡(luò)參數(shù)，全公司約有3000臺計(jì)算機(jī)，通過約150臺交換機(jī)聯(lián)入校園網(wǎng)，需要穩(wěn)定地訪問校園網(wǎng)和互聯(lián)網(wǎng)資源。運(yùn)行一段時(shí)間后發(fā)現(xiàn)，較多用戶計(jì)算機(jī)經(jīng)常出現(xiàn)網(wǎng)絡(luò)中斷現(xiàn)象，經(jīng)檢查發(fā)現(xiàn)接入交換機(jī)層的客戶端計(jì)算機(jī)修改了IP和MAC地址，計(jì)算機(jī)感染病毒特別是ARP病毒，用戶計(jì)算機(jī)啟用了DHCP服務(wù)等多種影響網(wǎng)絡(luò)正常運(yùn)行的現(xiàn)象，為保障網(wǎng)絡(luò)的正常使用和穩(wěn)定運(yùn)行，請進(jìn)行規(guī)劃并實(shí)施。

二、任務(wù)目標(biāo)與目的

1.任務(wù)目標(biāo)

針對公司園區(qū)網(wǎng)接入層的網(wǎng)絡(luò)安全進(jìn)行防護(hù)實(shí)施，預(yù)防當(dāng)前日益頻繁的ARP病毒與ARP攻擊。

2.任務(wù)目的

通過本任務(wù)進(jìn)行交換機(jī)的ARP攻擊預(yù)防技術(shù)配置，以幫助讀者在深入了解交換機(jī)基本配置的基礎(chǔ)上，具備利用ARP攻擊預(yù)防技術(shù)預(yù)防ARP攻擊與病毒，提高網(wǎng)絡(luò)安全性，并具備靈活運(yùn)用的能力。

三、任務(wù)需求與分析

1.任務(wù)需求

某公司園區(qū)網(wǎng)內(nèi)，辦公計(jì)算機(jī)較多，用戶計(jì)算機(jī)經(jīng)常出現(xiàn)客戶端計(jì)算機(jī)修改IP和MAC地址、計(jì)算機(jī)病毒感染、計(jì)算機(jī)啟用了DHCP服務(wù)等多種影響網(wǎng)絡(luò)中斷的現(xiàn)象，需要保障公司園區(qū)網(wǎng)的正常使用和穩(wěn)定運(yùn)行。

2.需求分析

需求1：防止計(jì)算機(jī)因ARP病毒感染而影響網(wǎng)絡(luò)使用功能，或遭受ARP攻擊而造成損失。

分析1：采用防ARP檢測技術(shù)，配置ARP檢查，對偽造的非法ARP報(bào)文實(shí)施過濾，從而預(yù)防ARP攻擊與ARP病毒。

需求2：防止用戶計(jì)算機(jī)啟用DHCP服務(wù)，造成網(wǎng)絡(luò)IP地址管理、分配的混亂。

分析2：采用DHCPSnooping技術(shù)，過濾掉非法的DHCP報(bào)文，保證網(wǎng)絡(luò)主機(jī)只能從合法的DHCP服務(wù)器獲取IP地址及相關(guān)參數(shù)。

根據(jù)任務(wù)需求和需求分析組建公司的網(wǎng)絡(luò)結(jié)構(gòu)，如圖4-29所示。

圖4-29公司網(wǎng)絡(luò)結(jié)構(gòu)

四、知識鏈接

1.ARP協(xié)議

1)ARP協(xié)議的基本概念

地址解析協(xié)議，即ARP(AddressResolutionProtocol)，是一種根據(jù)IP地址獲取物理地址(即MAC地址)的TCP/IP協(xié)議。

ARP協(xié)議是建立在網(wǎng)絡(luò)中各個(gè)主機(jī)互相信任的基礎(chǔ)上的，網(wǎng)絡(luò)上的主機(jī)可以自主發(fā)送ARP應(yīng)答消息，其他主機(jī)收到應(yīng)答報(bào)文時(shí)不會檢測該報(bào)文的真實(shí)性，直接將其記入本機(jī)ARP緩存。

2)ARP報(bào)文格式

要了解ARP的工作和實(shí)現(xiàn)原理，必須先了解ARP報(bào)文格式。ARP報(bào)文格式如圖4-30所示。

圖4-30ARP報(bào)文格式

(1)硬件類型：表示硬件地址類型，1為以太網(wǎng)MAC地址。

(2)協(xié)議類型：網(wǎng)絡(luò)層地址，0x0800表示IP地址。

(3)OP：操作類型，1表示ARP請求，2表示ARP應(yīng)答。

ARP協(xié)議主要通過交換ARPRequest、ARPRelay等報(bào)文實(shí)現(xiàn)IP地址和MAC地址的轉(zhuǎn)換。ARP協(xié)議的基本工作原理如圖4-31所示。

圖4-31ARP協(xié)議的基本工作原理

4)ARP協(xié)議的實(shí)現(xiàn)原理

當(dāng)IP協(xié)議知道IP包的下一跳(或目的地址)IP地址，但不知道其MAC地址時(shí)，就調(diào)用ARP協(xié)議。IP協(xié)議調(diào)用ARP協(xié)議后，ARP協(xié)議通過ARP請求和ARP應(yīng)答實(shí)現(xiàn)地址解析。解析的過程如圖4-32所示。圖4-32主機(jī)A要獲取主機(jī)B物理地址的解析過程

5)ARP緩存

當(dāng)主機(jī)A通過ARP協(xié)議完成主機(jī)B的地址解析后，此時(shí)會在主機(jī)A內(nèi)部的ARP緩存表中生成一條主機(jī)B的緩存記錄，下次主機(jī)A再去訪問主機(jī)B時(shí)，就無需再通過ARP協(xié)議去解析主機(jī)B的地址。ARP緩存的存在，極大地提高了網(wǎng)絡(luò)性能和效率，降低了對網(wǎng)絡(luò)資源的消耗。一般而言，主機(jī)內(nèi)部的ARP緩存記錄主要分為兩大類：

(1)動態(tài)ARP表。

(2)靜態(tài)ARP表。

查看主機(jī)ARP緩存表的方法為：在命令提示符里輸入命令arp-a，如圖4-33所示，可查看主機(jī)ARP緩存表。圖4-33查看主機(jī)ARP緩存表

為某臺主機(jī)添加靜態(tài)ARP緩存記錄的方法為：在命令提示符里輸入命令arp-s，如圖4-34所示，為主機(jī)添加靜態(tài)ARP緩存記錄。圖4-34為主機(jī)添加靜態(tài)ARP緩存記錄

如果要手動清空某臺主機(jī)的ARP緩存記錄，方法為：在命令提示符里輸入命令arp-d，如圖4-35所示，清空主機(jī)ARP緩存記錄。圖4-35清空主機(jī)ARP緩存記錄

6)ARP協(xié)議的漏洞

ARP協(xié)議雖然是一個(gè)高效的數(shù)據(jù)鏈路層協(xié)議，但它是一個(gè)早期的網(wǎng)絡(luò)協(xié)議，存在先天不足。它的設(shè)計(jì)初衷是為了方便數(shù)據(jù)的傳輸，設(shè)計(jì)前提是網(wǎng)絡(luò)絕對安全，是建立在局域網(wǎng)主機(jī)相互信任的基礎(chǔ)之上的，因此ARP協(xié)議具有廣播性、無狀態(tài)性、無認(rèn)證性、無關(guān)性和動態(tài)性等一系列安全缺陷。具體而言，ARP協(xié)議主要有以下幾個(gè)缺點(diǎn)：

(1)利用廣播方式實(shí)現(xiàn)。

(2)無狀態(tài)和動態(tài)性。

(3)缺乏身份認(rèn)證。

2.ARP攻擊的原理

一般而言，ARP攻擊主要有以下幾種方式。

1)ARPSpoof攻擊

ARPSpoof就是典型的中間人攻擊。中間人攻擊就是攻擊者將自己的主機(jī)插入兩個(gè)目標(biāo)主機(jī)的通信路徑之間，使它的主機(jī)如同兩個(gè)目標(biāo)主機(jī)通信路徑上的一個(gè)中繼，這樣攻擊

者就可以監(jiān)聽兩個(gè)目標(biāo)主機(jī)之間的通信。ARPSpoof攻擊如圖4-36所示。圖4-36ARPSpoof攻擊

2)ARP網(wǎng)關(guān)欺騙攻擊

ARP網(wǎng)關(guān)欺騙攻擊主要是造成內(nèi)部主機(jī)無法訪問其他網(wǎng)段或外網(wǎng)，其攻擊過程如圖4-37所示。圖4-37ARP網(wǎng)關(guān)欺騙攻擊

3)IP地址沖突

IP地址沖突是指主機(jī)發(fā)送更改的ARP報(bào)文，將偽裝的MAC地址映射到目的主機(jī)的IP地址，系統(tǒng)檢測到兩個(gè)不同的MAC地址對應(yīng)同一個(gè)IP地址的情況，這時(shí)，Windows操作系統(tǒng)中會彈出警告對話框，Linux/Unix操作系統(tǒng)中則以mail方式警告用戶，并且都會出現(xiàn)網(wǎng)絡(luò)的暫時(shí)中斷。

4)拒絕服務(wù)攻擊DoS

拒絕服務(wù)攻擊就是使目標(biāo)主機(jī)不能正常響應(yīng)外部請求，從而不能對外提供服務(wù)的攻擊方式。如果攻擊者將目標(biāo)主機(jī)ARP的MAC地址全部改為根本不存在的地址，那么目標(biāo)主

機(jī)向外發(fā)送的所有以太網(wǎng)數(shù)據(jù)幀會丟失，使得上層應(yīng)用忙于處理這種異常而無法響應(yīng)外來請求，也就導(dǎo)致目標(biāo)主機(jī)產(chǎn)生拒絕服務(wù)。

5)ARPReply畸形包攻擊

從ARP報(bào)文格式我們可以知道，正常的ARP報(bào)文至少是46個(gè)字節(jié)，但是如果我們自己精心構(gòu)造一個(gè)只有30字節(jié)長的ARPReply報(bào)文，就會使整個(gè)網(wǎng)絡(luò)癱瘓。原因就是目前市場上的網(wǎng)絡(luò)交換設(shè)備沒有充分考慮到這種情況的出現(xiàn)。

6)克隆攻擊

如今修改網(wǎng)絡(luò)接口的MAC地址已經(jīng)成為可能，于是攻擊者首先對目標(biāo)主機(jī)實(shí)施拒絕服務(wù)攻擊，使其不能對外部做出任何反應(yīng)。

3.ARPDetection

1)ARPDetection概述

ARPDetection主要應(yīng)用于接入設(shè)備上，對于合法用戶的ARP報(bào)文進(jìn)行正常轉(zhuǎn)發(fā)，否則直接丟棄，從而防止仿冒用戶、仿冒網(wǎng)關(guān)的攻擊。ARPDetection包含三個(gè)功能：用戶合法性檢查、ARP報(bào)文有效性檢查、ARP報(bào)文強(qiáng)制轉(zhuǎn)發(fā)。

(1)用戶合法性檢查。

(2)ARP報(bào)文有效性檢查。

(3)ARP報(bào)文強(qiáng)制轉(zhuǎn)發(fā)。

4.配置命令

H3C系列和Cisco系列交換機(jī)上配置ARPDetection(ARP檢測)的相關(guān)命令，如表4-3所示。

五、任務(wù)實(shí)施

1.實(shí)施規(guī)劃

實(shí)訓(xùn)拓?fù)浣Y(jié)構(gòu)

根據(jù)任務(wù)的需求與分析，實(shí)訓(xùn)的拓?fù)浣Y(jié)構(gòu)如圖4-38所示，以PC1模擬公司員工電腦，PC2模擬ARP攻擊機(jī)，DHCP模擬公司DHCP服務(wù)器。圖4-38實(shí)訓(xùn)的拓?fù)浣Y(jié)構(gòu)

實(shí)訓(xùn)設(shè)備

根據(jù)任務(wù)的需求和實(shí)訓(xùn)拓?fù)浣Y(jié)構(gòu)，每個(gè)實(shí)訓(xùn)小組的實(shí)訓(xùn)設(shè)備配置建議如表4-4所示。

IP地址規(guī)劃

根據(jù)需求分析，本任務(wù)的IP地址規(guī)劃如表4-5所示。

VLAN規(guī)劃

根據(jù)需求分析，本任務(wù)的VLAN規(guī)劃如表4-6所示。

2.實(shí)施步驟

(1)根據(jù)實(shí)訓(xùn)拓?fù)浣Y(jié)構(gòu)圖進(jìn)行交換機(jī)、計(jì)算機(jī)的線纜連接，配置DHCP服務(wù)器的IP地址。

(2)使用計(jì)算機(jī)Windows操作系統(tǒng)的“超級終端”組件程序，通過串口連接到交換機(jī)的配置界面，其中超級終端串口的屬性設(shè)置還原為默認(rèn)值(每秒位數(shù)9600、數(shù)據(jù)位8、奇偶校驗(yàn)無、數(shù)據(jù)流控制無)。

(3)超級終端登錄到路由器進(jìn)行任務(wù)的相關(guān)配置。

(4)Sw1主要配置清單如下：

(5)Sw2主要配置清單如下：．

(6)DHCP中繼代理配置如下：

(7)DHCPSnooping配置如下：．

(8)配置DHCP服務(wù)器。DHCP服務(wù)器配置步驟省略，請參考“第3章任務(wù)4企業(yè)網(wǎng)IP地址安全管理”部分的DHCP服務(wù)器配置。

(9)測試DHCP服務(wù)是否正常。此時(shí)可以測試公司內(nèi)部的PC1、PC2是否可以從DHCP服務(wù)器獲取IP地址。分別將PC1、PC2設(shè)置為自動獲取IP地址，并在PC1、PC2上運(yùn)行ipconfig/all命令，查看獲取的IP地址參數(shù)，如圖4-39、圖4-40所示。圖4-39PC1獲取的IP地址參數(shù)圖4-40PC2獲取的IP地址參數(shù)

(10)測試內(nèi)部主機(jī)是否能訪問網(wǎng)關(guān)。正常情況下，在沒有ARP攻擊時(shí)，PC1、PC2均能正常訪問網(wǎng)關(guān)：54。在PC1上測試的訪問情況如圖4-41所示，可以看出此時(shí)網(wǎng)絡(luò)是正常的，PC1可以正常訪問網(wǎng)關(guān)。圖4-41PC1能正常訪問網(wǎng)關(guān)

(11)PC2上模擬發(fā)起ARP網(wǎng)關(guān)欺騙攻擊。利用“WindowsARPSpoofer”軟件