反黑风暴-第30章

按键盘上方向键 ← 或 → 可快速上下翻页，按键盘上的 Enter 键可回到本书目录页，按键盘上方向键 ↑ 可回到本页顶部！
————未阅读完？加入书签已便下次继续阅读！


对内网PC的欺骗，同时在网关也要进行IP和MAC的静态绑定，这样双向绑定才能够更保险。下面介绍对主机进行IP和MAC地址进行静态绑定的方法。

步骤01打开命令提示符窗口，输入命令“arp–sIP地址MAC地址”，即可实现IP地址与MAC地址的绑定，如“arp…s192。168。0。700…1E…8C…17…BO…8B”。

步骤02此时，在其中输入命令“arp–a”，如果刚才的绑定设置成功，就会在PC上面看到相关的提示：

InterAddressPhysicalAddressType

192。168。0。700…1E…8C…17…BO…8Bstatic（静态）。

如果没有将IP地址与MAC地址进行绑定，则在动态的情况下，输入命令“arp–a”，会在PC上看到如下提示：

InterAddressPhysicalAddressType

192。168。0。700…1E…8C…17…BO…8Bdynamic（动态）

采用上面介绍的方法绑定网络中的一台或几台主机比较方便，但若网络中有很多台主机，如300台或800台，这样每一台去做静态绑定，工作量非常大。而且这种静态绑定，在电脑每次重新启动后，都必须重新绑定才有效。

2．使用ARP防护软件

网络上的ARP防护软件非常多，这里介绍的是AntiARP（原名为AntiARPSniffer），该软件最新版本为ARP防火墙单机版6。0。1版本和ARP防火墙网络版V3。2。3。

ARP防火墙通过在系统内核层拦截虚假ARP数据包以及主动通告网关本机正确的MAC地址，可以保障数据流向正确，不经过第三者，从而保证通讯数据安全、保证网络畅通、保证通讯数据不受第三者控制，解决网络经常掉线、网速慢等情况。

下面介绍网络版ARP防火墙V3。2。3的使用方法。首先要选一台性能较好的计算机安装ARP防火墙网络版管理端，然后还需要安装客户端，这样这台计算机才能受到保护。

（1）客户端组管理

使用ARP防火墙网络版防护局域网内的计算机之前，需要先在客户端下添加组。其具体操作方法如下：

步骤01在计算机中安装ARP防火墙管理端并运行软件，在主界面中左侧“所有客户端”→“默认端”选项上右击，在弹出菜单中选择【添加组】菜单项。

步骤02打开【添加】组对话框，在文本框中输入要添加的组的名称。

步骤03单击【OK】按钮，即可添加组A。选择【客户端管理】→【IP地址管理】→【组A】菜单项，打开【IP地址管理…组A】对话框，此时已默认加入组A中。在“开始IP”和“结束IP”文本框中分别输入相应的IP地址。

步骤04单击【添加】按钮，此时，即可弹出【访问】对话框，提示用户是否要把这些IP地址加入到组“组A”中。

步骤05单击【是】按钮，即可将这些IP地址添加到【IP地址管理…组A】对话框中。若要删除其中的某一IP地址，可选中该IP地址后右键单击，在弹出的快捷菜单中选择【删除IP地址】菜单项，即可删除。

2。客户端参数配置

在客户端下的“组A”中添加IP地址后，还需要对客户端的参数进行配置。其具体操作方法如下：

步骤01选择【客户端管理】→【客户端参数配置】→【组A】菜单项，打开【客户端参数配置…组A】对话框。默认选择【常规】选项卡，在其中可以设置“显示配置”和“运行配置”。取消选中其中的“继承全局配置”复选框，不继承全局配置，只单独针对组A进行特殊配置。另外，建议选中“自动最小化到系统栏”，、“隐藏没有数据的页面”、“程序运行后自动开始保护”复选框。

步骤02切换到【网络】选项卡，同样取消选中“继承全局配置”复选框。其中建议将“网关IP/MAC”设置为“自动获取”，如果在ARP防火墙客户端启动之前，系统已经处于攻击之下，自动获取到的网关MAC有可能是假的。遇到这种情况，则建议手工指定网关的IP和MAC。根据情况设置“管理端IP和端口”，这里可以设置两个。

步骤03选择【安全】选项卡，取消选中“继承全局配置”复选框，在“密码保护”选项区域中可以设置密码，该密码可用在程序卸载、程序退出、隐藏界面呼出、参数配置四个地方，其他选项保持默认设置。

步骤04选择【路由】选项卡，这里的可信路由检测功能可检测到攻击者转发的数据包，做出拦截并启动主动防御，从而保障数据安全。用户可根据需要在“可信路由”选项区域中选择要检测的选项，另外，还可手动添加除网关外的可信路由，但网关IP/MAC默认认为是可信路由，如果除了默认网关外，没有其他路由，就不需要手动添加了。

步骤05切换到【防御】选项卡，在“主动防御”区域中选择“警戒”选项，这样平时不向网关发送本机正确的MAC地址，状态为“警戒－待命”。当检测到本机正在受到ARP攻击时，状态切换为“警戒－启动防御”，开始向网关发送本机正确的MAC地址，以保证网络不会中断。持续10秒没有检测到攻击时，状态从“警戒－启动防御”切换回“警戒－待命”，停止发包。

步骤06切换到【攻击拦截】选项卡，在“ARP抑制”区域中勾选“抑制发送ARP”复选框，这样当本机发送ARP数据包的速度超过阀值时，ARP防火墙会启动拦截程序。一般情况下，本机发送ARP的速度不应该超过10个/秒。

步骤07再选中“一并拦截发关的ARPReply”复选框，这样如果拦截本机发送的ARPReply，其他机器将无法获取你的MAC地址，将无法主动与你的机器取得联系，但你的机器可主动与其他机器联系。

3．管理端参数配置

在设置好客户端参数配置后，还需要设置管理端参数配置。选择【工具】→【管理端参数配置】菜单项，即可打开【管理端参数配置】对话框。其中包括【常规】、【流量控制】、【攻击监测】、【报警设置】、【升级控制】选项卡，下面分别对这5个选项卡进行设置。

（1）【常规】选项卡

在“网络参数”区域中可以自定义管理端监听的TCP端口，新设置的端口在下次运行时才生效，默认端口为9001。“TCP连接线程池”默认的设置是200，用户可以根据具体情况进行调准，一般建议不要超过500。但TCP连接线程池并非越大越好，因为线程池越大，管理端程序占用的系统资源就会越多。

客户端连接上管理端之后，即占用一个TCP连接线程池。在TCP连接线程池未用满时，客户端与管理端建立的连接会一直保持，不会断开，这样有利于管理端可以随时管理客户端。

当TCP连接线程池用满时，管理端会进行清理，断开一些客户端的连接。当客户端到了向管理端报告状态的时间点之后，客户端会再次连接管理端，使得管理端能够比较及时的获取客户端的状态和相关数据。

在“日志保存”区域中可设置自动保存事件中心日志及其保存目录，默认将其保存在管理端程序目录下的“Logs”文件夹。

（2）【流量控制】选项卡

在该选项卡下可以设定管理端监测客户端的上传、下载速度，当超过设定阀值时，可采取相应措施，如关机、重启、报警等。客户端网络速度是平均速度，非瞬时速度，计算方式为：假设客户端向管理端上传数据的周期为1分钟，假设在这1分钟之内，共计发送了600KB数据，那么上传速度为600KB/60秒=10KB/秒。

（3）【攻击监测】选项卡

该选项卡可用于监测网络内的攻击情况，触发阀值后的措施与【流量控制】选项卡中采取的措施相同。

（4）【报警设置】选项卡

在其中勾选“播放声音”复选框并单击后面的按钮，即可选择声音来源，但目前只支持wav格式的声音文件。这样，ARP防火墙管理端在收到报警信息时，就会播放此声音。

（5）【升级控制】选项卡

当有新版本发布时，可通过管理端来控制客户端进行自动升级。从官方网站下载升级包之后，在“升级包路径”文本框中设置路径即可。若客户端下除“默认组”外，还建立有多个组，可在本界面的“可选组”列表框中选择相应的组，并将其添加到“批准进行升级的组”列表框中。如果客户端数量较多，建议分批次进行升级，以免给网络和ARP防火墙管理端带来比较大的负载。

【提示】

管理端及客户端程序均会对升级包的完整性、可靠性进行校验，只有官方才能签发升级包，任何人均无法伪造。提供下载的升级包一般命名为*。rar，例如“v3。3。rar”，解压后会得到两个文件：一个是v3。3。zip，这个ZIP压缩包就是在升级界面中需要指定路径的升级包文件。而且这个文件的名字不可更改，否则将会导致升级失败。另一个是v3。3。zip。asc，这个是ZIP压缩包文件的数字签名，此文件必须跟zip文件在同一目录下。

所有设置完成后，返回到ARP防火墙管理端界面中。在左侧列表中选择“所有客户端”→“组A”选项，即可在右侧显示出添加的IP地址，并且可以查看“组A”的各种状态信息，如在线状态、连接状态、对外ARP攻击和对外IP攻击等情况。在左侧列表的下半部分，显示的是“组A”的客户端状态统计。

第三章　DNS欺骗攻击与防范

DNS是目前大部分网络应用的基础，对它的攻击将影响整个Inter的正常运转。DNS欺骗攻击是攻击者常用的手法，它具有隐蔽性强、打击面广、攻击效果明显的特点。

本节将针对DNS欺骗进行，并在此基础上介绍DNS欺骗攻击的过程以及其相应的防范措施，这对于提高DNS的安全性和抗攻击性具有积极的作用。

10。3。1认识DNS欺骗

DNS是域名系统（DomainNameSystem）的缩写，是一种组织域层次结构的计算机和网络服务命名系统。当用户在应用程序中输入DNS名称时，DNS服务可以将此名称解析为与此名称相关的IP地址信息。

用户在使用网络服务时喜欢在浏览器的地址栏中输入使用主机名和域名组成的名称，因为这样的名称更容易被用户记住。但是，计算机在网络上是使用IP地址来通信的。为了能够实现网络计算机之间通信，DNS服务器所提供的服务就是将用户所使用的计算机或服务名称映射为IP地址。

DNS服务器进行名字解释的时候依赖的是一个数据文件，每个域名都有一个独立的数据文件，这个文件包括了该域名所有的名称，名称对应的类型和对应的类型数据。

当客户端希望解析DNS域名为IP地址时，就会向DNS服务器发送一个查询，然后服务器会将对应的作为回复。从客户端的角度来看，看到的只有两个数据包：查询和响应。DNS规定的名称类型有近20个。

要进行DNS查询，可利用Windows系统自带的工具nslookup，使用它来可以查询DNS中的各种数据。

（1）利用命令行方式查询

Nslookup这种运行方式主要用来查询域名对应的IP地址，也就是查询DNS的A类型记录。通过A类型记录黑客可以查询该域名的主页所存放的服务器。比如，若要查看。hao123。的IP，可在命令提示符窗口中输入要查询的IP地址或域名，并回车即可。查询的结果中包括A类型记录和CNAME类型记录。

（2）交互式方式

要查询DNS中除A类型外的其他类型的数据，可利用交互模式来查询，在查询过程中使用“settype”命令设置相应的查询类型即可。

DNS欺骗是一种中间人攻击形式，它是攻击者冒充域名服务器的一种欺骗行为，它主要用于向主机提供错误DNS信息。当用户尝试浏览网页，例如IP地址为AAA。AAA。AA。A，网址为。hao123。，而实际上登录的确实IP地址BBB。BBB。BB。B上的。hao123。。用户上网就只能看到攻击者的主页，而不是用户想要打开的网站的主页了。

这个网址是攻击者用以窃取网上的账号、密码等重要信息的假冒网址。DNS欺骗其实就是冒名顶替、招摇撞骗罢了。

网络攻击者通常通过如下几种方法进行DNS欺骗：

●缓存感染

黑客会熟练的使用DNS请求，将数据放入一个没有设防的DNS服务器的缓存当中。这些缓存信息会在客户进行DNS访问时返回给客户，从而将客户引导到入侵者所设置的运行木马的Web服务器或邮件服务器上，然后黑客从这些服务器上获取用户信息。

●DNS信息劫持

入侵者通过监听客户端和DNS服务器的对话，通过猜测服务器响应给客户端的DNS查询ID。每个DNS报文包括一个相关联的16位ID号，DNS服务器根据这个ID号获取请求源位置。黑客在DNS服务器前将虚假的响应交给用户，从而欺骗客户端去访问恶意的网站。

●DNS重定向

攻击者能够将DNS名称查询重定向到恶意DNS服务器。这样攻击者可以获得DNS服务