局域网的安全攻防测试与分析.doc

摘要【摘要】近年来，随着计算机在办公中的普及应用，局域网在办公中地位的日渐突出，针对局域网的攻击也日益增多。这类攻击有以病毒的形式进行传播和攻击，也有网络黑客的破坏和IP地址被盗用等各种形式，不论怎样，这都严重影响了计算机中数据的安全性。局域网(LAN)英文全称是“LocalArea Network”，主要是指在小范围内由网络服务器和多台电脑组成的工作组网络，下面将就就局域网的安全攻防的检测和分析，是层次化、集成化和智能化的测试和分析系统。采用分布式体系结构，应用集成防卫的理论和技术，建立策略数据库，提供智能的检测和分析机制，通过对信息数据的统计分析，实现对完了安全的综合管理。本文主要对IPv6局域网攻防原理、分类、危害进行阐述，再对两种具体的攻击：扫描攻击和阻止IP攻击，进行了原理分析，然后设计并实现两个Snort预处理器分别对着两种攻击进行攻击检测分析。本文使用一种实时警报分析框架（实时TIAA系统）通过预先学习的关联关系对Snort产生的警报进行匹配和关联，从而在海量警报中找到属于同一攻击序列的警报；再通过Sniffer软件来监控和发现一些重要的问题【关键词】局域网 安全 病毒 Snort SnifferIabstract【abstract】In recent years, with the use of computers in the Office, LAN in Office position in the increasingly prominent, growing number of attacks against the local area network. This type of attack have spread in the form of viruses and attacks, hackers compromised and the IP address is, and other forms of piracy, in any case, this has seriously affected the security of data on your computer. Local area network (LAN) full name in English is LocalArea Network, mainly within the scope of a small working group composed of network servers and multiple computers network, the following LAN security testing and analysis of attack and defense, is hierarchical, the integration and testing and analysis of intelligent systems. With a distributed architecture, applied theory and integrated defense technologies, establish policies database, providing intelligent detection and analysis of mechanism, through statistical analysis of the data, enabling the out of integrated security management. Article on IPv6 local area network offensive and defensive principles, classification, hazard, and for two specific types of attacks: scan attacks and block IP attacks, analysis, and design and implement two Snort preprocessor, respectively on the detection and analysis of two kinds of attack attack. This article uses a framework for real-time analysis (real-time TIAA system) through learning that matches Snort alerts and associated relations associate, to find the same attack sequence in a mass alert warning; then Sniffer software to monitor and identify some important issues【Key Words】LAN; security; virus ;Snort ;Sniffer32目录目 录前 言1第1章 绪论21.1什么是局域网21.2局域网的现有拓扑结构21.2.1星型结构21.2.2环型结构31.2.3总线型结构41.2.4混合型拓扑结构51.3什么是内网51.3.1如何检测公网和内网51.3.2内网与外网的区别6第2章局域网安全72.1局域网内网安全现状72.2局域网内网安全威胁分析72.2.1欺骗性的软件使数据安全性降低72.2.2服务器区域没有进行独立防护82.3局域网安全攻防武器篇82.4局域网病毒92.4.1局域网病毒概述92.4.2计算机局域网病毒的防治措施92.4.3基于工作站的防治技术102.4.4于服务器的防治技术102.4.5计算机网络的管理112.4.6清除网络病毒112.5局域网病毒特点及攻防12第3章 局域网策略分析工具的研究133.1策略分析的意义133.2警报关联的框架结构143.2.1理论基础143.2.2 TIAA 系统组成173.2.3 TIAA系统实现203.3实时TIAA 框架的设计与实现213.3.1实时TIAA 系统目标213.3.2实时系统总体设计213.3.3 Agent 警报获取流程22第4章 Sniffer274.1 Sniffer工具简介及其概述274.1.1 sniffer工具简介274.1.2 Sniffer软件概述274.1.3 Sniffer的分类284.1.4 Sniffer 的工作原理284.2 Sniffer pro294.2.1 Sniffer Pro 介绍294.2.2 Sniffer Pro对网络程序的监测294.3 Sniffer攻防测试分析304.3.1 Sniffer攻击原理304.4使用sniffer分析ARP病毒攻击334.4.1 ARP病毒攻击334.4.2解决ARP病毒攻击334.5 Sniffer 攻击实例344.5.1 Snoop简介344.5.2 SnooP攻击实例354.6 Sniffer的防护374.6.1怎样发现 Sniffer374.6.2抵御 Sniffer374.6.3防止 Sniffer的工具 Antisnff38结束语40参考文献41附 件42一、英文原文42二、英文翻译45前言前 言随着信息化的飞速发展,今天的计算机网络信息量大。网络应用程序要求随时有效,一旦出现问题,必须快速、有效地解决。网络分析是一种技术范畴,可以用它来研究网络的性质,估计当前网络的容量,或者为将来使用的应用程序及其版本更新做出规划,是目前维护网络稳定、排除网络故障的好帮手。网络不仅大幅度提高了人们的工作效率,也最大程度地实现了信息资源的共享.目前中国拥有世界上最多的互联网用户和庞大的基础网络,一个十分严峻的问题就是网络的安全问题. 因为互联网在世界范围内的开放性和无管理性,以及TCPIP协议簇、各种操作系统、应用程序的安全漏洞,造成当今互联网上各类安全事件层出不穷,各类安全漏洞不断被发现。可以说互联网的本质是非常不安全的。本论文所介绍的局域网的安全是围绕局域网的一些攻防工具进行局域的攻防测试与分析，概述了目前局域网所面临的一些危机和相应的解决方法，通过本文，希望能让更多的人了解局域网，和安全使用局域网。本论文从体系上分为以下五个章节。第1章：介绍局域网的基本结构，内网和如何监测内网。第2章：介绍局域网的安全，通过病毒，漏洞等方面阐述局域网存在的安全隐患。第3章：对一些局域网工具的测试和分析第4章：使用Snort 监测局域网的IP 并对其进行分析，概出了使用Snort 阻止IP 攻击的监测。第5章：概述了使用Sniffer 工具对局域网的攻防分析以及解决ARP病毒的攻击。第1章 绪论第1章 绪论1.1什么是局域网局域网（Local Area Network），简称LAN，是指在某一区域内由多台计算机互联成的计算机组。“某一区域”指的是同一办公室、同一建筑物、同一公司和同一学校等，一般是方圆几千米以内。局域网可以实现文件管理、应用软件共享、打印机共享、(扫描仪共享(注：扫描仪不能共享）)工作组内的日程安排、电子邮件和传真通信服务等功能。局域网是封闭型的，可以由办公室内的两台计算机组成，也可以由一个公司内的上千台计算机组成。 1.2局域网的现有拓扑结构网络中的计算机等设备要实现互联，就需要以一定的结构方式进行连接，这种连接方式就叫做“拓扑结构”，通俗地讲这些网络设备如何连接在一起的。目前常见的网络拓扑结构主要有以下四大类：1.2.1星型结构这种结构是目前在局域网中应用得最为普遍的一种，在企业网络中几乎都是采用这一方式。星型网络几乎是Ethernet（以太网）网络专用，它是因网络中的各工作站节点设备通过一个网络集中设备（如集线器或者交换机）连接在一起，各节点呈星状分布而得名。这类网络目前用的最多的传输介质是双绞线，如常见的五类线、超五类双绞线等。这种拓扑结构网络的基本特点主要有如下几点：（1）容易实现：它所采用的传输介质一般都是采用通用的双绞线，这种传输介质相对来说比较便宜，如目前正品五类双绞线每米也仅1.5元左右，而同轴电缆最便宜的也要2.00元左右一米，光缆那更不用说了。这种拓扑结构主要应用于IEEE 802.2、IEEE 802.3标准的以太局域网中；（2）节点扩展、移动方便：节点扩展时只需要从集线器或交换机等集中设备中拉一条线即可，而要移动一个节点只需要把相应节点设备移到新节点即可，而不会像环型网络那样“牵其一而动全局”；（3）维护容易；一个节点出现故障不会影响其它节点的连接，可任意拆走故障节点；（4）采用广播信息传送方式：任何一个节点发送信息在整个网中的节点都可以收到，这在网络方面存在一定的隐患，但这在局域网中使用影响不大；（5）网络传输数据快：这一点可以从目前最新的1000Mbps到10G以太网接入速度可以看出。其实它的主要特点远不止这些，但因为后面我们还要具体讲一下各类网络接入设备，而网络的特点主要是受这些设备的特点来制约的，所以其它一些方面的特点等我们在后面讲到相应网络设备时再补充。1.2.2环型结构这种结构的网络形式主要应用于令牌网中，在这种网络结构中各设备是直接通过电缆来串接的，最后形成一个闭环，整个网络发送的信息就是在这个环中传递，通常把这类网络称之为“令牌环网”。实际上大多数情况下这种拓扑结构的网络不会是所有计算机真的要连接成物理上的环型，一般情况下，环的两端是通过一个阻抗匹配器来实现环的封闭的，因为在实际组网过程中因地理位置的限制不方便真的做到环的两端物理连接。 这种拓扑结构的网络主要有如下几个特点：（1）这种网络结构一般仅适用于IEEE 802.5的令牌网（Token ring network），在这种网络中，“令牌”是在环型连接中依次传递。所用的传输介质一般是同轴电缆。（2）这种网络实现也非常简单，投资最小。可以从其网络结构示意图中看出，组成这个网络除了各工作站就是传输介质-同轴电缆，以及一些连接器材，没有价格昂贵的节点集中设备，如集线器和交换机。但也正因为这样，所以这种网络所能实现的功能最为简单，仅能当作一般的文件服务模式；（3）传输速度较快：在令牌网中允许有16Mbps的传输速度，它比普通的10Mbps以太网要快许多。当然随着以太网的广泛应用和以太网技术的发展，以太网的速度也得到了极大提高，目前普遍都能提供100Mbps的网速，远比16Mbps要高。（4）维护困难：从其网络结构可以看到，整个网络各节点间是直接串联，这样任何一个节点出了故障都会造成整个网络的中断、瘫痪，维护起来非常不便。另一方面因为同轴电缆所采用的是插针式的接触方式，所以非常容易造成接触不良，网络中断，而且这样查找起来非常困难，这一点相信维护过这种网络的人都会深有体会。（5）扩展性能差：也是因为它的环型结构，决定了它的扩展性能远不如星型结构的好，如果要新添加或移动节点，就必须中断整个网络，在环的两端作好连接器才能连接。 1.2.3总线型结构这种网络拓扑结构中所有设备都直接与总线相连，它所采用的介质一般也是同轴电缆（包括粗缆和细缆），不过现在也有采用光缆作为总线型传输介质的，如后面我们将要讲的ATM网、Cable Modem所采用的网络等都属于总线型网络结构。这种结构具有以下几个方面的特点：（1）组网费用低：从示意图可以这样的结构根本不需要另外的互联设备，是直接通过一条总线进行连接，所以组网费用较低；（2）这种网络因为各节点是共用总线带宽的，所以在传输速度上会随着接入网络的用户的增多而下降；（3）网络用户扩展较灵活：需要扩展用户时只需要添加一个接线器即可，但所能连接的用户数量有限；（4）维护较容易：单个节点失效不影响整个网络的正常通信。但是如果总线一断，则整个网络或者相应主干网段就断了。（5）这种网络拓扑结构的缺点是一次仅能一个端用户发送数据，其它端用户必须等待到获得发送权。1.2.4混合型拓扑结构这种网络拓扑结构是由前面所讲的星型结构和总线型结构的网络结合在一起的网络结构，这样的拓扑结构更能满足较大网络的拓展，解决星型网络在传输距离上的局限，而同时又解决了总线型网络在连接用户数量的限制。这种网络拓扑结构同时兼顾了星型网与总线型网络的优点，在缺点方面得到了一定的弥补。 1.3什么是内网内网就是局域网，网吧、校园网、单位办公网都属于此类。另外光纤到楼、小区宽带、教育网、有线电视Cable Modem上网虽然地域范围比较大但本质上还是基于以太网技术，所以仍然属于内网。 内网接入方式：上网的计算机得到的IP地址是Inetnet上的保留地址，保留地址有如下3种形式： 10.x.x.x 172.16.x.x至172.31.x.x 192.168.x.x 内网的计算机以NAT（网络地址转换）协议，通过一个公共的网关访问Internet。内网的计算机可向Internet上的其他计算机发送连接请求，但Internet上其他的计算机无法向内网的计算机发送连接请求。 公网接入方式：上网的计算机得到的IP地址是Inetnet上的非保留地址。 公网的计算机和Internet上的其他计算机可随意互相访问。 1.3.1如何检测公网和内网请用上面介绍的查看IP地址的办法，检查一下您的电脑里有没有这个IP地址。如果有，您就是通过公网接入Internet，否则，就是通过内网接入Internet。 请注意： 1、如果您的浏览器里设置了使用代理服务器，请清除代理服务器设置，并刷新本页面，之后再检测。 2、有些学校或大型的机关单位虽然分配公网IP给用户，但学校或单位为了安全起见，会封闭校外对校内的访问请求。这部分用户虽然有公网IP地址，但依然要用内网动态域名来建网站。如果您通过校园网或机关单位的网络上网，并检测到自己有公网IP，请您在本机调试好网站后，把防火墙打开，请外网的朋友通过IP地址来访问您的网站。如果能访问，就是公网；如果不能访问，就是内网。 1.3.2内网与外网的区别内网指的是局域网.几台或者几十台电脑之间互访 外网指的是我们上的internet网络 内网也叫私网地址如下： IP等级 IP位置 Class A -55 Class B -55 Class C -55 子网掩码一般设为: 内网是可以上网的.内网需要一台服务器或路由器做网关,通过它来上网 做网关的服务器有一个公网IP,其它内网电脑的IP可根据它来随意设置,前提是IP前三个数要跟它一样,第四个可从0-255中任选但要跟服务器的IP不同 第2章 局域网安全第2章局域网安全2.1局域网内网安全现状 广域网络已有了相对完善的安全防御体系，防火墙、漏洞扫描、防病毒、IDS等网关级别、网络边界方面的防御，重要的安全设施大致集中于机房或网络入口处，在这些设备的严密监控下，来自网络外部的安全威胁大大减小。相反来自网络内部的计算机客户端的安全威胁缺乏必要的安全管理措施，安全威胁较大。未经授权的网络设备或用户就可能通过到局域网的网络设备自动进入网络，形成极大的安全隐患。目前，局域网络安全隐患是利用了网络系统本身存在的安全弱点，而系统在使用和管理过程的疏漏增加了安全问题的严重程度。 2.2局域网内网安全威胁分析 局域网（LAN）是指在小范围内由服务器和多台电脑组成的工作组互联网络。由于通过交换机和服务器连接网内每一台电脑，因此局域网内信息的传输速率比较高，同时局域网采用的技术比较简单，安全措施较少，同样也给病毒传播提供了有效的通道和数据信息的安全埋下了隐患。局域网的网络安全威胁通常有以下几类： 2.2.1欺骗性的软件使数据安全性降低 由于局域网很大的一部分用处是资源共享，而正是由于共享资源的“数据开放性”，导致数据信息容易被篡改和删除，数据安全性较低。例如“网络钓鱼攻击”，钓鱼工具是通过大量发送声称来自于一些知名机构的欺骗性垃圾邮件，意图引诱收信人给出敏感信息：如用户名、口令、账号ID、ATM PIN码或信用卡详细信息等的一种攻击方式。最常用的手法是冒充一些真正的网站来骗取用户的敏感的数据。以往此类攻击的冒名的多是大型或著名的网站，但由于大型网站反应比较迅速，而且所提供的安全功能不断增强，网络钓鱼已越来越多地把目光对准了较小的网站。同时由于用户缺乏数据备份等数据安全方面的知识和手段，因此会造成经常性的信息丢失等现象发生。 2.2.2服务器区域没有进行独立防护 局域网内计算机的数据快速、便捷的传递，造就了病毒感染的直接性和快速性，如果局域网中服务器区域不进行独立保护，其中一台电脑感染病毒，并且通过服务器进行信息传递，就会感染服务器，这样局域网中任何一台通过服务器信息传递的电脑，就有可能会感染病毒。虽然在网络出口有防火墙阻断对外来攻击，但无法抵挡来自局域网内部的攻击。 2.3局域网安全攻防武器篇进行局域网安全保护的重要措施首要是关闭隐藏共享，隐藏共享的巨大危害，一定要记着关掉。然后更改Administrator账户名并设置密码，同时关闭Guest账户。Administrator账户是whadows操作系统默认的系统管理员账户，拥有最高权限。但是一般没有人用这个难记的账户名，反倒是经常有人利用这个账户侵入他人电脑，有些人认为可以将此账户删除，考虑到Administrator的重要性，不推荐这种做法，这里向大家推荐的是更改它的账户名，并设置较复杂的密码。方法是：打开“控制面板一管理工具一计算机管理 本地用户和组 用户”，然后在对话框右侧的用户名列表中右键单击Administrator，在弹出来的菜单中依次选择“重命名”和“设置密码”，进行相应的操作即可，另外，如果计算机还有其他人使用，可以分配一个专用的账户(lTom、Jack等)，而不要使用Guest账户。不要使用连续数字、常见的数字和字母组合。其次是关闭不用的端口。由于局域网扫描攻击和木马都是利用端口进行探测，所以那些没有必要开放的端口的危害就非常大。要想使自己的计算机更加安全，就应该扎好自己的篱笆，看好自己的门，把那些不该开启的门关掉，让你的系统变为铜墙铁壁。由于端口数量太多，在此不作详细介绍，只给出应该关闭的端口号，更详细的端口解释可以参阅其他相关资料。端口关闭的方法可以通过关闭系统服务来关闭相应的端口，是这样做比较烦琐。也可以通过设置“IP安全策”来关闭相应的端口。应当关闭的端口包括2l端口，如果你的计算机没有架设FTPIE务器，那么强烈建议关闭。还有23端口，主要用于Telnet(远程登录)服务。25端口，其他还有：l35、l37、l38、l39、445、593、l025、2475、3127、3389、6229等。还要就是修改网卡的MAC地址。由于远程控制很多都直接使用MAC地址，能穿透防火墙对网络中的计算机进行监控，所以可以更改自己计算机的MAC地址(改变IP到MAC的映射)以防止他人的攻击。另外提高防火墙的安全级别，如把天网调到高级，且要注意及时更新杀毒软件的病毒库，并注意各大网站的病毒公报，做好防范准备。2.4局域网病毒2.4.1局域网病毒概述计算机病毒是一种人为制造的、在计算机运行中对计算机信息或系统起破坏作用的程序。这种程序不是独立存在的，它隐蔽在其他可执行的程序之中，既有破坏性，又有传染性和潜伏性。轻则影响机器运行速度，使机器不能正常运行；重则使机器瘫痪。计算机病毒一直是计算机用户的心腹大患，虽然反病毒技术不断更新和发展， 但是仍然不能改变被动滞后的局面。计算机蠕虫病毒是自包含的程序（或是一套程序），它能传播其自身功能的复制或某些部分到其他的计算机系统中（通常是经过网络连接）。局域网病毒的入侵主要来自蠕虫病毒，同时集病毒、黑客、木马等功能于一身的综合型病毒不断涌现。计算机病毒表现出以下特点：传播方式和途径多样化，欺骗性日益增强，传播速度极快，制作成本降低，变种增多，难以控制和根治，传播更具有不确定性和跳跃性，有自动在线升级和自我保护能力，编制采用了集成方式，等等。局域网病毒的传染方式多，传播速度快，传播范围广，危害也大。局域网病毒还特别难以清除，只要有一台工作站的病毒未被彻底清除，整个网络就有可能重新被感染。2.4.2计算机局域网病毒的防治措施当计算机感染上病毒出现异常时， 人们首先想到的是用杀毒软件来清除病毒。但是在杀毒软件被广泛使用的今天，病毒的种类和数量，以及所造成的损失不是逐年减少，反而是逐年增加。这表明杀毒软件作为病毒防范的最主要工具，已显露出重大缺陷：对病毒的防范始终滞后于病毒的出现。如何加强局域网病毒防护是保障网络信息安全的关键。在网络环境下，防范病毒问题显得尤其重要。这有两方面的原因：首先是网络病毒具有更大的破坏力。其次是遭到病毒破坏的网络要进行恢复非常麻烦，而且有时几乎不可能恢复。因此采用高效的网络防病毒方法和技术是一件非常重要的事情。网络大都采用“Client-Server”的工作模式，需要从服务器和工作站两个方面结合解决防范病毒的问题。另外要加强各级人员的管理教育及各项制度的督促落实。2.4.3基于工作站的防治技术工作站是计算机网络的大门，只有把好这道大门，才能有效地防止病毒的侵入。工作站防治病毒的方法有三种： 件防治，即定期不定期地用反病毒软件检测工作站的病毒感染情况。 在工作站上插防病毒卡，防病毒卡可以达到实时检测的目的，但防病毒卡的升级不方便，从实际应用的效果看，对工作站的运行速度有一定的影响。在网络接口卡上安装防病毒芯片，它将防病毒功能集成在一个芯片上， 可以更加实时有效地保护工作站及其通住服务器的途径。但这种方法也同样存在芯片上的软件版本升级不便的问题， 而且对网络的传输速度也会产生一定的影响。上述三种方法都是防病毒的有效手段，应根据网络的规模、数据传输负荷等具体情况确定使用哪一种方法。2.4.4于服务器的防治技术服务器是网络的核心，一旦服务器被病毒感染，就会使服务器无法启动，整个网络陷于瘫痪，造成灾难性后果。目前基于服务器的防治病毒方法大都采用了NLM （NetWare LoadModule）技术，以NLM模块方式进行程序设计，以服务器为基础，提供实时扫描病毒能力，以服务器为基础的防病毒技术可以保护服务器，使服务器不被感染。这样，病毒也就失去了传播途径。基于网络服务器的实时扫描病毒的防护技术一般具有如下功能： 服务器中所有文件扫描。 实时在线扫描。 务器扫描选择。 自动报告功能及病毒存档。 作站扫描。 对用户开放的病毒特征接口。基于网络服务器的防治病毒方法的优点主要表现在不占用工作站的内存， 可以集中扫毒，能实现实时扫描功能，软件安装和升级都很方便。特别是当联网机器很多时， 利用这种方法比为每台工作站都安装防病毒产品要节省成本。2.4.5计算机网络的管理计算机局域网病毒的防治， 单纯依靠技术手段是不可能十分有效地杜绝和防止其蔓延的， 只有把技术手段和管理机制紧密结合起来， 才有可能从根本上保护网络系统的安全运行。完善的安全管理应该包括以下几个方面：完整的安全技术和设备的管理、严格的部门与人员的组织管理、安全设备的访问控制措施、机房管理制度、软件的管理和操作的管理，还要建立详细的网络安全应急预案，并建立完整的安全培训制度，保证网络管理人员能及时了解和掌握先进安全产品的使用方法。要坚持做到不让外人随意接触重要部门的计算机系统，不要使用盗版的计算机软件，不要随意访问非官方的软件、游戏下载网站，不要随意打开来历不明的电子邮件。总之，加强安全管理制度可以最大限度地减少由于内部人员的工作失误而带来的安全问题。2.4.6清除网络病毒一旦在局域网上发现病毒，应设法立即清除，以防网络病毒的扩散给整个系统造成更大的损失。其操作步骤如下：（1）立即使用broadcast命令，通知包括系统管理员在内的所有用户退网，关闭文件服务器。（2）用带有写保护的、干净的系统盘启动系统管理员工作站，并立即清除本机病毒。（3）用带有写保护的、干净的系统盘启动文件服务器。系统管理员登录后，使用disable login命令禁止其他用户登录。（4）将文件服务器硬盘中的重要资料备份到干净的软盘上。但千万不可执行硬盘上的程序，也千万不要在硬盘中复制文件，以免破坏被病毒搞乱的硬盘数据结构。（5）用防病毒软件扫描服务器上所有卷的文件，恢复或删除被感染的文件，重新安装被删除的文件。（6）用杀毒软件扫描并清除所有的有盘工作站硬盘上的病毒。（7）在确信网络病毒已彻底清除后，重新启动网络和工作站。2.5局域网病毒特点及攻防计算机局域网内的病毒一般来源于局域网内用户与互联网上的信息交流，部分用户对防范病毒的安全意识不强，就造成了病毒在网内的迅速繁殖。另外使用感染了病毒的外部存储器也是计算机病毒进入局域网的一个重要途径。局域网病毒的特点，在网络环境下，网络病毒除了具有可传播性、可执行性、破坏性、隐蔽性等计算机病毒的共性外，还具有一些新的特点。首先是感染速度快、传播的形式复杂多样、难于彻底清除；其次是破坏性大，网络上病毒将直接影响网络的工作，轻则降低速度，影响工作效率，重则使网络崩溃，破坏服务器信息。个人用户感染病毒后，使用单机版杀毒软件即可清除。然而在网络中，一台机器一旦受到病毒感染，病毒便会自动复制、发送并采用各种手段不停的交叉感染网内的其他用户，并攻击客户端、服务器、网关等，此时单机的杀毒方式已不能有效的解决问题，而只能采用特有的网络杀毒软件和方法来彻底清除。一旦发现病毒，应尽快加以清除，以防止病毒在网络的扩散给整个系统造成更大的损失，具体过程如下。立即停止使用受病毒感染的工作站，并断开受感染机器的网络连接，关闭文件服务器。用干净的系统盘启动受到感染的工作站，并立即清除本机中含有的病毒，用干净的系统盘启动文件服务器，登录系统管理员，使用Disable Login禁止其他用户登录。用最新的网络版杀毒软件扫描服务器上所有的文件，清除病毒；如不能清除，则删除受到感染的文件，用干净的备份文件恢复系统，确信网络中病毒已彻底清除后，重新启动网络及各工作。第3章Sniffer第3章 Sniffer3.1 Sniffer工具简介及其概述3.1.1 sniffer工具简介Sniffer,中文可以翻译为嗅探器,是一种利用以太网的特性把网络适配卡(NIC,一般为以太网卡)置为杂乱(promiscuous)模式状态的工具,一旦网卡设置为这种模式,它就能接收传输在网络上的每一个信息包。Sniffer还可以对网络线路上的非标准协议实施强制解码功能,可以使用一个现有标准协议样板去尝试解释捕获的数据包,Sniffer捕获的报文和它安装的具体位置有很大的关系（选自网络协议实验系统的设计和实现）基于Sniffer这样的模式，可以分析各种信息包可以很清楚的描述出网络的结构和使用的机器，由于它接受任何一个在同一网段上传输的数据包，所以也就存在着Sniffer可以用来捕获密码，EMAIL信息，秘密文档等一些其他没有加密的信息。所以这也成为黑客们常用的扩大战果的方法，夺取其他主机的控制权。3.1.2 Sniffer软件概述SNIFFER还可以是一套获取网络包、分析包、产生包的软件,其所提供的功能已经足以应付一般通信协议的分。SNIFFER软件对捕获报文进行协议分析的结果通常显示为3部分:报文概要、报文解码和16进制原始报文 。Sniffer(嗅探器)是一种常用的收集有用数据的工具,这些数据可以是用户的帐号和密码,也可以是一些商用的机密。Sniffer的正当用途主要是分析网络的流量,以便找出所关心的网络中潜在的问题。例如:假设网络中的某一段运行得不是很好,报文的发送比较慢,而我们又不知道问题出在什么地方,此时就可以用嗅探器来作出精确的问题判断。在合理结构的网络中,Sniffer的存在对于网络管理员是至关重要的,网络管理员通过Sniffer可以诊断出大量的不可见的模糊问题,这些问题涉及到多台计算机的异常通讯,甚至各种网络协议。嗅探器获得的各种信息为管理员判断网络问题提供了非常宝贵的信息。一个Sniffer可能截获网络上所有的信息。通常包括以下信息： Sniffer可以截获用户明文传送的ID和口令。sniffer可以记录到明文传送的userid和passwd.就算你在网络传送过程中使用了加密的数据，sniffer记录的数据一样有可能使入侵者在家里想办法算出你的算法。金融帐号 许多用户很放心在网上使用自己的信用卡或现金帐号，然而sniffer可以很轻松截获在网上传送的用户姓名、口令、信用卡号码、截止日期、帐号和pin。Sniffer可以用来危害网络邻居的安全，或者用来获取更高级别的访问权限。通过拦截数据包，入侵者可以很方便记录别人之间敏感的信息传送，或者干脆拦截整个的email会话过程。Sniffer可以窥探低级的协议信息。记录底层的信息协议，比如两台主机之间的网络接口地址、远程网络接口IP地址、IP路由信息和TCP连接的字节顺序号码等。通常有人用sniffer收集这些信息只有一个原因：他正在进行一次欺诈，（通常的ip地址欺诈就要求你准确插入tcp连接的字节顺序号）。3.1.3 Sniffer的分类Sniffer分为软件和硬件两种：软件的Sniffer有 Sniffer Pro、Network Monitor、PacketBone等，其优点是易于安装部署，易于学习使用，同时也易于交流；缺点是无法抓取网络上所有的传输，某些情况下也就无法真正了解网络的故障和运行情况。硬件的Sniffer通常称为协议分析仪，一般都是商业性的，价格也比较昂贵，但会具备支持各类扩展的链路捕获能力以及高性能的数据实时捕获分析的功能。3.1.4 Sniffer 的工作原理Sniffer 的工作关键在于以太网的通信机制（以太网是指遵循IEEE802.3标准（通常之以太网。一种网络协议。描述物理层和数据链路层的MAC子层的实现方法，在多种物理媒体上以多种速率CSMA/CD访问方式），可以在光缆和双绞线上传输的网络）和网卡的工作模式（自适应的工作模式）。Sniffer利用了以太网的共享式特性。由于以太网是基于广播方式传送数据,因此网络中所有的数据信号都会被传送到每一个主机节点（节点是塔的若干部件的汇合点）,这样每一台机器实际上都能接受到数据帧。在正常的情况下,一个网络接口应该只响应这样的两种数据帧:(1)与自己硬件地址相匹配的数据帧。(2)发向所有机器的广播数据帧。数据的收发是由网卡来完成的,网卡接收到传输来的数据,网卡内的单片程序接收数据帧的目的MAC地址,根据计算机上的网卡驱动程序设置的接收模式判断该不该接收,认为该接收就接收后产生。3.2 Sniffer pro 3.2.1 Sniffer Pro 介绍监控目的：通过Sniffer Pro实时监控，及时发现网络环境中的故障（例如病毒、攻击、流量超限等非正常行为）。对于很多企业、网吧网络环境中，网关（路由、代理等）自身不具备流量监控、查询功能，本文将是一个很好的解决方案。Sniffer Pro强大的实用功能还包括：网内任意终端流量实时查询、网内终端与终端之间流量实时查询、终端流量TOP排行、异常告警等。同时，我们将数据包捕获后，通过Sniffer Pro的专家分析系统帮助我们更进一步分析数据包，以助更好的分析、解决网络异常问题。3.2.2 Sniffer Pro对网络程序的监测在每个网络上，都会有数据传输。按照本文的介绍，就是水流流经管道的过程。当网络中的数据流量过大的时候，就会出现像下水道管的流量过大的情况，就是网络被这些数据所“淹没”。这样就产生了各种网络问题，例如网络响应时间过慢，某个应用程序停止了工作等。这时就必须使用相应的软件查找原因，从而确定是何种程序产生的过多的网络数据。3.3 Sniffer攻防测试分析3.3.1 Sniffer攻击原理通常在同一个网段的所有网络接口都有访问在物理媒体上传输的所有数据的能力，而每个网络接口都还应该有一个硬件地址，该硬件地址不同于网络中存在的其他网络接口的硬件地址，同时，每个网络至少还要一个广播地址。(代表所有的接口地址)，在正常情况下，一个合法的网络接口应该只响应这样的两种数据帧：1、帧的目标区域具有和本地网络接口相匹配的硬件地址。2、帧的目标区域具有广播地址。在接受到上面两种情况的数据包时，nc通过cpu产生一个硬件中断，该中断能引起操作系统注意，然后将帧中所包含的数据传送给系统进一步处理。而sniffer就是一种能将本地nc状态设成(promiscuous)状态的软件，当nc处于这种混杂方式时，该nc具备广播地址，它对所有遭遇到的每一个帧都产生一个硬件中断以便提醒操作系统处理流经该物理媒体上的每一个报文包。(绝大多数的nc具备置成 promiscuous方式的能力)可见，sniffer工作在网络环境中的底层，它会拦截所有的正在网络上传送的数据，并且通过相应的软件处理，可以实时分析这些数据的内容，进而分析所处的网络状态和整体布局。值得注意的是：sniffer是极其安静的，它是一种消极的安全攻击。通常sniffer所要关心的内容可以分成这样几类：1、口令我想这是绝大多数非法使用sniffer的理由，sniffer可以记录到明文传送的userid和passwd.就算你在网络传送过程中使用了加密的数据，sniffer记录的数据一样有可能使入侵者在家里边吃肉串边想办法算出你的算法。2、金融帐号许多用户很放心在网上使用自己的信用卡或现金帐号，然而sniffer可以很轻松截获在网上传送的用户姓名、口令、信用卡号码、截止日期、帐号和pin.3、偷窥机密或敏感的信息数据通过拦截数据包，入侵者可以很方便记录别人之间敏感的信息传送，或者干脆拦截整个的email会话过程。4、窥探低级的协议信息。这是很可怕的事，我认为，通过对底层的信息协议记录，比如记录两台主机之间的网络接口地址、远程网络接口ip地址、ip路由信息和tcp连接的字节顺序号码等。这些信息由非法入侵的人掌握后将对网络安全构成极大的危害，通常有人用sniffer收集这些信息只有一个原因：他正在进行一次欺诈，(通常的ip地址欺诈就要求你准确插入tcp连接的字节顺序号,这将在以后整理的文章中指出)如果某人很关心这个问题，那么sniffer对他来说只是前奏，今后的问题要大得多。(对于高级的hacker而言，我想这是使用sniffer攻击的唯一理由吧)三.sniffer的工作环境snifffer就是能够捕获网络报文的设备。嗅探器的正当用处在于分析网络的流量,以便找出所关心的网络中潜在的问题。例如,假设网络的某一段运行得不是很好,报文的发送比较慢,而我们又不知道问题出在什么地方,此时就可以用嗅探器来作出精确的问题判断。嗅探器在功能和设计方面有很多不同。有些只能分析一种协议，而另一些可能能够分析几百种协议。一般情况下，大多数的嗅探器至少能够分析下面的协议：1.标准以太网2.TCP/IP3.IPX4.DECNet嗅探器通常是软硬件的结合。专用的嗅探器价格非常昂贵。另一方面，免费的嗅探器虽然不需要花什么钱，但得不到什么支持。嗅探器与一般的键盘捕获程序不同。键盘捕获程序捕获在终端上输入的键值，而嗅探器则捕获真实的网络报文。嗅探器通过将其置身于网络接口来达到这个目的例如将以太网卡设置成杂收模式。(为了理解杂收模式是怎么回事，先解释局域网是怎么工作的)。数据在网络上是以很小的称为帧(Ftame)的单位传输的帧由好几部分组成，不同的部分执行不同的功能。(例如，以太网的前12个字节存放的是源和目的的地址，这些位告诉网络：数据的来源和去处。以太网帧的其他部分存放实际的用户数据、TCP/IP的报文头或IPX报文头等等)。帧通过特定的称为网络驱动程序的软件进行成型，然后通过网卡发送到网线上。通过网线到达它们的目的机器，在目的机器的一端执行相反的过程。接收端机器的以太网卡捕获到这些帧，并告诉操作系统帧的到达，然后对其进行存储。就是在这个传输和接收的过程中，嗅探器会造成安全方面的问题。每一个在LAN上的工作站都有其硬件地址。这些地址唯一地表示着网络上的机器(这一点于Internet地址系统比较相似)。当用户发送一个报文时，这些报文就会发送到LAN上所有可用的机器。在一般情况下，网络上所有的机器都可以“听”到通过的流量，但对不属于自己的报文则不予响应(换句话说，工作站A不会捕获属于工作站B的数据，而是简单的忽略这些数据)。如果某在工作站的网络接口处于杂收模式，那么它就可以捕获网络上所有的报文和帧，如果一个工作站被配置成这样的方式，它(包括其软件)就是一个嗅探器。嗅探器可能造成的危害：1.嗅探器能够捕获口令2.能够捕获专用的或者机密的信息3.可以用来危害网络邻居的安全，或者用来获取更高级别的访问权限事实上，如果你在网络上存在非授权的嗅探器就以为着你的系统已经暴露在别人面前了。(大家可以试试天行2的嗅探功能)一般我们只嗅探每个报文的前200到300个字节。用户名和口令都包含在这一部分中，这是我们关心的真正部分。工人，也可以嗅探给定接口上的所有报文，如果有足够的空间进行存储，有足够的那里进行处理的话，将会发现另一些非常有趣的东西3.4使用sniffer分析ARP病毒攻击3.4.1 ARP病毒攻击网络病毒无处不在,防不胜防,ARP病毒具有很大危害性,它发送大量的伪造数据包,占用网络带宽,通过攻击网关MAC地址,会造成全网段计算机无法正常上网,它还通过截取数据包方式,盗取用户帐户和密码等信息。要彻底分析ARP病毒,必须从ARP协议和病毒工作原理入手,分析查找病毒源。 当局域网内某台主机运行ARP欺骗的木马程序时，会欺骗局域网内所有主机和路由器，让所有上网的流量必须经过病毒主机。其他用户原来直接通过路由器上网现在转由通过病毒主机上网，切换的时候用户会断一次线。切换到病毒主机上网后，如果用户已经登陆了传奇服务器，那么病毒主机就会经常伪造断线的假像，那么用户就得重新登录传奇服务器，这样病毒主机就可以盗号了。3.4.2解决ARP病毒攻击要解决ARP病毒，首先：要了解ARP病毒 遭受 ARP 地址欺骗攻击的局域网通常表现为：网络掉线，但网络连接正常；无法打开网页或打开网页慢；局域网时断时续并且网速较慢；局域网内的部分主机能正常访问局域网内的主机，但不能连接到外网，甚至不能访问同一网络内的其他 VLAN主机，严重时局域网内所有主机不能上网。原因可能是因为局域网内有一台或若干台计算机感染了 ARP 地址欺骗类病毒。Sniffer Portable软件作为流行的抓包工具,功能强大,几乎所有网络异常情况,都可以通过它得以及时发现,它支持OSI七层协议,能在各种网络拓扑环境中抓取数据包并进行解码,直观易懂,是网络技术人员的必备工具之一。其次：要定位ARP攻击源头：主动定位方式：因为所有的ARP攻击源都会有其特征网卡会处于混杂模式，可以通过ARPKiller这样的工具扫描网内有哪台机器的网卡是处于混杂模式的，从而判断这台机器有可能就是“元凶”。标注：网卡可以置于一种模式叫混杂模式（promiscuous），在这种模式下工作的网卡能够收到一切通过它的数据，而不管实际上数据的目的地址是不是它。这实际就是Sniffer工作的基本原理：让网卡接收一切它所能接收的数据。最后：定位后我们可以通过sniffer这样的工具在结合网络设备上的命令来查找攻击源。.那么如果我现在已经受到了arp的攻击而需要马上定位攻击源，是网络恢复正常应该怎么做首先我们先登录到网关设备，查看正确的