局域网中应对攻击与防御战略

    2、防篇

　　Win2000/XP采用默认共享方式来方便远程维护，但同时也给了有心者可乘之机。怎么办?可能通过修改注册表来关闭默认共享，打开注册表编辑器，依次打开HKEY_L0CAl_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver，若系统为Win2000 Pro，则新建Autosharewks的DWORD值，并设键值为0;若系统为Win2000 Server，则新建Autoshareserver的DWORD值，并设键值为0。重新启动计算机后就关闭了默认共享。

　　管理员怎么禁止IPS$空连接呢?在注册表编辑器找到子键HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA，修改Restrict Anony-mous的DWORD值为0000001。或者是运行命令：net share ipc$ /delete (图7)

     
     　四、ARP欺骗

　　1、黑篇

　　ARP欺骗仅存在于局域网中，因为局域网是依赖MAC地址作为源地址、目的地址来传输数据帧的。在局域网传输数据过程中需要将IP地址转为对应的MAC地址用于数据帧传输，如果找不到请求的目标IP对应的MAC地址，则广播ARP request包请求解析该IP对应的MAC地址。恶意攻击者而在局域网中任意构造一个ARP包或者传播ARP病毒，这样导致局域网ARP欺骗。使得局域网地址解析故障，造成网络瘫痪。 实际网络中存在多样的欺骗方式，但都是通过广播精心构造的ARP包来修改PC端ARP缓存中的IP-MAC对应关系，只是选择了修改“源IP地址、源MAC地址、目的IP地址、目的MAC地址”其中某项实现欺骗目的。

　　2、防篇

　　(1).PC端：如果是windows系统在cmd模式下，执行arp-a，显示当前系统ARP缓存表，检查缓存中的IP-MAC对应关系是否正确，正常情况下IP-MAC是一一对应的。另外可先使用arp-d清除当前ARP缓存表，再开始观察是否存在ARP欺骗的情况。

　　(2).网络设备端：通过show arp命令检测ARP缓存信息。如果某MAC地址对应多个IP地址，则说明该MAC地址的PC正在广播ARP欺骗包(如果某设备存在多IP地址，这种情况是正常的)。另一种恶意欺骗是该MAC地址域网中根本就不存在。

　　(3).还有个比较简单的方法，装个sniffer监听网络中所有ARP包，由于ARP欺骗往往使用广播形式传播，即使在交换机环境下也明显能监听到某PC端正在狂发ARP包。下图是笔者用“科来网络分析系统”检测并定位到ARP毒源主机。(图8)

上一页  [1] [2] [3] [4] [5] [6] 下一页

【责编:Zenghui】