局域网环境下若干安全问题及对策(3)

　　如果是非局域网内部的通讯过程，假如主机A需要和主机C进行通讯，它首先会通过比对掩码发现这个主机C的IP地址并不是自己同一个网段内的，因此需要通过网关来转发，这样的话它会检查自己的ARP缓存表里是否有网关1(192.168.1.1)对应的MAC地址，如果没有就通过ARP请求获得，如果有就直接与网关通讯，然后再由网关1通过路由将数据包送到网关2，网关2收到这个数据包后发现是送给主机C（10.1.1.2）的，它就会检查自己的ARP缓存（没错，网关一样有自己的ARP缓存），看看里面是否有10.1.1.2对应的MAC地址，如果没有就使用ARP协议获得，如果有就是用该MAC地址将数据转发给主机C。 
　　2.1.2 ARP欺骗原理 
　　在以太局域网内数据包传输依靠的是MAC地址，IP地址与MAC对应的关系依靠ARP表，每台主机（包括网关）都有一个ARP缓存表。在正常情况下这个缓存表能够有效的保证数据传输的一对一性，也就是说主机A与主机C之间的通讯只通过网关1和网关2，像主机B之类的是无法截获A与C之间的通讯信息的。但是在ARP缓存表的实现机制中存在一个不完善的地方，当主机收到一个ARP的应答包后，它并不会去验证自己是否发送过这个ARP请求，而是直接将应答包里的MAC地址与IP对应的关系替换掉原有的ARP缓存表里的相应信息。 
　　这就导致主机B截取主机A与主机C之间的数据通信成为可能。首先主机B向主机A发送一个ARP应答包说192.168.1.1的MAC地址是03-03-03-03-03-03，主机A收到这个包后并没有去验证包的真实性而是直接将自己ARP列表中的192.168.1.1的MAC地址替换成03-03-03-03-03-03，同时主机B向网关1发送一个ARP响应包说192.168.1.2的MAC是03-03-03-03-03-03，同样网关1也没有去验证这个包的真实性就把自己ARP表中的192.168.1.2的MAC地址替换成03-03-03-03-03-03。当主机A想要与主机C通讯时，它直接把应该发送给网关1(192.168.1.1)的数据包发送到03-03-03-03-03-03这个MAC地址，也就是发给了主机B，主机B在收到这个包后经过修改再转发给真正的网关1，当从主机C返回的数据包到达网关1后，网关1也使用自己ARP表中的MAC，将发往192.168.1.2这个IP地址的数据发往03-03-03-03-03-03这个MAC地址也就是主机B，主机B在收到这个包后再转发给主机A完成一次完整的数据通讯，这样就成功的实现了一次ARP欺骗攻击。因此简单点说ARP欺骗的目的就是为了实现全交换环境下的数据监听与篡改。也就是说欺骗者必须同时对网关和主机进行欺骗。 
　　2.1.3 ARP病毒清除 
　　感染病毒后，需要立即断开网络，以免影响其他电脑使用。重新启动到DOS模式下，用杀毒软件进行全面杀毒。 
　　临时处理对策： 
　　步骤一、能上网情况下，输入命令arp –a，查看网关IP对应的正确MAC地址，将其记录下来。如果已经不能上网，则运行一次命令arp –d将arp缓存中的内容删空，计算机可暂时恢复上网（攻击如果不停止的话），一旦能上网就立即将网络断掉（禁用网卡或拔掉网线），再运行arp –a。 
　　步骤二、如果已经有网关的正确MAC地址，在不能上网时，手工将网关IP和正确MAC绑定，可确保计算机不再被攻击影响。输入命令：arp –s，网关IP 网关MAC手工绑定在计算机关机重开机后就会失效，需要再绑定。可以把该命令放在autoexec.bat中，每次开机即自动运行。 
　　2.2 网络监听 
　　2.2.1 网络监听的定义 
　　众所周知，电话可以进行监听，无线电通讯可以监听，而计算机网络使用的数字信号在线路上传输时，同样也可以监听。网络监听也叫嗅探器，其英文名是Sniffer，即将网络上传输的数据捕获并进行分析的行为。[③] 
　　网络监听，在网络安全上一直是一个比较敏感的话题，作为一种发展比较成熟的技术，监听在协助网络管理员监测网络传输数据，排除网络故障等方面具有不可替代的作用，因而一直备受网络管理员的青睐。然而，在另一方面网络监听也给网络安全带来了极大的隐患，许多的网络入侵往往都伴随着网络监听行为，从而造成口令失窃，敏感数据被截获等连锁性安全事件。