瑞星企业安全中心 > 安全服务

企业网络内部攻击ARP地址欺骗风险分析

网络地址欺骗攻击现象:

  • 企业网络中访问互联网资源数据通信会出现时断时续现象;
  • 打开任何网页出现报错无法打开、网页跳转现象;
  • 任何正常的互联网资源访问实时监控提示发现病毒;
  • 企业网络中单个网段会出现计算机大面积无法访问互联网资源出现断网现象;

下图为正常的网络应用服务通信数据流向

由于很多办公计算机在同一个网段,容易受到内网ARP地址欺骗攻击,ARP地址解析协议是二层网络通信协议,所有正常的计算机在收到某台异常计算机发出的ARP协议关于网关IP地址对应的mac地址广播欺骗包时,接收ARP欺骗包后,办公计算机本地的ARP列表将会被篡改,从而办公计算机发出到网关的以往所有数据包,将会通过欺骗的网关mac地址,数据包被转发到异常计算机,然后再由异常计算机把处理的数据包统一发送给本网段出口网关。这样以来,正常计算机的所有通信都会被异常计算机窃取,监听,篡改,植入黑客或病毒程序,进一步将黑客后门病毒程序感染其他本网段的其他计算机,从而达到控制所有计算机的目的,因此对于此类安全问题处理不仅仅包含计算机病毒查杀,更需求提供整体网络安全防护方法。

网络攻击ARP地址欺骗模拟示意图如下所示