攻击软件模块分析,渗透攻击模块

导航：

• 1、关于ARP病毒的。
• 2、普通的攻击软件介绍比如冰河
• 3、常用网络防攻击软件原理?

关于ARP病毒的。

当前ARP病毒在各大校园网中泛滥成灾，笔者也是深受其害。

ARP病毒攻击主要有以下表现：网络连接经常中断、网速很慢、PING网关无法PING通、ARP表项中网关的MAC地址经常变化。

针对ARP攻击，笔者身边的朋友们也想了很多方法，分别有：

① 静态绑定网关MAC地址，防止ARP网关欺骗攻击。但是这种方法并不能完全防止ARP欺骗，并且对ARP伪装用户欺骗没有任何效果。

②安装单机版ARP防火墙（如：彩影ARP防火墙单机版）进行实时拦截，这种方法能够拦截大多数ARP攻击包。但是还是会漏掉一些攻击包，而这便足以造成我们的电脑掉线。

③设置360ARP防火墙对网关进行静态绑定，这是笔者认为最有效的一种防御手段了，但是它虽然能够让你的电脑不再掉线，却并不能解决网速变慢的问题。

当然防止ARP攻击最有效的方法还是网关与主机进行双向静态绑定IP和MAC，这样才能真正防住ARP攻击。但是作为普通学生的我们又如何能有亲自接触学校网络设备的机会呢？

以上是笔者认知范围内的ARP防御方法，但是我们总不能天天被动挨打，长期处于被动的局面吧，尽管如此我还是希望大家不要到网上下载那些看似功能非常强大的网管软件（如：网络执法官、聚生网管、P2POver和网吧传奇终结者等），因为这些软件首先并不能控制整个局域网；其次它们本身便是攻击源，这些软件通常都带有扫描功能，而其时它们每隔一段时间进行的扫描便是对全网段的一次ARP攻击。这样只会加剧网络环境的恶化，并不会对改善网络环境起到什么效果。

接下来我将给大家介绍笔者所掌握的两种反攻击手段。这两种攻击手段都需要将网卡设置为混杂模式，这就需要安装一个系统组件：WinPcap_4_1_beta4.rar。通过这个组件，我们可以在局域网中抓取数据报。

攻击方法一：在CSDN上下载一个“LANShield2.0.zip（局域网安全）”，这款软件带有一个网络攻击模块，通过这个功能模块可以截获ARP攻击者的QQ号（不带密码）。

攻击方法二：在网上下载一个“wireshark-win32-1.4.1.exe”，这款软件和经典的“Sniffer Pro”一样是一款网络抓包工具。通过抓取网络数据报进行分析，你可以发现很多ARP攻击者的有用信息包括QQ号。

以上两种攻击方法都一定程度地依赖于当前很流行的聊天工具QQ和大家挂QQ的习惯。只要截获到对方的QQ了，那么我们便可以通过一些社会工程学的方法顺藤摸瓜地找到更多关于ARP攻击者的信息，从而最终确定ARP攻击者的真实身份。

最后笔者希望各位朋友本着一颗包容的心，还是别把人家的C盘格了，或者摔人家的电脑、暴打他一顿。

普通的攻击软件介绍比如冰河

冰河

冰河是最优秀的国产木马程序之一，同时也是被使用最多的一种木马 。说句心里话，如果这个软件做成规规矩矩的商业用远程控制软件，绝对不会逊于那个体积庞大、操作复杂的PCanywhere，但可惜的是，它最终变成了黑客常用的工具。 Wnuke

Wnuke可以利用Windows系统的漏洞, 通过TCP/IP协议向远程机器发送一段信息，导致一个OOB错误，使之崩溃。现象:电脑屏幕上出现一个蓝底白字的提示:“系统出现异常错误”，按ESC键后又回到原来的状态，或者死机。它可以攻击WIN9X、WINNT、WIN2000等系统,并且可以自由设置包的大小和个数，通过连续攻击导致对方死机。

Shed

Shed是基于NetBIOS的攻击Windows的软件。NetBIOS(Network Basic Input Output System，网络基本输入输出系统)，是一种应用程序接口(API)，作用是为局域网(LAN)添加特殊功能，几乎所有的局域网电脑都是在NetBIOS基础上工作的。在我们的Windows 95、99、或Me中，NetBIOS是和TCP/IP捆绑在一起的,这是十分危险的!但当我们安装TCP/IP协议时，默认情况下NetBIOS和它的文件与打印共享功能也一起被装进了系统。当NetBIOS运行时，你的后门打开了:因为NetBIOS不光允许局域网内的用户访问你的硬盘资源，Internet上的黑客也能!Shed正是利用了这一点

常用网络防攻击软件原理?

1.网络级防火墙

一般是基于源地址和目的地址,应用或协议以及每个IP包的端口来作出通过与否的判断.一个路由器便是一个"传统"的网络级防火墙,大多数的路由器都能通过检查这些信息来决定是否将所收到的包转发,但它不能判断出一个IP包来自何方,去向何处.

防火墙检查每一条规则直至发现包中的信息与某规则相符.如果没有一条规则能符合,防火墙就会使用默认规则,一般情况下,默认规则就是要求防火墙丢弃该包.其次,通过定义基于TCP或UDP数据包的端口号,防火墙能够判断是否允许建立特定的连接,如Telnet,FTP连接.

2.应用级网关

应用级网关能够检查进出的数据包,通过网关复制传递数据,防止在受信任服务器和客户机与不受信任的主机间直接建立联系.应用级网关能够理解应用层上的协议,能够做复杂一些的访问控制,并做精细的注册和稽核.它针对特别的网络应用服务协议即数据过滤协议,并且能够对数据包分析并形成相关的报告.应用网关对某些易于登录和控制所有输出输入的通信的环境给予严格的控制,以防有价值的程序和数据被窃取. 在实际工作中,应用网关一般由专用工作站系统来完成.但每一种协议需要相应的代理软件,使用时工作量大,效率不如网络级防火墙.

应用级网关有较好的访问控制,是目前最安全的防火墙技术,但实现困难,而且有的应用级网关缺乏"透明度".在实际使用中,用户在受信任的网络上通过防火墙访问Internet时,经常会发现存在延迟并且必须进行多次登录(Login)才能访问Internet或Intranet.

3.电路级网关

电路级网关用来监控受信任的客户或服务器与不受信任的主机间的TCP握手信息,这样来决定该会话(Session)是否合法,电路级网关是在OSI模型中会话层上来过滤数据包,这样比包过滤防火墙要高二层.

电路级网关还提供一个重要的安全功能:代理服务器(Proxy Server).代理服务器是设置在Internet防火墙网关的专用应用级代码.这种代理服务准许网管员允许或拒绝特定的应用程序或一个应用的特定功能.包过滤技术和应用网关是通过特定的逻辑判断来决定是否允许特定的数据包通过,一旦判断条件满足,防火墙内部网络的结构和运行状态便"暴露"在外来用户面前,这就引入了代理服务的概念,即防火墙内外计算机系统应用层的"链接"由两个终止于代理服务的"链接"来实现,这就成功地实现了防火墙内外计算机系统的隔离.同时,代理服务还可用于实施较强的数据流监控,过滤,记录和报告等功能.代理服务技术主要通过专用计算机硬件(如工作站)来承担.

4.规则检查防火墙

该防火墙结合了包过滤防火墙,电路级网关和应用级网关的特点.它同包过滤防火墙一样,规则检查防火墙能够在OSI网络层上通过IP地址和端口号,过滤进出的数据包.它也象电路级网关一样,能够检查SYN和ACK标记和序列数字是否逻辑有序.当然它也象应用级网关一样,可以在OSI应用层上检查数据包的内容,查看这些内容是否能符合企业网络的安全规则.

规则检查防火墙虽然集成前三者的特点,但是不同于一个应用级网关的是,它并不打破客户机/服务器模式来分析应用层的数据,它允许受信任的客户机和不受信任的主机建立直接连接.规则检查防火墙不依靠与应用层有关的代理,而是依靠某种算法来识别进出的应用层数据,这些算法通过已知合法数据包的模式来比较进出数据包,这样从理论上就能比应用级代理在过滤数据包上更有效.