局域网攻防

一次性进群，长期免费索取教程，没有付费教程。

教程列表见微信公众号底部菜单

进微信群回复公众号：微信群；QQ群：460500587

微信公众号：计算机与网络安全

ID：Computer-network

局域网是指在某一区域内由多台计算机互联成的计算机组，它可以实现文件管理和共享等功能，一些攻击者常常会采用各种不同的手段来攻击局域网，可能是炫耀技术，也可能是盗取信息，无论出于什么目的，用户都要阻止他们的攻击，确保网络安全。

一、局域网攻击常见方式

局域网攻击是指攻击者采用各种不同的手段攻击局域网内的计算机或其他网络设备，常见的局域网攻击方式有ARP欺骗攻击、广播风暴、DNS欺骗攻击以及DDoS攻击，这些攻击都会造成局域网内的网络设备无法正常工作，因此有必要了解这些常见的局域网攻击方式。

1、什么是ARP欺骗？

ARP欺骗是指在局域网中伪造不存在的MAC地址，达到截获数据包的目的，它将导致局域网出现网络不通的现象。

由于局域网的网络流通是按照MAC地址进行传输。所以，当局域网中有伪造的MAC地址时，则该MAC地址就变成一个不存在的MAC地址，这样就会造成网络不通，导致其他计算机不能与该MAC地址Ping通！这就是一个简单的ARP欺骗。

ARP的工作原理为：当主机A向主机B发送报文时，主机A会查询本地的ARP缓存表，找到主机B的IP地址对应的MAC地址后进行数据传输；如果未找到，则广播A的一个ARP请求报文（携带主机A的IP地址Ia——物理地址Pa），请求IP地址为Ib的主机B回答物理地址Pb，网上所有主机（包括主机B）都收到ARP请求，但只有主机B识别自己的IP地址，于是向主机A发回一个ARP响应报文。其中包含有主机B的MAC地址，主机A接收到主机B的应答后更新本地的ARP缓存表。然后使用这个MAC地址向主机B发送数据，其流程图如下。

ARP协议并不只在发送了ARP请求才接收ARP应答。当计算机接收到ARP应答数据包时，就会对本地的ARP缓存进行更新，将应答中的IP和MAC地址存储在ARP缓存中。因此，当局域网中的某台机器C向A发送一个自己伪造的ARP应答，而如果这个应答是C冒充B伪造来的，即IP地址为B的IP，而MAC地址是伪造的，则当A接收到C伪造的ARP应答后，就会更新本地的ARP缓存，这样在A看来B的IP地址没有变，而它的MAC地址已经不是原来那个了。由于局域网的网络流通不是根据IP地址进行，而是按照MAC地址进行传输。所以，那个伪造出来的MAC地址在A上被改变成一个不存在的MAC地址，这样就会造成网络不通，导致A不能Ping通B！这就是一个简单的ARP欺骗，其流程图如下所示。

ARP欺骗是黑客常用的攻击手段之一，常见的ARP欺骗分为两种，一种是对路由器ARP表的欺骗；另一种是对内网PC的网关欺骗。第一种ARP欺骗的原理是——截获网关数据。它通知路由器一系列错误的内网MAC地址，并按照一定的频率不断进行，使真实的地址信息无法通过更新保存在路由器中，结果路由器的所有数据只能发送给错误的MAC地址，造成正常主机无法收到信息。第二种ARP欺骗的原理是——伪造网关。它的原理是建立假网关，让被它欺骗的主机向假网关发送数据，而不是通过正常的路由器途径上网。从而使局域网中的主机无法上网。

2、什么是广播风暴？

广播风暴是指在局域网中塞满了大量的广播帧或广播数据包，从而导致局域网设备无法正常运行，甚至瘫痪。

广播风暴是指当广播数据塞满局域网且无法处理时，由于这些数据占用大量的网络带宽，导致局域网设备无法正常运行，甚至瘫痪。产生广播风暴最根本的原因就是局域网中存在了大量的广播数据。

广播数据在网络中是必不可少的，如局域网中的计算机通过DHCP自动获得IP地址的过程就是通过广播帧来实现的。而且，由于各计算机之间也需要相互通信，因此在网络中即使没有用户人为地发送广播帧，网络上也会出现一定数量的广播帧，由于广播几乎占据了局域网内的所有带宽，因此当局域网中出现大量的广播帧时，就会产生广播风暴，产生广播风暴的原因主要有以下几种。

网线短路引发广播风暴

当连接局域网的网线表面有磨损时，很容易导致短路，从而会引起交换机的端口阻塞，由于目前的交换机大多都使用存储转发技术，它的工作原理是对某一段数据包进行分析判断寻址，并进行转发，在发出前均存储在交换机的缓冲区内，当网线发生短路时，该交换机将接收到大量的不符合分装原则的包，造成交换机处理器工作繁忙，数据包来不及转发，从而导致缓冲区溢出产生丢包现象，导致广播风暴。

解决策略：使用流量查看软件（例如MRGT）查看出现短路的端口，如果交换机是可网管的，就可以通过逐个封闭端口来查找，进而找到有问题的网线后将其更换。

可网管与不可网管的交换机

交换机分为可网管交换机和不可网管交换机。这两种交换机的区别在于：不可网管的交换机是不能被管理的，即通过管理端口执行监控交换机端口、划分VLAN、设置Trunk端口等管理功能。而可网管交换机则可以执行这些功能。一台交换机是否可网管，可以从外观上分辨，可网管交换机的正面或背面一般有一个串口或并口，通过串口电缆或并口电缆可以把交换机和计算机连接起来，以便于设置。

蠕虫病毒引发广播风暴

当局域网中某台计算机感染蠕虫病毒（如Funlove、震荡波、RPC等）后，如果查看该网卡的发送包和接收包数量时发现发送包的数量在快速增加，则说明该计算机感染了蠕虫病毒，通过网络传播，损耗大量的网络带宽，引起网络堵塞，导致广播风暴。

解决策略：为局域网中每台计算机安装杀毒软件，并查杀各计算机中的蠕虫病毒。

网络视频引发广播风暴

Internet中部分视频网络传输设备为了便于网络视频点播，常常采用UDP的方式以广播数据包的形式对外进行发送，如果在专用网络中使用这种方式将很容易引发广播风暴，导致网络阻塞，因此必须通过相关设置来杜绝这类故障。

解决策略：设置与视频网络传输设备所连接的交换机端口，并更改设备本身的网络传输模式以及传送协议类型。

局域网中数据帧的传输方式

在局域网中，数据帧的传输方式有三种：单播帧（Unicast Frame）、多播帧（Multicast Frame）和广播帧（Broadcast Frame）。

单播：单播帧也称“点对点”通信。此时帧的接收和传递只在两台计算机之间进行，帧的目的MAC地址就是对方的MAC地址，交换机根据帧中的目的MAC地址，将帧转发出去。

多播：多播帧可以理解为一个人向多个人（但不是在场的所有人）说话，这样能够提高通话的效率。多播帧在局域网中所占的比重并不大，主要应用于网络设备内部通信、网上视频会议、网上视频点播等。

广播：广播帧可以理解为一个人对在场的所有人说话，信息在一瞬间就可传递到全场各个位置。在广播帧中，帧的目的MAC地址是"FF-FF-FF-FF-FF-FF"，即代表网络上所有主机网卡的MAC地址。

恶劣环境引发广播风暴

当局域网处于不合适的温度、湿度、震动和电磁干扰环境下时（尤其是电磁干扰比较严重的环境下），同样也有可能会使网络变得不稳定，造成数据传输错误，引发广播风暴。

解决策略：严格执行接地要求，特别是涉及远程线路的网络转接设备，否则达不到规定的连接速度，导致在联网过程中产生莫名其妙的故障；另外在建网之前必须考虑尽量避免计算机或者网络介质直接暴露强磁场中，如电磁炉、高压电缆、电源插头处等；定期对计算机进行清洁。

3、什么是DNS欺骗攻击？

DNS欺骗攻击是指黑客将自己的计算机伪装成域名服务器，当用户访问指定网页时，打开的是目标主页，并非真正的网页。

DNS欺骗是指黑客利用各种手段将自己的主机伪装成域名服务器的一种欺骗行为。黑客冒充域名服务器后，他就会把查询的IP地址设为自己的IP地址，这样一来，用户使用被攻击的电脑上网就只能看到黑客的主页，而不是目标网站主页，这就是DNS欺骗的基本原理。DNS欺骗其实并不是真的“黑掉”了对方的网站，而是冒名顶替、招摇撞骗罢了。

举例来说明。如果用户想用浏览器去查看搜狐网上的相关信息，就会在浏览器地址栏中输入www.sohu.com后按【Enter】键。那么在这背后又有什么事情正在进行着呢？一般而言，用户的浏览器将会向DNS服务器发送一个请求，要求得到与www.sohu.com相匹配的IP地址，DNS服务器则会告诉浏览器搜狐的IP地址，接着用户的浏览器便会连接并显示搜狐主页的内容。但是如果用户打开的网页并非搜狐网首页，此时用户就要怀疑自己是否遭受了DNS欺骗攻击。检测方法为：用户在浏览器地址栏中输入搜狐首页对应的IP地址，例如输入"http://61.132.135.59"，然后按【Enter】键，若成功打开搜狐首页，则遭受了DNS欺骗。

IP地址冲突

IP地址冲突常常出现在局域网中，它是指局域网中的两台或多台计算机同时使用了同一个IP地址。当用户的计算机IP地址为192.168.2.10，而局域网中另外一台计算机的IP地址也设置成192.168.2.10时，就会导致IP与其他系统冲突。避免IP地址冲突的方法不少，其中最常见的就是合理设置DHCP参数，即合理设置DHCP服务器中的“地址池”参数，首先要清楚地知道，采用静态IP地址方式的计算机占用了哪些地址段，为了避免IP地址冲突，在配置DHCP服务器中的“地址池”参数时，一定要排除被静态IP地址占用的这些地址段。

4、什么是DDoS攻击？

DDoS攻击能够利用合理的服务请求占用过多的服务资源，使服务器无法处理合法用户的指令。

DDoS（Distributed Denial of Service，分布式拒绝服务）攻击是多个DoS攻击源的集合。其中DoS攻击的方式有很多种，最基本的DoS攻击就是利用合理的服务请求来占用过多的服务资源，从而使服务器无法处理合法用户的指令。

DDoS攻击手段是在传统的DoS攻击基础上产生的一类攻击方式。单一的DoS攻击一般是采用一对一方式的，当目标主服务器CPU速度低、内存小或者网络带宽小等各项性能指标不高时，DoS攻击产生的效果是明显的。但是随着计算机与网络技术的发展，计算机的处理能力迅速增长，内存大大增加，同时也出现了千兆级别的网络，这使得DoS攻击的难度加大了。

此时DDoS应运而生。如果说计算机与网络的处理能力加大了10倍，用一台攻击机来攻击不再能起作用的话，攻击者就会使用10台、100台甚至更多的攻击机同时攻击目标服务器。这就是DDoS攻击，它就是利用更多的傀儡机来发起进攻，使用比以前更大的规模来进攻目标服务器。

二、攻击局域网

在攻击局域网之前，攻击者首先会利用相关的局域网查看软件查看当前局域网中的计算机数量、共享资源等信息，一旦确定目标后，便可发起攻势，即可以随意阻止局域网内任何一台计算机上网，也可以破解当前无线局域网的登录密码。

1、如何利用LanSee查看局域网信息？

利用LanSee不仅可以查看局域网中已打开的计算机，而且实现远程关机、添加共享文件等操作。

LanSee是一款查看局域网中各计算机信息的工具，该软件集成了局域网搜索功能，它可以快速搜索出计算机（包括计算机名、IP地址、MAC地址、所在工作组、用户）。共享资源、共享文件；并且集成了网络嗅探功能，可以捕获各种数据包（TCP、UDP、ICMP、ARP），嗅探局域网上的QQ号，查看局域网中各计算机的流量并从流过网卡的数据中嗅探出音乐、视频、图片等。

步骤1：启动LanSee应用程序，下载LanSee压缩文件后将其解压到本地计算机中，然后在解压后的文件夹中双击对应的快捷图标。

步骤2：单击“工具选项”按钮，打开LanSee主界面，在左侧单击“搜索计算机”选项，然后在工具栏中单击“工具选项”按钮，设置扫描的IP地址范围。

步骤3：设置起始和结束IP地址，弹出“选项”对话框，在“起始IP段”和“结束IP段”中输入与自己计算机IP地址相同的前3段，然后单击“添加”按钮。

步骤4：保存设置的IP地址范围，此时可在列表框中看见添加的IP地址范围，单击“保存”按钮，保存设置的IP地址范围。

步骤5：搜索指定IP地址范围的计算机，返回LanSee主界面，单击“开始”按钮，开始搜索指定IP地址范围的计算机，耐心等待一段时间后可看见搜索出的计算机。

步骤6：开始主机巡测，在“搜索工具”选项下方单击“主机巡测”选项，然后单击右侧的“开始”按钮，开始巡测局域网中的计算机。

步骤7：巡测已打开的计算机，巡测一段时间后可看见局域网中所有打开的计算机，当有计算机开机、关机或者共享文件夹时，将会实时通知。

步骤8：扫描端口，在左侧依次单击“网络信息＞扫描端口”选项，在右侧单击“开始”按钮，不久将看见扫描的计算机IP地址及开放的端口。

步骤9：导入远程计算机，在左侧依次单击“管理工具＞远程关机”选项，然后在右侧单击“导入计算机”按钮。

步骤10：远程关闭指定IP地址的计算机，当出现导入的计算机IP地址时，勾选要远程关闭的计算机，然后单击“远程关机”按钮，即可远程关闭该计算机。

步骤11：单击“添加共享”按钮，在左侧依次单击“聊天工具＞文件共享”选项，在右侧单击“添加共享”按钮，准备添加共享文件。

步骤12：选择共享的文件，弹出“打开”对话框，在“查找范围”下拉列表中选择共享文件所在的位置，然后选中要共享的文件，单击“打开”按钮。

步骤13：搜索已共享的文件，此时所选文件已被共享，用户可在左上方输入共享文件的关键字，然后单击“搜索用户共享”按钮，即可看见已共享的文件。

2、如何利用NetCut控制目标计算机？

利用NetCut可以切断或恢复局域网内任何一台计算机与网关的连接，进而使其无法正常上网。

使用NetCut（网络剪刀手）可以切断或恢复局域网里任何主机和网关之间的连接，同时可在其主界面中看见局域网内所有计算机的IP地址和MAC地址。

步骤1：启动NetCut应用程序，下载并安装NetCut软件后会在桌面上出现对应的快捷图标，双击该图标，启动NetCut应用程序。

步骤2：选择网卡，弹出“选择网卡”对话框，在列表框中选择网卡，然后单击“确定”按钮。

步骤3：切断指定计算机与网关的连接，此时可看见局域网中已打开的计算机，最左侧的“开/关”表示当前计算机接入了Internet，若要切断指定计算机与网关的连接，选择目标计算机，单击“切断”按钮。

步骤4：恢复指定计算机与网关的连接，切换后指定计算机的“开/关”状态变为“关”，若要恢复指定计算机与网关的连接，再次选中该计算机，单击“恢复”按钮即可。

3、入侵无线局域网的常用手段有哪些？

入侵无线局域网的常用手段有接入开放的无线局域网、侦测入侵无线存取设备和破解无线局域网密码。

无线局域网在走向成熟的同时也暴露出许多安全性的问题，许多无线网络并没有采取安全防护措施，极易遭受黑客入侵，而且事后追查攻击者都很困难。这里向大家介绍黑客入侵无线局域网的常用手段，让用户能够了解黑客入侵无线局域网的常用伎俩，从而采取针对性的防护措施。

接入开放的无线局域网

开放的无线局域网是指没有设置无线网络登录密码的局域网，入侵这类无线局域网十分容易，只需扫描这些开放型的无线局域网存取点（Access Point），直接连上就可以达到免费上网、通过该网络攻击其他计算机，以及探索其他网络的目的。

侦测入侵无线存取设备

黑客先在某一企业网络或公共地点设置一个伪装的无线存取设备，好让其他用户误以为该处有无线网络可使用。若伪装的无线存取设备信号强过真正的无线存取设备信号，其他用户的计算机便会误以为信号较强的伪装设备就是以前连接的无线局域网，从而利用该局域网连接Internet。此时，黑客便可等待获取受害者输入的无线局域网登录密码，或将病毒植入用户计算机中，达到盗取用户隐私信息的目的。

破解无线局域网密码

当黑客探测到安全类型为WEP的无线网络登录密码时，就可以侦测WEP安全协议漏洞，破解无线存取设备与客户之间的通信，或者利用指定的软件破解该无线网络的登录密码，从而达到免费上网、通过该网络攻击其他计算机，以及探索其他网络的目的。

三、防御局域网攻击

局域网攻击最常见的为ARP欺骗攻击、DNS攻击和破解无线网络登录密码，为了抵制这些攻击，用户可以采用不同的方法，可以利用ARP防火墙来防御ARP欺骗攻击，利用网络守护神来防御DNS攻击，而对于无线网络登录密码的易破解性，只需设置更为安全的WPA2-PSK加密即可。

1、如何使用ARP防火墙防御ARP欺骗？

ARP防火墙在安装后将自动运行，实时保护计算机，用户只需设置其基本参数和高级参数。

ARP防火墙通过在系统内核层拦截虚假ARP数据包以及主动通告网关本机正确的MAC地址，可以保障数据流向正确，不经过第三方，从而保证通信数据安全、保证网络畅通、保证通信数据不受第三方控制。下面介绍如何利用ARP防火墙防御ARP欺骗。

步骤1：启动ARP防火墙应用程序，下载并安装ARP防火墙软件后会在桌面上出现对应的快捷图标，双击该图标，启动ARP防火墙应用程序。

步骤2：单击“基本参数配置”命令，打开ARP防火墙主界面，首先设置其基本参数，在菜单栏中依次单击“工具＞基本参数配置”命令。

步骤3：基本配置与热键配置，弹出“基本参数配置”对话框，在“基本配置”选项组中确保勾选所有的复选框，然后可在“热键配置”选项组中选择性设置。

步骤4：单击“高级参数配置”命令，单击“确定”按钮返回ARP防火墙主界面，在菜单栏中依次单击“工具＞高级参数配置”命令。

步骤5：常规配置，弹出“高级参数设置”对话框，在“常规配置”选项组中勾选“自动检测新版本”复选框，然后在“网关IP/MAC”选项组中单击选中“自动获取”单选按钮。

步骤6：防御配置，切换至“防御”选项卡，在“攻击行为检测”选项组中确保前三项已勾选即检测MAC地址扫描行为、检测局域网内的网管软件以及检测交换机攻击软件。

步骤7：安全配置，切换至“安全”选项卡，在“安全防护”选项组中勾选所有的复选框。

步骤8：报警配置，切换至“报警”选项卡，在“报警功能设置”选项组中选择发现ARP攻击后的报警方式，最后单击“确定”按钮保存退出，ARP防火墙会自动根据设置来防御ARP欺骗攻击。

2、如何使用网络守护神防御DNS攻击？

利用网络守护神新建网段名称，然后实时监控该网段即可防御DNS的攻击。

网络守护神（WebInsight）是一款网络管理软件。用户使用它不仅可以更好地管理局域网，同时也可以通过监控创建的VLAN更好地防范DNS欺骗攻击。

步骤1：启动网络守护神应用程序，在桌面上双击“网络守护神”快捷图标，启动网络守护神应用程序。

步骤2：输入新网段名称，弹出“网段名称”对话框，在文本框中输入新网段的名称，例如输入"VLAN1"。

步骤3：选择公网接入类型，单击“下一步”按钮切换至新的界面，选择公网接入类型，若是利用路由器实现共享上网，则此单击选中“路由器”单选按钮。

步骤4：选择网卡，单击“下一步”按钮切换至新的界面，在界面中选择对应的网卡，选中后可看见本地计算机的IP地址、MAC地址、子网掩码等信息。

步骤5：设置IP地址范围，单击“下一步”按钮切换至新的界面，设置VLAN1网段的起始IP地址和结束IP地址。

步骤6：开始监控创建的网段，单击“完成”按钮返回“监控网段配置”对话框，选中创建的VLAN1网段，单击“开始监控”按钮。

步骤7：单击“攻击检测”按钮，返回网络守护神主界面，此时可看见指定IP地址范围内的计算机，若要查看是否存在DNS攻击则单击“攻击检测”按钮。

步骤8：检测是否存在DNS攻击，弹出“网络攻击检测”对话框，单击“开始”按钮，开始检测局域网中是否存在DNS攻击。

步骤9：查看检测的结果，检测完毕后弹出提示框，如果不存在DNS攻击则会提示“未发现运行攻击程序主机！”，单击“确定”按钮关闭对话框即可。

3、怎样使用WPA2-PSK加密来保障无线网络的安全性？

只需打开路由器首页，设置无线网络的安全类型为WPA2-PSK，然后设置加密方式为AES后重启路由器即可。

在目前的无线网络安全技术中，无线网络的加密方式有三种，即64/128位WEP加密、WPA-PSK加密和WPA2-PSK加密。其中64/128位WEP加密方式采用的是RC4演算法，这种演算法存在弱点和漏洞，很容易被攻破，从而导致密码泄露；而WPA-PSK加密采用的TKIP算法也保留了RC4演算法和基本架构，因此，TKIP算法也存在着RC4本身所隐含的弱点。但WPA2-PSK与WPA-PSK不同，WPA2-PSK加密不仅采用了TKIP算法，而且采用了加密性能更强的AES算法，让黑客无法破解该无线网络的登录密码。

步骤1：输入路由器主页地址，启动IE浏览器，在地址栏中输入路由器主页的地址，例如输入“192.168.1.1”，然后按【Enter】键。

步骤2：输入路由器登录账户和密码，弹出“Windows安全”对话框，提示用户需输入登录账户和密码，若没有修改，则账户密码默认为admin，单击“确定”按钮。

步骤3：单击“基本设置”选项，进入路由器主界面，在左侧依次单击“无线参数＞基本设置”选项。

步骤4：选择无线网络的安全类型，单击“安全类型”右侧的下三角按钮，从展开的下拉列表中选择无线网络安全类型，如单击"WPA-PSK/WPA2-PSK"选项。

步骤5：设置安全选项和加密方法，接着设置安全选项和加密方法分别为"WPA2-PSK"和"AES"，然后输入PSK密码，输完后单击“保存”按钮。

步骤6：重启路由器，弹出提示框，提示用户需要重启路由器方能应用设置，单击“确定”按钮重启路由器即可。

微信公众号：计算机与网络安全

ID：Computer-network