由无线网络引发的内网入侵
Author: qingxp9
前几日,一条关于"前员工入侵富士康网络:疯狂洗白iPhone获利300万"的新闻刷爆了网络。员工通过在富士康内部秘密安装无线路由器的方式侵入了苹果公司的网络,通过为他人“改机、解锁”手机共9000余部,五个月违法所得共计300余万元。
这是一个利用企业无线网络达成入侵内网的典型案例。近年来,因无线网络导致的安全事件已经逐渐占领了新闻的头条,在某漏洞平台检索时发现仅2015年便发生了数十起知名企业因WiFi相关安全问题导致内网被入侵的事件,对企业造成了十分恶劣的影响。
我们简单回顾一下:
到了2016年,无线网络已经成为了企业移动化办公的重要基础设施。由于普遍缺乏有效的管理,无线网络也越来越多的成为黑客入侵企业内网的突破口。
回到开头提到的富士康iphone刷机解锁事件,通过新闻描述便可大致了解到整个攻击过程:
攻击者通过组合使用私接路由器和无线网桥的手法,可以将针对企业内网攻击的实施范围扩大到难以想象的几十公里,极大增强了攻击的隐秘性,这种攻击手段值得警惕。
从天巡实验室长期的测试和对无线网络安全防护的数据和经验看,WiFi密码泄漏、钓鱼WiFi、私搭乱建WiFi成为目前企业WiFi网络的三大安全隐患。
1、密码泄漏
WiFi密码泄漏主要有以下4个方面的原因:
就现阶段而言,WiFi密码被不当分享的问题,已经成为了企业WiFi网络所面临的最为首要的安全性问题。这主要是因为:考虑到成本和实施复杂度,家庭和小型企业都会选择采用WPA-PSK加密方案,特点便是所有人使用相同的密码。家用WiFi网络的使用者一般为3-5人,而企业WiFi网络往往有数十人,甚至成百上千多的人在同时使用,只要有一个人不慎将密码分享了出来,密码也就不再是秘密了。
某些第三方WiFi密码分享平台的产品逻辑也进一步加剧了企业WiFi密码被“意外分享”的节奏。比如,2015年初,媒体广泛报道了某个知名的第三方WiFi密码分享工具可能造成用户信息泄漏的新闻。报道显示,该产品在用户安装后,会默认勾选“自动分享热点”选项。使用该软件的近亿用户一旦接入任何企业的WiFi网络,都会自动的把企业的WiFi密码分享出去,而这一过程企业网管几乎完全无法控制和阻止。
2、员工私搭乱建WiFi给企业网络带来安全隐患
在WiFi技术流行以前,企业内网中的电脑都是通过有线方式进行连接的,企业网络的拓扑结构和网络边界通常也是固定的。但是,自从WiFi技术普及以来,企业的内网边界正在变得越来越模糊。特别是私搭乱建的WiFi网络,给企业的内网安全造成了极大的隐患。
一般来说,企业员工私搭乱建WiFi网络主要有以下几种形式:
私搭乱建的WiFi网络实际上是在那些已经得到准入授权的设备上开放了一个新的入口,使得那些未经授权的设备可以通过这个入口不受限制的接入内网系统,而且管理员往往很难发现。
3、钓鱼WiFi是黑客入侵企业网络的重要途径
2015年央视315晚会上,安全专家现场演示了钓鱼WiFi的工作过程。在晚会现场,观众加入主办方指定的一个WiFi网络后,用户手机上正在使用哪些软件、用户通过微信朋友圈浏览的照片等信息就都被显示在了大屏幕上。不仅如此,现场大屏幕上还展示了很多用户的电子邮箱信息
企业网站面临的网络攻击风险越来越大,如何有效避免?
信息安全日益严重的今天,企业网站面临的网络攻击是你我都无法避免的问题。这不Facebook因为数据泄密,涉及用户远超8700万人。那么,该如何有效避免或杜绝该类信息风险呢?我们就来聊聊网站安全这些事。
企业规模
一、中小型企业
具有建站需求,却不具备建站的实力。包括建立IDC机房、服务器搭建、配备专业维护人员等等,当上述基础条件都不具备,应该如何解决呢?
1.租用专业的虚拟云运营商,将机房及线路安全交给更加专业的公司来负责;
2.定期更新系统,完成系统补丁、漏洞升级;
3.关闭服务器非必须端口,建立系统操作日志;
4.删除系统默认管理员账号,重新建立;
5.定期对网站进行升级、常用的管理页面路径、超级管理员账号、密码均需要定期更改。
二、大型企业
大型企业,就涉及到自己建站、运维等。除了上述的操作外,还需要从哪些方面考虑呢?
1.组网方式,是否满足安全需要。操作系统数据出入端口是否接入防火墙,并根据环境进行了配置。
2.机房安全,是否满足网站服务器安全需要。包括消防、电源、温度、粉尘等。
3.人员管控,是否建立服务器管理制度,各级人员权限、服务器账号管理、操作登记等。
上面,是针对企业网站安全的一点建议。
公司局域网中毒怎么办
问题一:公司局域网内的一台电脑中毒了,老是向其他电脑发ARP攻击,怎么办 你看看这个帖子~~~如何解决并不是最主要的,有了相关知识才是最重要的
防范ARP地址欺骗类病毒
什么是ARP协议
要想了解ARP欺骗攻击的原理,首先就要了解什么是ARP协议。ARP是地址转换协议的英文缩写,它是一个链路层协议,工作在OSI模型的第二层,在本层和硬件接口间进行联系,同时为上层(网络层)提供服务。
我们知道,二层的以太网交换设备并不能识别32位的IP地址,它们是以48位以太网地址(就是我们常说的MAC地址)传输以太网数据包的。因此IP地址与MAC地址之间就必须存在一种对应关系,而ARP协议就是用来确定这种对应关系的协议。
ARP工作时,首先请求主机发送出一个含有所希望到达的IP地址的以太网广播数据包,然后目标IP的所有者会以一个含有IP和MAC地址对的数据包应答请求主机。这样请求主机就能获得要到达的IP地址对应的MAC地址,同时请求主机会将这个地址对放入自己的ARP表缓存起来,以节约不必要的ARP通信。ARP缓存表采用了老化机制,在一段时间内如果表中的某一行没有使用(Windows系统这个时间为2分钟,而Cisco路由器的这个时间为5分钟),就会被删除。通过下面的例子我们可以很清楚地看出ARP的工作机制。
假定有如下五个IP地址的主机或者网络设备,它们分别是:
主机A 192.168.1.2
主机B 192.168.1.3
网关C 192.168.1.1
主机D 10.1.1.2
网关E 10.1.1.1
假如主机A要与主机B通信,它首先会检查自己的ARP缓存中是否有192.168.1.3这个地址对应的MAC地址,如果没有它就会向局域网的广播地址发送ARP请求包,大致的意思是192.168.1.3的MAC地址是什么请告诉192.168.1.2,而广播地址会把这个请求包广播给局域网内的所有主机,但是只有192.168.1.3这台主机才会响应这个请求包,它会回应192.168.1.2一个ARP包,大致的意思是192.168.1.3的MAC地址是02-02-02-02-02-02。这样的话主机A就得到了主机B的MAC地址,并且它会把这个对应的关系存在自己的ARP缓存表中。之后主机A与主机B之间的通信就依靠两者缓存表里的MAC地址来通信了,直到通信停止后2分钟,这个对应关系才会从表中被删除。
再来看一个非局域网内部的通信过程。假如主机A需要和主机D进行通信,它首先会发现这个主机D的IP地址并不是自己同一个网段内的,因此需要通过网关来转发,这样的话它会检查自己的ARP缓存表里是否有网关192.168.1.1对应的MAC地址,如果没有就通过ARP请求获得,如果有就直接与网关通信,然后再由网关C通过路由将数据包送到网关E,网关E收到这个数据包后发现是送给主机D(10.1.1.2)的,它就会检查自己的ARP缓存,看看里面是否有10.1.1.2对应的MAC地址,如果没有就使用ARP协议获得,如果有就是用该MAC地址与主机D通信。
通过上面的例子我们知道,在以太局域网内数据包传输依靠的是MAC地址,IP地址与MAC对应的关系依靠ARP表,每台主机(包括网关)都有一个ARP缓存表。在正常情况下这个缓存表能够有效保证数据传输的一对一性,像主机B之类的是无法截获A与D之间的通信信息的。
但是主机在实现ARP缓存表的机制中存在一个不完善的地方,当主机收到一个ARP的应答包后,它并不会去验证自己是否发送过这个ARP请求,而是直接将应答包里的MAC地址与IP对应的关系替换掉原有的ARP缓存表里的相应信息。这就导致主机B截......
问题二:局域网服务器中毒怎么杀? 您好:
这样的情况您可以使用腾讯电脑管家对您公司的服务器进行一下全面的杀毒,打开腾讯电脑管家中的杀毒功能选择闪电查杀或者全盘查杀就可以的哦,腾讯电脑管家是采用“4+1”核“芯”杀毒引擎的专业杀毒软件,是完全可以帮助您查杀病毒的,您可以点击这里下载最新版的腾讯电脑管家:最新版腾讯电脑管家下载
腾讯电脑管家企业平台:zhidao.baidu/c/guanjia/
问题三:如何查找局域网中毒计算机 局域网的机子中毒,一般中毒的机子都会向整个局域网广播包,或者发ARP攻击来伪装成网关。这样的话,可以把所有的机子都打开,等一会儿之后,在一个确认无毒的机子随便打开一个网页,然后查看查看它的ARP缓存“arp -a,列表里面通常只会有网关的IP和MAC记录,不会有其它的机子的,如果有其它的记录的话,那些记录所代表的机子通常都会有一些问题。
这种方法是一个比较取巧的方法,如果你开了其它的局域网的应用程序,也可能会在ARP缓存表里面保存其它机子的信息。
呼!累死我了,给我个最佳吧
问题四:单位局域网病毒怎么处理? 这是一种常见的通过更改系统时间,使杀毒软件过期、系统停止保护的病毒。
我以前和你遇见一模一样的情况。 当时解决问题的方法是:
1. 立即断网,避免重要资料信息的泄露。
2. 更改系统时间于当前日期,修复杀毒软件。(病毒库保留)
触. 立即重起进入安全模式,全面杀毒。
然后系统就恢复正常了,但是如果你对系统不放心,心理存在阴影。可以选择重新安装系统,但是这样的方案对于单位来说,工作量比较大。
面对目前的情况,不需要去找到源头电脑,如果可能,请尽快在短时间内,找出中毒机器的数量,并将所有中毒机器的内网断掉(拔网线)。一一按上面方法杀毒,工作量有点大,但是没有更好的方法。
如果你安装的是瑞星服务器控制的杀毒软件,可以通过服务器对所有客户端强制杀毒一次。
问题五:局域网内某台电脑中毒会影响网络吗 楼主你好,根据你的描述很可能是某台电脑中了ARP病毒导致的,解决方法是首先在某一台电脑上安装防护ARP病毒的软件,然后将其他电脑全部打开观察该软件的报警记录,其中将会有是哪台电脑发起的ARP攻击(看到的是IP地址),然后根据IP地址找到对应哪一台家中的电脑,对该电脑进行杀毒,清除上面的ARP病毒。
问题六:电脑一直弹出arp攻击,我的电脑在公司的局域网中,是我的中毒了?还是谁的,怎么处理? 5分 如果怀疑系统存在病毒,建议您安装瑞星杀毒软件V16版本升级到最新病毒库后进行病毒扫描查杀,下载地址:pc.rising/
ARP欺骗方式共分为两种:一种是对路由器ARP表的欺骗,该种攻击截获网关数据。通知路由器一系列错误的内网MAC地址,并按照一定的频率不断进行,使真实的地址信息无法通过更新保存在路由器中,结果路由器的所有数据只能发送给错误的MAC地址,造成正常PC无法收到信息,导致上网时断时通或上不了网;另一种是对内网PC的网关欺骗,仿冒网关的mac地址,发送arp包欺骗别的客户端,让被它欺骗的PC向假网关发数据,而不是通过正常的路由器途径上网,造成上网时断时通或上不了网。针对这种情况瑞星公司提供以下解决办法:方法一、在收到ARP欺骗的本机,在开始--运行中,输入“cmd”,进入ms-dos,通过命鸡行窗口输入“arp -a”命令,查看ARP列表。会发现该MAC已经被替换成攻击机器的MAC,将该MAC记录(以备查找),然后根据此MAC找出中病毒的计算机。方法二、借助第三方抓包工具(如sniffer或antiarp)查找局域网中发arp包最多的IP地址,也可判断出中病毒计算机。造成arp欺骗的病毒,其实是普通的病毒,只要判断出发包源,使用杀毒软件进行清查,是可以彻底解决的。
问题七:局域网里有电脑中毒了,怎么样才能知道是哪台中毒了 彩影ARP防火墙。检测下就知道了。
问题八:我们公司的局域网好像中毒了,不知道怎么才能彻底杀毒呢? 用瑞星防火墙08版的就可以了,他的arp防御也不错,看看是哪个机子攻击,然后杀毒
问题九:公司局域网财务主机中毒 不敢杀毒 然后 各种问题 咋办? IP 冲突 无限冲突 还有 就是我宿舍一开无线网络 宿舍应该是遭到ARP攻击了…………如果路由器在你手里,可以加密,封死别人蹭网的可能性(如果是弧线路由的话),联网的电脑都做一次全面杀毒,确保没有ARP病毒,并且没有人使用ARP攻击软件。其次就是安装ARP防火墙了。
公司的话,还是找专业人员处理吧,至少要先备份数据再说。关键看看中的什么毒,可以用杀软尝试性查毒,但是不处理,从发现的病毒判断中毒的种类和情况,以便正确处理。
问题十:当局域网内电脑出现大量中毒情况,简略画出解决步骤流程图?谢谢 解决方法:
1、管理企业的电脑,给所有的电脑制作F11一键还原。(中毒了就所有电脑开机,按F11就马上解决)
2、用电脑主机来做服务器,拔号上网,并共享宽带,服务器搞好防御,最好是自编的防火墙,我就有一个没有智能功能,一但安装,只能手动操作来解决某些IP和端口和程序运行。一但安装默认是全方面防御。可防DOC攻击和所有木马和病毒,部份由于网络所需的端口一定要开启,DOC攻击过来时,可以开启IP断防范。
由于连内网的大部份端口都封杀,所以病毒是不可攻通过局域网传播。
公司局域网内的一台电脑中毒了,老是向其他电脑发ARP攻击,怎么办
ARP欺骗方式共分为两种:一种是对路由器ARP表的欺骗,该种攻击截获网关数据。通知路由器一系列错误的内网MAC地址,并按照一定的频率不断进行,使真实的地址信息无法通过更新保存在路由器中,结果路由器的所有数据只能发送给错误的MAC地址,造成正常PC无法收到信息,导致上网时断时通或上不了网;另一种是对内网PC的网关欺骗,仿冒网关的mac地址,发送arp包欺骗别的客户端,让被它欺骗的PC向假网关发数据,而不是通过正常的路由器途径上网,造成上网时断时通或上不了网。
针对这种情况瑞星公司提供以下解决办法:
方法一、在收到ARP欺骗的本机,在开始--运行中,输入“cmd”,进入ms-dos,通过命令行窗口输入“arp -a”命令,查看ARP列表。会发现该MAC已经被替换成攻击机器的MAC,将该MAC记录(以备查找),然后根据此MAC找出中病毒的计算机。
方法二、借助第三方抓包工具(如sniffer或antiarp)查找局域网中发arp包最多的IP地址,也可判断出中病毒计算机。
造成arp欺骗的病毒,其实是普通的病毒,只要判断出发包源,使用杀毒软件进行清查,是可以彻底解决的。
公司局域网有ARP网络攻击,怎么排查源头?
用winshark软件来抓ARP封包,看下除了路由(行为管理器)的MAC以外还有那些MAC地址在大量发送ARP封包
电脑遭到ARP欺骗之后是无法联网的,用该电脑打开CMD
输入arp- a进行查询,看下和路由器相同的IP地址到底是是哪个MAC,反向排查
受arp欺骗的电脑试一下arp -d(需要管理员运行CMD)重新获取arp是否有效
建议将所有的电脑名称进行合理化的命名方便查找异常设备
个人短见,仅供参考。
0条大神的评论