畢業(yè)論文設(shè)計(jì)_論文封面

1、教學(xué)單位學(xué)生學(xué)號(hào)2反£/xiaogan university本科畢業(yè)論文（設(shè)計(jì)）題 冃學(xué)生姓名專業(yè)名稱指導(dǎo)教師摘要簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議(simple network management protocol, snmp)是h前應(yīng)用最廣泛的 tcp/ip網(wǎng)絡(luò)管理協(xié)議。隨著網(wǎng)絡(luò)技術(shù)的發(fā)展，越來(lái)越多的網(wǎng)絡(luò)設(shè)備部提供了對(duì)snmp的支 持，如路由器、交換機(jī)、各種通信設(shè)備等。利用snmp協(xié)議，可以了解網(wǎng)絡(luò)的運(yùn)行情況， 設(shè)置設(shè)備參數(shù)，收集相關(guān)數(shù)據(jù)，了解網(wǎng)絡(luò)的使用效率。arp攻擊是大型局域網(wǎng)面臨的最大威脅之一。利用此攻擊進(jìn)行網(wǎng)絡(luò)監(jiān)聽(tīng)是黑客們經(jīng)常用的 招數(shù)。論文介紹了 arp攻擊的原理及簾見(jiàn)的攻擊方式，防御

2、方式。木文重點(diǎn)介紹了通過(guò)監(jiān)控網(wǎng)絡(luò)設(shè)備來(lái)主動(dòng)防御arp欺騙的解決方案。該方案通過(guò)簡(jiǎn)單網(wǎng)絡(luò) 管理協(xié)議(snmp)提取網(wǎng)絡(luò)設(shè)備的運(yùn)行狀態(tài)相關(guān)信息，發(fā)現(xiàn)并定位arp欺騙者，然后采 取相應(yīng)隔離arp欺騙者的措施，排除arp欺騙對(duì)網(wǎng)絡(luò)正常運(yùn)行的危害。關(guān)鍵詞：簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議；arp欺騙；mib；主動(dòng)防御；網(wǎng)絡(luò)安全abstractsnmp (simple network management protocol, snmp) is the most universal protocol for tcp/ip network management today. with the development of n

3、etwork technology,more and more network equipments,e.g. routers,switches,communication equipmentsetc,have been developed to support snmp. using snmp, we can monitor running status,set parameters,collect data and view efficiency of networkarp attack is one of zhe most dangerous threats to large lan.

4、many hackers uses this method to listen in the network. the theory of arp attack, common attack fashions and the deffences to this attack are presented in this paper.this paper introduces through monitoring network equipment to active defense arp deception solutions. this scheme through simple netwo

5、rk management protocol (snmp) extract, network equipment operation related information, and found the arp deception, and adopt corresponding measures to isolate the arp deception, eliminate the arp deception on the normal operation of the networkkeywords: simple network management protocol； arp dece

6、ive； mib；active defense； network security1緒論1.1研究背景隨著網(wǎng)絡(luò)的發(fā)展和普及，網(wǎng)絡(luò)的開(kāi)放性、互聯(lián)性隨之增人。網(wǎng)絡(luò)互聯(lián)一般采用tcp/ip協(xié)議， 其最初的設(shè)計(jì)思想是認(rèn)為網(wǎng)絡(luò)中的所有使用者都按照正常的規(guī)則來(lái)利用網(wǎng)絡(luò)，設(shè)計(jì)者在設(shè)計(jì) 此協(xié)議時(shí)，更多的考慮到了通訊的效率，而沒(méi)有過(guò)多的考慮其安全性，所以協(xié)議中存在很多 的安全漏洞，致使網(wǎng)絡(luò)極易受到黑客的攻擊。而arp攻擊是其屮比較常見(jiàn)的攻擊手段之一。 近年來(lái)，冇一類叫做arp的病毒開(kāi)始不斷地向各個(gè)行業(yè)的網(wǎng)絡(luò)環(huán)境擴(kuò)散，其冃的從鼓初的 竊取qq、網(wǎng)游、網(wǎng)銀等賬號(hào)，發(fā)展到后來(lái)的&門搶占網(wǎng)絡(luò)帶寬以及純粹破壞網(wǎng)絡(luò)

7、通訊等等。 2006年，arp欺騙対教育行業(yè)的影響達(dá)到頂峰。多所國(guó)內(nèi)知名大學(xué)網(wǎng)絡(luò)中心相繼發(fā)布了專 門針對(duì)防治arp病毒的公告。這兩年arp病毒肆崔大學(xué)校園網(wǎng)，嚴(yán)重地干擾著用戶的正常 上網(wǎng)。因此分析arp協(xié)議的缺陷以及如何對(duì)arp病毒進(jìn)行冇效防御成為冃前研究的熱門。 1.2研究現(xiàn)狀雖然arp欺騙的原理已經(jīng)十分的明了，但是對(duì)arp欺騙的防范措施卻不是很有效，國(guó)內(nèi)外 冃前大多沒(méi)有功能很強(qiáng)的網(wǎng)絡(luò)軟件，可以很快的檢查到網(wǎng)絡(luò)中出現(xiàn)了 arp欺騙怙:況，當(dāng)然, 這主要也與arp協(xié)議本身和地址解析表有關(guān)，因?yàn)榈刂方馕霰硗ǔ４嬖谠诟髯灾鳈C(jī)上，通 過(guò)網(wǎng)絡(luò)軟件（防火墻）監(jiān)控起來(lái)比較麻煩。利用arp手段進(jìn)行攻擊的軟件

8、冇很多，但是防 范軟件還沒(méi)有十分好的。目前主耍防御措施或多或少存在缺陷。1.3論文的主要工作本文百先研究了 arp協(xié)議的實(shí)現(xiàn)及漏洞分析，重點(diǎn)針對(duì)當(dāng)前防御系統(tǒng)所存在的缺陷，提出 一種全新的防御模式，該防御模式通過(guò)網(wǎng)絡(luò)設(shè)備建立實(shí)時(shí)更新的ip-mac表來(lái)實(shí)現(xiàn)對(duì)整個(gè)網(wǎng) 絡(luò)arp欺騙的主動(dòng)防御。1.4論文的組織結(jié)構(gòu)及主要?jiǎng)?chuàng)新點(diǎn)1.4.1本文的主要結(jié)構(gòu)首先在緒論部分本文詳細(xì)介紹arp欺騙的研究現(xiàn)狀，以及論文的研究背景。最后說(shuō)明本文 所采取的技術(shù)路線、研究的內(nèi)容和工作重點(diǎn)，對(duì)論文的組織結(jié)構(gòu)了以介紹。其次本文簡(jiǎn)要介紹了 arp協(xié)議以及該協(xié)議的漏洞，分析了 arp的攻擊方式以及ii前常用的 防御模式的利與弊。再

9、次本文詳細(xì)分析介紹了簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議（snmp）網(wǎng)絡(luò)管理模型的結(jié)構(gòu)以及其核心部分 管理信息庫(kù)（mib）的訪問(wèn)流程及原理；并詳細(xì)闡述了主動(dòng)防御機(jī)制。接下來(lái)在此基礎(chǔ)上木文概括分析了此機(jī)制的總體框架和工作流程，分析幾個(gè)主要功能模塊的 詳細(xì)設(shè)計(jì)與實(shí)現(xiàn)，給出測(cè)試方案和測(cè)試結(jié)果。最后木文對(duì)上述要點(diǎn)和主要工作進(jìn)行了總結(jié)，并闡述了木文的研究成果和后續(xù)工作。1.4.2本文的創(chuàng)新點(diǎn)（1）研究方法的創(chuàng)新。本文從簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議出發(fā)，運(yùn)用了歸納法和演繹法，較為系統(tǒng) 全面的闡述了 arp欺騙主動(dòng)防御的機(jī)制。（2）研究角度的創(chuàng)新。目前，無(wú)論是國(guó)外還是國(guó)內(nèi)，對(duì)病毒的主動(dòng)防御研究都不是很充分。 因此本文主要針對(duì)arp欺騙的主

10、動(dòng)防御進(jìn)行了研究，并提出了相應(yīng)的對(duì)策建議，為病毒防 御的更新實(shí)踐捉供冇價(jià)值的參考。2 arp協(xié)議分析及其相關(guān)的防御技術(shù)研究2.1 arp協(xié)議簡(jiǎn)介arp （address resolution protocol）地址解析協(xié)議，顧名思義，就是丿ij來(lái)解釋地址的協(xié)議。 具休來(lái)說(shuō),就是將網(wǎng)絡(luò)層（相當(dāng)于iso/osi的笫三層）地址解析為數(shù)據(jù)鏈路層（相當(dāng)于iso/osi 的第二層）的mac地址。在tcp/ip協(xié)議中，每臺(tái)主機(jī)分配一個(gè)32位ip地址，運(yùn)行在tcp/ip協(xié)議z上的軟件只能使 用預(yù)先分配的ip地址來(lái)發(fā)送和接收ip數(shù)據(jù)包。而在包括以太網(wǎng)的所有物理網(wǎng)絡(luò)屮都有白己 的尋址機(jī)制，當(dāng)網(wǎng)絡(luò)上的兩臺(tái)機(jī)器之間要

11、傳輸數(shù)據(jù)時(shí)，必須使用物理的網(wǎng)絡(luò)地址才能保證互 相通信。因此當(dāng)主機(jī)或路由器需要在一個(gè)物理網(wǎng)絡(luò)上發(fā)送分組時(shí)，必須要知道對(duì)方的ip地 址所對(duì)應(yīng)的物理地址，即解決地址解析問(wèn)題1 。對(duì)于不同的物理網(wǎng)絡(luò)采用不同的地址解碼方案,對(duì)于那些具冇地址空間較小但可以靈活配置 的網(wǎng)絡(luò)可以采用直接映射的方法，即依據(jù)一定的映射關(guān)系根據(jù)客戶機(jī)的ip地址來(lái)配置他的 物理地址，因此1p地址可以通過(guò)映射關(guān)系直接轉(zhuǎn)換成物理地址。但對(duì)于以太網(wǎng)來(lái)講，因?yàn)?以太網(wǎng)地址為48位，無(wú)法將32位的ip地址直接映射為物理地址，所以tcp/ip協(xié)議設(shè)計(jì)人 員使用了低層協(xié)議的動(dòng)態(tài)地址綁定，即地址解析協(xié)議arpoarp協(xié)議處于ip層和鏈路層之間，以太

12、網(wǎng)屮通常采用arp協(xié)議實(shí)現(xiàn)動(dòng)態(tài)地址綁定，解決地 址轉(zhuǎn)換問(wèn)題。arp動(dòng)態(tài)地址轉(zhuǎn)換基本思路：當(dāng)主機(jī)a要轉(zhuǎn)換ip地址i時(shí)，他廣播一個(gè)特殊 的分組，請(qǐng)求ip地址為i的主機(jī)用物理地址p做出響應(yīng)。包括b在內(nèi)的所有主機(jī)接收到這 個(gè)請(qǐng)求，但只有上機(jī)b識(shí)別它的ip地址，并發(fā)出一個(gè)包含其物理地址的應(yīng)答。當(dāng)a收到應(yīng) 答后，就用該物理地址吧互聯(lián)網(wǎng)分組直接發(fā)送給b2o如圖2.1、2.2所示：地址轉(zhuǎn)換i辦議arp允許主機(jī)在只知道同一物理網(wǎng)絡(luò)上一個(gè)目的詁ip地址的情況卜，找到目 的主機(jī)的物理地址。為了更深入的了解arp協(xié)議，我們必須了解一下概念：1、arp報(bào)文：當(dāng)-哈主機(jī)提出arp請(qǐng)求或響應(yīng)arp請(qǐng)求時(shí)均需要使用arp報(bào)文

13、來(lái)傳遞信 息，圖2.3顯示了在以太網(wǎng)碩件（物理地址為48位）:轉(zhuǎn)換ip協(xié)議地址時(shí)所用的arp報(bào) 文。硬件類型字段指明了發(fā)送方想知道的硬件接口類型，以太網(wǎng)的值為lo協(xié)議類型字段指明了發(fā)送方捉供的高層協(xié)議類型，ip為0806 （16進(jìn)制）。硬件地址長(zhǎng)度和協(xié)議地址氏度指明了硬件地址和高層協(xié)議地址的氏度，以太網(wǎng)中分別為6 和4,這樣arp報(bào)文就可以在任意硬件和任意協(xié)議的網(wǎng)絡(luò)中使用。操作字段用來(lái)表示這個(gè)報(bào)文的目的，arp請(qǐng)求為1, arp響應(yīng)為2, rarp請(qǐng)求為3, rarp 響應(yīng)為4o當(dāng)發(fā)出請(qǐng)求時(shí)，發(fā)送方將“目標(biāo)硬件地址”字段留出等待接收方填入，“目標(biāo)ip地址”字段 填入其所請(qǐng)求的目標(biāo)ip地址。在h

14、標(biāo)主機(jī)響應(yīng)z前，它填入所缺的物理地址，交換目標(biāo)和 發(fā)送方地址對(duì)屮的數(shù)據(jù)位置，并把操作改成應(yīng)答。因此，一個(gè)應(yīng)答攜帶了最初請(qǐng)求方的ip 和硬件地址，以及所尋找機(jī)器綁定1p和硬件地址。而目標(biāo)主機(jī)在應(yīng)答arp請(qǐng)求的同時(shí)也獲 得了發(fā)送方的碩件地址和ip地址的綁定信息。2、arp高速緩存：每臺(tái)主機(jī)都要有一個(gè)arp高速緩存，存放著其他主機(jī)的ip地址和mac 地址的映射關(guān)系，當(dāng)源主機(jī)需要將一個(gè)數(shù)據(jù)包發(fā)送到目的主機(jī)時(shí)，首先檢查占己arp列衣 屮是否存在該ip地址對(duì)應(yīng)的mac地址，如果存在就直接將數(shù)據(jù)包發(fā)送到該mac地址：如 果沒(méi)有，就向本地網(wǎng)段發(fā)起一個(gè)arp請(qǐng)求的廣播包，查詢此目的主機(jī)對(duì)應(yīng)的mac地址。此arp

15、廣播包里有源主機(jī)的1p地址、硬件地址以及目的主機(jī)的ip地址等。網(wǎng)絡(luò)屮所有主 機(jī)收到這個(gè)arp請(qǐng)求示，會(huì)自動(dòng)檢杳該包屮的目的ip是否和自己的ip 致，如果不同就 忽略此數(shù)據(jù)包；如果相同，該主機(jī)首先將發(fā)送端的mac地址和ip地址添加到自己的arp 列表中：如果arp表中已經(jīng)存在該ip的信息，則將其覆蓋，然后給源主機(jī)發(fā)送一個(gè)arp 響應(yīng)數(shù)據(jù)包，告訴對(duì)方自己是其需要查找的mac地址。源主機(jī)收到這個(gè)arp響應(yīng)數(shù)據(jù)包 后，將得到的目的主機(jī)的ip地址和mac地址添加到自己的arp列表中，并利用此信息開(kāi) 始數(shù)據(jù)的傳輸。如果源主機(jī)一直沒(méi)有收到arp響應(yīng)數(shù)據(jù)包，則表示arp查詢失敗。arp高速緩存是動(dòng)態(tài)更新的，為

16、了節(jié)省arp高速緩存空間，加快查詢速度，arp表使用了 老化機(jī)制即如果在一段時(shí)間內(nèi)該記錄沒(méi)有被引用過(guò)，則該記錄被白動(dòng)刪除。一般地windows 系統(tǒng)的arp記錄壽命是2分鐘，但也有部分交換機(jī)arp高速緩存更新的時(shí)間間隔是20分 鐘。3、arp t播：由于事先不知道目標(biāo)機(jī)的硬件地址，以太網(wǎng)屮一般使用廣播的方式來(lái)傳播 arp報(bào)文，因此，當(dāng)一臺(tái)主機(jī)發(fā)出arp請(qǐng)求時(shí)，所冇主機(jī)都能接收到arp報(bào)文，包括哪 些不是arp報(bào)文中所指定的f1標(biāo)機(jī)，這些主機(jī)同樣可以獲収發(fā)送方的ip地址和硬件地址， 并更新自己的arp高速緩存。所以肖主機(jī)首次接入網(wǎng)絡(luò)或改變自己的ip地址時(shí)，通常會(huì)廣 播一個(gè)新的arp請(qǐng)求報(bào)文，通知

17、網(wǎng)絡(luò)中所有主機(jī)刷新arp緩存。2.2 arp協(xié)議漏洞由以上可知，arp協(xié)議雖然是一個(gè)高效的數(shù)據(jù)鏈路層協(xié)議，但是作為一個(gè)局域網(wǎng)協(xié)議，它 是建立在各主機(jī)相互信任的基礎(chǔ)上，因此存在一些問(wèn)題。1、主機(jī)arp列表是基于高速緩存動(dòng)態(tài)更新的。由于止常的主機(jī)間的mac地址刷新都是有 時(shí)限的。這樣惡意用戶如果在下次交換之前成功地修改了被欺毓機(jī)器上的地址緩存，就可以 進(jìn)行假冒和拒絕服務(wù)攻擊4。2、arp請(qǐng)求吋以廣播方式進(jìn)行。這個(gè)問(wèn)題是不nj避免的，因?yàn)橹故怯捎谥鳈C(jī)不知道通信對(duì) 方的mac地址，才需要進(jìn)行arp f播請(qǐng)求的。這樣，攻擊者就可以偽裝arp應(yīng)答，與廣 播者真正要通信的目標(biāo)主機(jī)進(jìn)行竟?fàn)帯?、可任意發(fā)送ar

18、p應(yīng)答分組。由于arp協(xié)議是無(wú)狀態(tài)的，任何主機(jī)即使在沒(méi)有請(qǐng)求的時(shí) 候也可以作出應(yīng)答，因此任何時(shí)候都可以發(fā)送arp應(yīng)答。只要應(yīng)答分組有效，接收到arp 應(yīng)答分組的主機(jī)就無(wú)條件的根據(jù)應(yīng)答分組刷新本機(jī)高速緩存4。4、arp應(yīng)答無(wú)須認(rèn)證。由于arp協(xié)議時(shí)局域網(wǎng)協(xié)議，一般來(lái)講，一個(gè)局域網(wǎng)內(nèi)的主機(jī)是 屬于同一個(gè)組織，局域網(wǎng)內(nèi)的主機(jī)間通信基本上是互相信任的，處于傳輸效率上的考慮，在 數(shù)據(jù)鏈路層上就沒(méi)有安全上的考慮。在使用arp協(xié)議交換mac協(xié)議時(shí)，無(wú)須認(rèn)證。只要 收到來(lái)自局域網(wǎng)內(nèi)的arp應(yīng)答分組，就會(huì)將其中的mac/ip地址對(duì)刷新到木機(jī)的高速緩存 中，而不進(jìn)行任何認(rèn)證5。針對(duì) arp協(xié)議的上述漏洞，可以通過(guò)

19、定時(shí)發(fā)送arp應(yīng)答分組，不斷更新被欺騙主機(jī)的緩存, 就可以達(dá)到arp欺騙的口的。2.3 arp攻擊方式arp攻擊，指的是攻擊者利用地址解析協(xié)議本身的運(yùn)行機(jī)制而發(fā)動(dòng)的攻擊行為。包括進(jìn)行 對(duì)主機(jī)發(fā)動(dòng)ip沖突攻擊、數(shù)據(jù)包轟炸，切斷局域網(wǎng)上任何一臺(tái)主機(jī)的網(wǎng)絡(luò)連接等6。主要 分為以盜取數(shù)據(jù)為目的的arp欺騙攻擊和以破壞為目的的arp泛洪攻擊兩種。針対這兩種 方式又可分為以下幾種類型。2.3.1 ip地址沖突制造出局域網(wǎng)上有另一臺(tái)主機(jī)與受害主機(jī)共亨一個(gè)ip的假象。由于違反了唯一性要求，受 害主機(jī)會(huì)自動(dòng)向用戶彈出警告對(duì)話框。對(duì)于windows操作系統(tǒng)，接收到一個(gè)arp數(shù)據(jù)包， 不管該arp數(shù)據(jù)包符不符合要求

20、，只要該arp數(shù)據(jù)包所記錄的源ip地址痛本地主機(jī)相同 但mac地址不同，windows系統(tǒng)就會(huì)彈出ip地址沖突的警告對(duì)話框7。根據(jù)ip地址沖突 的攻擊特征描述，這種類型的arp攻擊主要有單播型和廣播型。2.3.2 arp泛洪攻擊攻擊主機(jī)持續(xù)吧偽造的mac-ip映射對(duì)發(fā)給受害主機(jī)，對(duì)丁局域網(wǎng)內(nèi)的所有主機(jī)和網(wǎng)關(guān)進(jìn)行 廣播，搶占網(wǎng)絡(luò)帶寬和十?dāng)_正常通信。這種攻擊方式的主要攻擊特征包含：（1）通過(guò)不斷發(fā)送偽造的arp廣播數(shù)據(jù)報(bào)使得交換機(jī)不停的處理廣播數(shù)據(jù)報(bào)而耗盡網(wǎng)絡(luò)帶 寬8。（2）令局域網(wǎng)內(nèi)部的主機(jī)或網(wǎng)關(guān)找不到正確的通信對(duì)象，使得正常通信被阻斷。（3）用虛假的地址信息占滿主機(jī)的arp高速緩存空間，造成主

21、機(jī)無(wú)法創(chuàng)建緩存表項(xiàng)，無(wú)法 正常通信，這種攻擊特征為arp溢出攻擊。2.3.3 arp掃描攻擊arp掃描是網(wǎng)絡(luò)黑客發(fā)動(dòng)arp攻擊的前奏，其步驟是向局域網(wǎng)內(nèi)的所有主機(jī)發(fā)送arp請(qǐng) 求，從而獲得正在運(yùn)行主機(jī)的ip和mac地址映射對(duì)，然后通過(guò)精心的掃描和過(guò)濾，從中 窺探出所要攻擊主機(jī)的ip和mac地址，從而為網(wǎng)絡(luò)監(jiān)聽(tīng)、盜取用戶數(shù)據(jù)、實(shí)現(xiàn)隱蔽式攻 擊做準(zhǔn)備。2.3.4虛擬主機(jī)攻擊網(wǎng)絡(luò)黑客往往通過(guò)在網(wǎng)絡(luò)內(nèi)虛擬構(gòu)建網(wǎng)卡，將自己虛擬成網(wǎng)絡(luò)內(nèi)的一臺(tái)主機(jī)，擁冇虛擬的物 理地址和ip地址。主要是通過(guò)在鏈路層捕獲所冇流經(jīng)的arp請(qǐng)求數(shù)據(jù)包進(jìn)行分析，若是對(duì) 虛擬主機(jī)的arp請(qǐng)求就會(huì)發(fā)送対應(yīng)焜擬物理地址的arp響應(yīng)，并u

22、虛擬主機(jī)本身也會(huì)發(fā)送 arp請(qǐng)求。虛擬主機(jī)攻擊會(huì)占用局域網(wǎng)內(nèi)的ip地址資源，大量的虛擬主機(jī)攻擊會(huì)使局域網(wǎng) 內(nèi)的主機(jī)無(wú)法正常獲得ip地址。2.3.5 arp欺騙攻擊2.3.5.1 arp欺騙原理為了減少網(wǎng)路流量，當(dāng)一臺(tái)主機(jī)的arp處理機(jī)制中接收到一個(gè)arp應(yīng)答的時(shí)候，該主機(jī)不 進(jìn)行驗(yàn)證，即使該主機(jī)從未發(fā)出任何的arp請(qǐng)求，任然會(huì)把接收到的mac地址映射信息 放入arp緩存屮去，也就是說(shuō)，一臺(tái)主機(jī)從網(wǎng)上接收到任何arpm答都會(huì)更新自己的地址 映射表，而不管其是否真實(shí)。利用這個(gè)缺陷，欺騙就產(chǎn)牛了。例如：一個(gè)局域網(wǎng)內(nèi)有3臺(tái)主機(jī)a, b, co主機(jī)a和主機(jī)bz間進(jìn)行正常的通信，c在平 常情況下無(wú)法獲得a

23、和b z間的通信數(shù)據(jù)。c希望插入到a和b z間的通信中去，使a發(fā) 給b的數(shù)據(jù)先發(fā)到c這里，c接收之后再轉(zhuǎn)發(fā)給b, b發(fā)給a的數(shù)據(jù)也先發(fā)給c, c接收 到后再轉(zhuǎn)發(fā)給a。這樣c就可以得到ab之間的通信內(nèi)容了，如果其中有機(jī)密的數(shù)據(jù)，諸如 用戶名和密碼，就被c得到了。c的工作是這樣進(jìn)行的：a 的 ip 地址為：192.168.0.1, mac 地址為：010101010101；b 的 ip 地址為：192.168.0.2, mac 地址為：020202020202；c 的 ip 地址為:192.168.0.3, mac 地址為:030303030303；開(kāi)始的時(shí)候，a和b各自維護(hù)自己的地址解析表（緩存

24、），這是正確的地址解析表。如圖2.4 所示：圖2.4各個(gè)主機(jī)各自維護(hù)自己的arp地址表主機(jī)c開(kāi)始發(fā)送arp的應(yīng)答信息給主機(jī)a, c發(fā)的arp應(yīng)答數(shù)據(jù)包信息為：“ip地址： 192.168.0.2, mac地址:030303030303”這顯然是在欺騙,因?yàn)檫@個(gè)信息屮，ip地址是b 的，但mac地址卻是主機(jī)c的。主機(jī)a接收到這條arp應(yīng)答信息后，因?yàn)闆](méi)有驗(yàn)證機(jī)制, 直接修改了自己的映射表，把ip地址192.16&0.2對(duì)應(yīng)到mac地址030303030303.主機(jī)c 再向b發(fā)送arp應(yīng)答包：“ip地址：192.168.0.1, mac地址：030303030303”同樣的，b 接收到后也

25、修改了 &己的地址映射表，如圖2.5所示：圖2.5主機(jī)c對(duì)主機(jī)人和13進(jìn)行arp欺騙后，主機(jī)a, b的arp地址表2.352 arp欺騙利啖1、拒絕服務(wù)攻擊：拒絕服務(wù)攻擊就是使冃標(biāo)主機(jī)不能響應(yīng)外界請(qǐng)求，從而不能對(duì)外提供服 務(wù)的攻擊方法。如果攻擊者將目標(biāo)主機(jī)arp緩存屮的mac地主全部改為根本就不存在的 地址，那么目標(biāo)主機(jī)向外發(fā)送的所有以太網(wǎng)數(shù)據(jù)幀就會(huì)丟失，使得上層應(yīng)用忙于處理這種界 常而無(wú)法響應(yīng)外來(lái)的請(qǐng)求，而導(dǎo)致冃標(biāo)主機(jī)產(chǎn)生拒絕服務(wù)。2、中間人攻擊：屮間人攻擊就是攻擊者將自己的主機(jī)插入兩個(gè)日標(biāo)主機(jī)通信路徑之間，使 他的主機(jī)如同兩個(gè)目標(biāo)主機(jī)通信路徑上的一個(gè)中繼，這樣攻擊者就可以監(jiān)聽(tīng)兩個(gè)目

26、標(biāo)主機(jī)之 間的通信。3、多主機(jī)欺騙i：篡改被攻擊主機(jī)群屮關(guān)于網(wǎng)絡(luò)內(nèi)某一臺(tái)主機(jī)x的arp記錄，被攻擊的主 機(jī)群為網(wǎng)絡(luò)中的多臺(tái)主機(jī)而非一臺(tái)主機(jī)。主機(jī)x為網(wǎng)關(guān)或網(wǎng)絡(luò)內(nèi)任何一臺(tái)非網(wǎng)關(guān)的止在運(yùn) 行的主機(jī)。被篡改后的mac地址可以為網(wǎng)絡(luò)內(nèi)正在運(yùn)行主機(jī)的mac地址或隨機(jī)偽造的 mac地址。4、全子網(wǎng)輪詢欺騙：全子網(wǎng)倫詢欺騙是網(wǎng)絡(luò)黑客取得小范圍內(nèi)的突破后，為了擴(kuò)大其“戰(zhàn) 果”，繼續(xù)篡改被攻擊主機(jī)x中關(guān)于網(wǎng)絡(luò)內(nèi)多臺(tái)主機(jī)的arp記錄，這臺(tái)被攻擊的主機(jī)為網(wǎng) 關(guān)或網(wǎng)絡(luò)內(nèi)任何一臺(tái)非網(wǎng)關(guān)的主機(jī)，被篡改后的mac地址可以為網(wǎng)絡(luò)內(nèi)正在運(yùn)行的主機(jī) mac地址或隨機(jī)偽造的mac地址5、網(wǎng)絡(luò)臨聽(tīng)：監(jiān)聽(tīng)又叫嗅探，在協(xié)助網(wǎng)絡(luò)管理員監(jiān)測(cè)網(wǎng)絡(luò)傳輸數(shù)據(jù)，排除網(wǎng)絡(luò)故障等方面 具有不可替代的作用，因而一肓倍受網(wǎng)絡(luò)管理員的青睞。然而在另一方而，網(wǎng)絡(luò)監(jiān)聽(tīng)也給以 太網(wǎng)安全帶來(lái)了極大的隱患，許多的網(wǎng)絡(luò)入侵往往都伴隨著以太網(wǎng)內(nèi)網(wǎng)絡(luò)臨聽(tīng)行為，從而造 成密碼失竊，敏感數(shù)據(jù)被截獲等連鎖性的安全事件，攻