协议欺骗(精选5篇)
协议欺骗 篇1
0 引言
Internet网络的飞速发展给人们带来了方便快捷的信息获取方式, 但是同时也带来了不容忽视的网络安全问题。由于Internet采用的TCP/IP协议在设计之初并没有过多的考虑安全问题, 导致了TCP/IP中某些协议存在缺陷或者漏洞。由于这些缺陷和漏洞是协议本身固有的, 很容易被攻击者利用, 所以研究和分析这些协议欺骗技术对防范网络攻击、提高网络安全有很好的指导意义, 也可以帮助人们不断完善网络协议的设计。
所谓协议欺骗, 是指按照通信双方的协议, 冒充其中一方与另外一方进行通信的行为。协议欺骗的优势在于不可追踪, 还可以隐藏端口扫描, 严重危害网络安全。
1 常见协议欺骗分析
网络通信很大程度上都依赖于一些映射关系, 如MAC地址与IP地址的映射, 域名与IP地址的映射, 路由表映射等。攻击者有目的的对这些映射表进行破坏, 就能构成对网络的威胁。攻击者通过伪装成真正的通信源, 插入到网络通信双方之间, 达到破坏或监听的目的。常见的协议欺骗主要有IP欺骗, ARP欺骗以及DNS欺骗。
1.1 IP欺骗
IP欺骗技术就是通过伪造某台主机的IP地址骗取特权从而进行攻击的技术。IP欺骗通常可以分为三个阶段来进行。第一阶段主要利用被攻击主机间的信任关系, 第二阶段则通过IP地址伪造技术, TCP SYN攻击手段来插入到通信双方之间。第三个阶段就是获得被攻击主机的信任后, 向其发送任意数据, 或者监听网络数据。在网络中, 很多应用程序认为数据包能够使其自身沿着路由到达目的地, 而且应答包也可以回到源地, 那么源IP地址一定是有效的, 也就建立了信任关系。而伪造IP地址也很容易实现, 创建一个IP报文在源地址里添上虚假的IP地址即可。
如图1, 假设在一个网段有A、B、X三台主机, A给B某些特权, X也想得到这些特权, 那么X就可以利用IP欺骗来达到目的。首先, X对B进行TCP SYN攻击, 让B失去工作能力, 也就是常说的DoS攻击, 然后冒充B, 以B的IP地址向A发起TCP连接, 启动时指定一个序列号为N的SYNB包, A收到后响应, 给B回复一个序列号为N’ (启动时指定) 的SYNA和N+1的应答ACKA包。然而此时的B已经被X给“淹没了”, 无法接收数据包, 只能丢弃。但是X要完成TCP的“三次握手”连接。就得知道N’的值。此时X就可以利用TCP序列号的猜测技术。由于协议本身的, 也是无法避免的缺陷, 只要猜测的序列号大于N’, 连接就会建立, 这样X就得到了想要的特权。由此可以看到IP欺骗的特点, 由于欺骗者无法获知被攻击者的响应, 因此只能通过猜测的方式进行, 所以IP又可以被称作盲目攻击。
1.2 ARP欺骗
ARP (地址解析协议) 是TCP/IP中的地址解析协议, 在局域网中负责IP地址和MAC地址之间的映射。在装有TCP/IP的主机里, 都有一个缓存表, 记录本地局域网内的主机IP地址M A C地址之间的映射。如表1所示。
ARP欺骗是指利用ARP协议的漏洞, 通过向目标主机发送虚假的ARP报文, 达到监听或者截获目标主机数据的攻击手段。ARP协议本身就有很大的缺陷: (1) 无连接。攻击者可以随意的发送ARP包, 只要收到新的ARP包, 就更新本机的ARP列表。 (2) 无认证。出于效率及简单的考虑, 主机对ARP包不做合法性检查。 (3) 广播。这个问题是无法避免的, 正是因为不知道, 才要进行ARP广播请求, 而广播请求正是攻击者的手段。
A R P欺骗的原理就是攻击者发送一个伪造的A R P数据包, 使得主机根据错误的信息更新了自己的ARP缓存表, 从而达到攻击的目的。如图2, 假设局域网中有A、B、C三台主机, B和C在正常通信。A希望能嗅探B和C的通信数据, 则A就可以伪装成C向B发送一个ARP应答报文, 其地址对应关系为C的IP——A的MAC。同样A也向C发送一个虚假的ARP应答报文, 地址对应格式为B的IP——A的MAC。主机B、C收到后更新自己的ARP缓存表。当B和C再次通信时, 实际上都发送给了A。这样, 就达到了嗅探的目的。当然为了保证B、C的通信不被中断, A还必须将通信的数据分别在转发给B和C。实际上A做了一个“中间人”攻击。由于ARP表会定期更新。所以A也需要在一定时间间隔不断的向B、C发送虚假的ARP应答报文, 达到继续欺骗的目的。
ARP欺骗也可以造成拒绝服务 (DoS) 攻击。攻击者冒充主机B向主机A不断的发送A R P应答报文, 但是其M A C地址是一个不存在的地址。这样变阻断了B和A之间的通信。如果B主机是网关的话, 就会导致A上不了网。
1.3 DNS欺骗
DNS是Internet的基础服务。它负责域名和IP地址之间的映射关系, 大大方便人们的使用。但是由于协议本身的缺陷, 没有提供适当的信息保护和认证机制, 使得DNS容易收到攻击。虽然IETF的域名工作组提出了域名系统安全扩展协议DNSSEC, 但是它的效率, 密钥管理方面还存在一定的问题, 距离大规模应用还有一定的距离。
由于DNS只使用一个序列号来进行有效性鉴别, 序列号由客户端生成并由服务端来返回结果, 客户端用它来确定响应与查询是否相匹配。并且DNS有自己高速缓存机制, 当一个域名服务器收到一个域名和IP的映射后, 会放入到高速缓存中, 如果再次遇到对此域名查询的请求时, 就直接使用缓存中的数据无需重新查询。这样就可以利用序列号来进行攻击。DNS协议中定义了序列号ID是用来匹配请求数据和响应数据的。客户端首先以特定的ID向服务器发送域名查询数据包, DNS服务器在查询之后以相同的ID向客户端返回结果。客户端根据ID来确定查询是否与请求匹配。如果匹配则加入到自己的缓存中, 否则丢弃。所以如果攻击者能够在真正的DNS服务器向客户端返回查询结果之前向客户端发送ID匹配的DNS虚假响应包, 就可以将客户端带到攻击者所希望的网站, 从而对客户机进行攻击和破坏。可以看出DNS欺骗攻击的方式关键是知道序列号ID, 这可以通过嗅探来得到。
如图3所示, 假设A要查询的域名为www.baidu.com, 伪造IP为192.268.1.1。其攻击过程如下: (1) A以一个序列号ID向域名服务器发送对www.baidu.com的解析请求。 (2) 攻击者B嗅探到这个请求, 便根据ID向A发送假的解析应答包。将www.baidu.com对应到192.168.1.1上, 且尽快返回给A。 (3) DNS服务器的返回时间要落后于攻击者B, 所以真正的DNS解析结果被丢弃。攻击完成, www.baidu.com被重定向到192.168.1.1。
2 对于欺骗技术的防范
2.1 IP协议欺骗防范
通过1.1的分析, 可以看出抵御IP欺骗可以从三个方面入手, 第一是解除主机间的信任关系, 二是防止IP地址伪造, 三是抵御序列号猜测。
(1) 解除信任关系
在IP欺骗整个的攻击过程中最主要的是利用主机间的信任关系。所以防止IP欺骗的首要任务就是废除这种基于地址认证方式建立起来的主机间信任关系。在UNIX系统中, 删除所有.rhost文件并清空/etc/host.equiv文件。这样就会使用户使用其他远程通信手段如Telnet、SSH等。
(2) 防止IP伪造
IP伪造是IP欺骗的主要攻击手段, 因此要防止IP欺骗就要对IP地址进行过滤, 一般经常被冒充的是私网IP或者其他特殊的IP如127.0.0.0等。所有可以建立一个访问控制列表 (ACL) 阻止这类IP访问。
(3) 抵御序列号猜测
由于系统为每个连接产生的序列号不是随机产生的, 所以能够被猜测到, 可以通过分割序列号空间等方法来加大猜测的难度, 从而有效的防止IP欺骗。
2.2 ARP协议欺骗防范
ARP协议欺骗攻击的最主要的方法就是改变IP地址和M A C地址的映射关系, 所以要防止A R P攻击, 就是要防止非法的ARP响应包被接受。主要有以下方法:
(1) 设置静态ARP缓存表
这种方法就是在每个主机上设定ARP缓存表的静态地址映射记录, 这样当主机要发送数据时, 不用在发送ARP请求来查询MAC地址, 而是直接在本机获取。当然攻击者仍然会凭空发送伪造ARP响应包, 但是主机会拒绝更新ARP缓存表。很明显这种方法只适合在比较小的局域网里使用, 并且要求IP地址不能经常更换。由于每个主机都采用静态记录, 维护工作量很大。
(2) 指定ARP服务器
可以在局域网中专门指定一个ARP服务器, 这样就解决了维护静态记录工作分散的缺点。当然这台ARP服务器首先安全性要高, 它专门保存一个相对可信的局域网的ARP缓存表。这台服务器通过查阅自己主机的ARP缓存表以被查询主机的名义来发送ARP响应报文, 且按照一定的时间间隔来定期广播正确的ARP缓存表。但是这个方法也有不足, 首先要保证ARP服务器不被攻击;其次要保证主机只接受指定ARP服务器的ARP响应报文。如何做到这一点, 目前还是比较困难的。
(3) 将IP和MAC绑定
这种方法最容易实现也最有效, 在小型局域网下很适合, 具体操作就是在Windows下在cmd中使用arp-s IP地址MAC地址, 即可实现绑定。绑定后改主机则不会响应ARP响应报文, 可以有效的对抗ARP攻击。但是这个方法有很大的缺陷, 就是每次重启后有要重新绑定。所以, 可以写一个bat文件, 将其加入到启动项里面, 这样每次启动就自动绑定了。不过这个方法也不适合于动态IP的网络。
2.3 DNS欺骗防范
DNS欺骗的防范方式主要通过以下两种方法: (1) 对于已知站点, 直接使用IP访问, 或者可以修改本机的host文件, 向里面手动添加域名和IP的对应关系, 这样主机在访问网络的时候可以直接从本机host文件查找到响应的IP地址。 (2) 采用加密技术, 加密所有对外的数据流, 对服务器来说就是尽量使用S S H之类的有加密支持的协议, 对一般用户应该用PGP之类的软件加密所有发到网络上的数据。这样攻击者无法嗅探到序列号ID, 自然就不能进行欺骗攻击了。
3 结束语
网络欺骗利用了协议本身的缺陷, 成为一种专业化的攻击手段, 给网络的正常使用和网络安全管理带来了严峻的考验。在短时间内彻底杜绝这些欺骗攻击是很困难的, 所以就只能要求管理人员和使用者共同提高安全意识, 做好防范工作。管理人员也要不断跟踪各种欺骗攻击的最新技术, 防患于未然。
参考文献
[1]贺龙涛, 方滨兴, 胡铭曾.主动监听中协议欺骗的研究[J].通信学报.2003.
[2]任侠, 吕述望.IP欺骗原理分析[J].计算机工程与应用.2003.
[3]张洁, 武装, 陆倜.一种改进的ARP协议欺骗检测方法[J].计算机科.2008.
协议欺骗 篇2
关键词:ARP协议,ARP欺骗,判定,防范
0前言
近期,ARP欺骗攻击反复袭击,致使因特网用户网络经常断线,上网时出现网络时断时续的现象,甚至长时间无法上网,严重影响了正常网络用户的学习、工作和生活,也给网络管理带来了极大的压力和困扰。而且随着ARP攻击的不断升级,目前一些局域网内发现的“ARP欺骗攻击”系列病毒已经有了几十个变种,因此有效地防范ARP欺骗攻击已成为了保证网络畅通的必要条件。
1 ARP协议概述
1.1 什么是ARP协议
ARP协议是“Address Resolution Protocol”(地址解析协议)的缩写。在局域网中,网络中实际传输的是“帧”,帧里面是有目标主机的MAC地址的。在以太网中,一个主机要和另一个主机进行直接通信,必须要知道目标主机的MAC地址。但这个目标MAC地址是如何获得的呢?它就是通过地址解析协议获得的。所谓“地址解析”就是主机在发送帧前将目标IP地址转换成目标MAC地址的过程。ARP协议的基本功能就是通过目标设备的IP地址,查询目标设备的MAC地址,以保证通信的顺利进行。
1.2 ARP协议的工作原理
在每台安装有TCP/IP协议的电脑里都有一个ARP高速缓存(ARP Cache),里面存放本机目前知道的IP地址到MA地址的映射表。在Windows操作系统的命令行窗口输入"arp-a"命令可查看本机当前的ARP缓存表,ARP缓存表保存的就是IP地址与MAC地址的对应关系,如图1所示。
下面我们以主机A(192.168.1.1)向本局域网内的主机B(192.168.1.2)发送数据为例来说明ARP协议的工作原理(如图2)。
当发送数据时,主机A会在自己的ARP缓存表中寻找是否有目标IP地址。如果找到了,也就知道了目标MAC地址,直接把目标MAC地址写入帧里面发送就可以了;如果在ARP缓存表中没有找到相对应的IP地址,主机A就会在网络上发送一个广播,目标MAC地址是“FF.FF.FF.FF.FF.FF”,这表示向同一网段内的所有主机发出这样的询问:“192.168.1.2的MAC地址是什么?”网络上其他主机并不响应ARP询问,只有主机B接收到这个帧时,才向主机A做出这样的回应:“192.168.1.2的MAC地址是“bb-bb-bb-bb-bb-bb”。这样,主机A就知道了主机B的MAC地址,它就可以向主机B发送信息了。A和B还同时都更新了自己的ARP缓存表(因为A在询问的时候把自己的IP和MAC地址一起告诉了B),下次再向主机B发送信息时,直接从ARP缓存表里查找就可以了。ARP缓存表采用了老化机制(即设置了生存时间TTL),在一段时间内(一般15到20分钟)如果表中的某一行没有使用,就会被删除,这样可以大大减少ARP缓存表的长度,加快查询速度。
2 ARP欺骗攻击的实现过程
2.1 ARP协议的缺陷
ARP协议是建立在信任局域网内所有节点基础上的,它高效,但却存在着不可忽视的安全漏洞。在基于原始的TCP/IP实现中,并不存在对报文信息的真实性校验,ARP报文也不例外,所以无法识别出伪造的ARP报文;它是无状态的协议,不会检查自己是否发过请求包,也不管(其实也不知道)是不是合法的应答,只要收到目标MAC是自己的ARP reply包或arp广播包(包括ARP request和ARP reply),都会接受并缓存。这就为ARP欺骗提供了可能,恶意节点可以发布虚假的ARP报文,从而影响网内节点的通信,甚至可以做“中间人”,实施信息的窃取。
2.2 ARP欺骗攻击
ARP欺骗就是指通过伪造假的ARP应答报文,以一个比ARP缓存失效短的时间间隔不停地发送,从而修改目标的ARP缓存表,使得目标在进行IP与MAC的转换时由于先查缓存表而得到一个被欺骗的MAC地址,从而影响报文投向正确的目标物理地址,同时也影响了报文在网络中的传输和被接收情况。
ARP欺骗攻击最早用于盗取密码之用,网内中毒电脑可以伪装成路由器,盗取用户的密码,后来发展成内藏于软件,扰乱其他局域网用户正常的网络通信。
下面我们简要阐述ARP欺骗的原理:
第一步:假设这样一个网络,一个交换机连接了3台机器,依次是计算机A,B,C
A的地址为:IP:192.168.1.1 MAC:AA-AA-AA-AA-AA-AA
B的地址为:IP:192.168.1.2 MAC:BB-BB-BB-BB-BB-BB
C的地址为:IP:192.168.1.3 MAC:CC-CC-CC-CC-CC-CC
第二步:正常情况下,A和C进行通信,在A计算机上运行ARP-A查询ARP缓存表应该出现如下信息:
Interface:192.168.1.1 on Interface 0x1000003
Internet Address Physical Address Type
192.168.1.3 CC-CC-CC-CC-CC-CC dynamic
第三步:在计算机B上运行ARP欺骗程序,来发送ARP欺骗包。
B向A发送一个自己伪造的ARP应答,而这个应答中的数据为发送方IP地址是192.168.1.3(C的IP地址),MAC地址是DD-DD-DD-DD-DD-DD(C的MAC地址本来应该是CC-CC-CC-CC-CC-CC,这里被伪造了)。当A接收到B伪造的ARP应答,就会更新本地的ARP缓存(A可不知道被伪造了)。而且A不知道其实是从B发送过来的,A这里只有192.168.1.3(C的IP地址)和无效的DD-DD-DD-DD-DD-DD MAC地址。
第四步:欺骗完毕我们在A计算机上运行ARP-A来查询ARP缓存信息。你会发现原来正确的信息现在已经出现了错误。
Interface:192.168.1.1 on Interface 0x1000003
Internet Address Physical Address Type
192.168.1.3 DD-DD-DD-DD-DD-DD dynamic
此时在主机A上Ping 192.168.1.3,结果当然不能Ping通C,那么A和C也就表现为不能通信了。如果在第三步中B向A发送的伪造ARP应答,MAC地址是BB-BB-BB-BB-BB-BB,那么A发往C的数据就会错误地发送到B,此时,B就可以窃取C的数据。这样就可以实现在一台普通计算机上通过发送ARP数据包的方法来控制网络中任何一台计算机的上网与否,甚至还可以直接对网关进行攻击,让网络上的计算机发来的数据无法发送到正常网关,无法正常上网,造成这些计算机无法访问外网。而且局域网中所有机器的数据,却都可能流经它,被它窃取。
3 ARP欺骗攻击的判定
ARP欺骗攻击存在时,会出现的现象:网络掉线,但网络连接正常,内网的部分PC机不能上网,或者所有电脑不能上网,无法打开网页或打开网页慢,局域网时断时续并且网速较慢等。如果用户发现网络有这样的一些状况,可以通过以下步骤进行ARP欺骗行为的判定。
(1)检查本地计算机上的ARP缓存列表
点击“开始”菜单,选择“运行”,然后输入“CMD”,点击“确定”按钮,在命令提示符窗口中输入“arp-a”。ARP缓存列表中网关IP地址所对应的MAC地址与真正的网关MAC地址不符,一般显示为攻击者本身的MAC地址。
(2)监听数据报
当有ARP攻击的时候,攻击源一般会向本网段内的所有主机发送ARP广播报文。因此可以利用一些网络协议分析工具,如Sniffer、Ethereal、OmniPeek等进行抓包,如果发现有大量的ARP请求报文从某一台机器发出,那么这台机器极有可能就是攻击源。
(3)查看网关ARP缓存
ARP攻击时最主要的攻击对象就是网关。因此可以查看作为网络中网关的路由器或者三层交换机上的ARP缓存列表,如果有很多个IP地址都指向同一个MAC地址,那么就说明存在ARP欺骗攻击,这个MAC地址对应的主机就是ARP攻击源。
(4)检查计算机是否有“ARP欺骗攻击”木马进程
同时按住键盘上的“Ctrl+Shift+Delete”键,选择“任务管理器”,点选“进程”标签,察看其中是否有一个名为“MIR0.dat”的进程。如果有则说明已经中毒(多数ARP欺骗木马的名称都是这个,但也有一些其他的,请仔细辨别),如图3。
(5)运行tracert–d命令。如果第一跳显示的不是网关而是其他的IP地址,那么第一跳中显示的IP即为中了ARP病毒计算机的IP地址。
4 ARP欺骗攻击的防范策略
由于ARP欺骗攻击主要利用的是ARP协议自身的安全漏洞,因此没有彻底的方法来防御ARP欺骗攻击。但ARP欺骗攻击也存在一些局限性,如:计算机arp表中的记录一段时间后就会自动刷新,当时间一到或者正确的网关发出正确的信息之时,受欺骗的计算机就能得到正确的信息,待到ARP病毒再次攻击。所以,我们可以通过一些安全策略来提高网络的安全性,使欺骗攻击对网络正常运行的影响最小化。通常我们可以使用下面的一些方法来积极防范和解决ARP欺骗攻击。
4.1 已经受到ARP欺骗攻击的计算机临时上网解决方法
第一步,首先进入命令行模式。然后运行arp–a命令,该命令是查看当前arp表,可以确认网关IP地址和对应的MAC地址是否与已知的网关的IP地址和MAC地址一致。如果不一至就说明该主机已被欺骗,会造成用户无法上网。而被欺骗的电脑可能会出现多个IP对应同样的MAC,如图4所示,可以看出192.168.1.1地址和192.168.1.252地址对应的MAC地址都是00-0f-3d-83-74-28,很显然,这就是arp欺骗造成的。这个时候记住要记下那个IP对应的错误MAC地址,这个地址很可能就是中了木马的电脑,以方便接下来的查杀。
第二步,确认之后,可以输入arp-d命令,以删除当前计算机的arp表,方便重新建立arp表。
第三步,接下来可以绑定正确的arp网关。输入arp-s***.***.***.***(网关IP)**-**-**-**-**-**(网关MAC)。
第四步,再用arp-a查看,这时,类型变为静态(static),就不会再受攻击影响了。
4.2 预防ARP欺骗攻击
预防ARP欺骗攻击,减小ARP病毒对网络造成的影响,应注意以下几个方面:
(1)安全上网意识。用户要增强网络安全意识,不要轻易下载、使用盗版和存在安全隐患的软件;或浏览一些缺乏可信度的网站;不要随便打开不明来历的电子邮件,尤其是邮件附件;不要随便共享文件和文件夹,即使要共享,也得设置好权限,一般指定特定账号或特定机器才能访问,另外不建议设置可写或可控制,以免个人计算机受到木马病毒的侵入给网络的安全带来隐患。
(2)软件防护。及时下载和更新系统补丁程序,安装使用防病毒软件(如金山毒霸、瑞星等)和网络防火墙,并及时更新病毒库。网络防火墙在防病毒过程中也可以起到至关重要的作用,能有效地阻挡来自网络的攻击和病毒的入侵,防范ARP协议欺骗。安装常见的防范ARP欺骗攻击的工具软件。针对ARP欺骗攻击出现了一些可以保护客户端的网关MAC地址不被修改的工具软件,并且报警当前是哪个MAC地址在攻击网络。如Antiarp,WinArpAttacker,OmniPeek等网络协议分析软件。
(3)采用静态绑定方法。即用arp-s命令在各主机上绑定网关的IP和MAC地址,同时在网关上绑定各主机的IP和MAC地址。如果是Windows系统主机可编写一个名为rarp。Bat的批处理文件,内容如下:
实际操作时,文件中的将网关IP地址和MAC地址应改为用户所在的网关IP地址和MAC地址。
若想让系统每次启动时都能自动的加载静态ARP,则可将这个批处理软件拖到“windows--开始--程序--启动”中。采用这样双向绑定的方式是比较保险的,但使用静态ARP缓存增大了网络维护量,在较大或经常移动主机的网络中这样做工作量大,不易维护。而且,使用静态ARP缓存只能防止ARP欺骗,对IP地址冲突、Flood攻击仍然没有办法阻止。
(4)使用具有ARP防护功能的网络设备。近年来,基于病毒的ARP攻击愈演愈烈,各网络设备厂家也积极应对ARP欺骗攻击的特点提供了相应的解决策略。如在锐捷S21系列二层交换机上可以通过开启Anti-ARP-Spoofing功能,防止同一网段内针对用户的ARP欺骗攻击;神州数码网络公司从客户端程序、接入交换机、汇聚交换机,一直到网关设备,都研发了ARP攻击防护功能,客户可根据自己网络的特点,灵活选取相关网络设备和方案。其他厂家的设备也有类似功能。
(5)可采用Super VLAN或PVLAN技术,所谓Super VLAN,也叫VLAN聚合,这种技术在同一个子网中化出多个Sub VLAN,而将整个IP子网指定为一个VLAN聚合(Super VLAN),所有的Sub VLAN都使用Super VLAN的默认网关IP地址,不同的Sub VLAN仍保留各自独立的广播域。子网中的所有主机只能与自己的默认网关通信。如果将交换机或IP DSLAM设备的每个端口化为一个Sub VLAN,则实现了所有端口的隔离,也就避免了ARP欺骗。
PVLAN即私有VLAN(Private VLAN),PVLAN采用两层VLAN隔离技术,只有上层VLAN全局可见,下层VLAN相互隔离。如果将交换机或IP DSLAM设备的每个端口化为一个(下层)VLAN,则实现了所有端口的隔离。
5 结束语
由于ARP协议存在安全方面的固有缺陷,所以我们只有清楚地了解该协议的工作原理和其漏洞之后,我们才能够有效地检测和防御相应的欺骗攻击。本文通过分析ARP协议的工作原理,探讨了基于ARP协议漏洞的欺骗攻击的实现过程,提出了多种可行的安全防御策略。要全面而有效地防范ARP欺骗攻击,一般需要多种方案配合使用。如果要从根本上解决这一问题,最好的方法将是重新设计一种安全的地址解析协议。IPV6中就采用了更加安全的方式(通过ND(Neighbor Discovery邻居发现)协议取代了ARP协议)来解决这一问题。
参考文献
[1]Angus Mackinnon,Tony MoGregor,and James Breen.Overview of Internet Protocol Security.Technical Report94-10.Monash University.Australia.October27.1994.
[2]谢希仁.计算机网络[M].电子工业出版社.2008.
[3]杨玮莹,局域网中的ARP欺骗[J].黑龙江科技信息.2008.
[4]田维珍,窦为伟,庞雄昌.ARP欺骗攻击防控方法研究[J].计算机与信息技术.2010.
[5]http://publish.it168.com/2004/0316/200403160005101.shtml.
[6]http://network.51cto.com/art/200509/3644.htm.
协议欺骗 篇3
1 ARP协议概述
ARP即地址解析协议, 作用是将IP地址解析为设备的物理地址, 每台主机都有一个ARP缓存表, 用来记录IP地址与MAC地址的对应关系。假设主机A要和B通信, 它先在本地缓存中查询B的IP, 如果找到对应的MAC地址, 就直接发送数据给这个地址;否则会广播发送一个ARP请求包, 其中包含A的IP和MAC以及B的IP, 各主机收到后将请求包中的目的IP同自身IP相比较, 不同则忽略, 只有B会发现请求包中目的IP与自己的相同, 它先将A的IP和MAC记录到自己的ARP列表中, 如之前已存在该IP的信息, 则进行覆盖, 然后向A发回ARP响应包, 其中添加了它的MAC, A收到响应包后, 将B的MAC与B的IP记录到自己的ARP缓存中, 然后就可以发送数据。如果A一直没收到响应包, 则说明ARP查询失败。
2 ARP欺骗原理及危害
大部分操作系统在接收到ARP响应后不做检查便直接更新其ARP列表, ARP欺骗的原理就是伪造一个ARP响应包发送给被骗主机, 响应包中的源IP和MAC的关系是伪造的, 被骗主机收到后, 更新ARP列表, 从而建立IP与MAC之间错误的对应关系, 发送数据到该IP时, 无法到达正确的主机。下面是几种典型的ARP欺骗。
(1) 伪造网关。其原理是在局域网的同一网段内建立假网关, 发送ARP欺骗攻击给网络中的所有主机, 被其欺骗的主机不能向正确的网关发送数据, 而是将数据发送给了这个假网关, 因而会导致主机与网关之间无法正常通信, 对网络用户来说就是计算机无法正常上网。
(2) 对路由器的欺骗。其原理是给路由器发送ARP欺骗攻击, 使路由器获取到一系列错误的MAC地址信息, 并按照特定的频率不断进行刷新, 因而真实的MAC地址信息也不能通过更新而存入路由器, 这样, 路由器中的所有数据都被发送到了错误的MAC地址, 主机也就不能正常收到路由器的信息。
(3) ARP双向欺骗。假设主机A和网关之间能正常通信, 主机B为攻击者, 它首先向A发一个非法的ARP应答, 告诉A网关IP对应的MAC为B的MAC, A收到后会将本机ARP缓存中网关的MAC改为B的MAC。同理, 主机B以同样的方式欺骗网关, 使网关中A的MAC更新为B的MAC。这样, 通信双方的数据都会到达B, B作为中间人窃取信息并转发给对方。
ARP欺骗具有严重的危害性。一旦某台主机感染ARP病毒, 就会迅速蔓延至整个局域网, 导致该网络中的主机无法正常通信, 如果网关被欺骗, 则所有主机都会和外界失去联系, 通常的攻击都是频繁在网络中发送ARP欺骗, 会耗费大量的带宽, 即使能通信网速也会很慢, 这些将严重影响到学校的正常工作。ARP的双向欺骗虽不影响网络正常通信, 但其对数据信息的窃取, 直接威胁到高校网络的信息安全。
3 ARP欺骗防范措施
3.1 建立静态ARP缓存
在主机中建立静态ARP缓存, 主机向其它计算机或网关发送数据时, 直接从静态缓存中查找目的IP对应的MAC。当收到欺骗的ARP响应包时, 设置好的IP与MAC的对应关系不会被更新, 因而攻击者无法达到其欺骗的目的。此方法只能人工设置, 工作量巨大, 校园网中设备数目较大, 不可能一一设置, 因此综合校园网的情况, 可以对其中某些重要的小型子网以及网关之间采取这种方法, 既不用投入过多的网络管理成本, 又能有效保障网络的安全稳定。
3.2 绑定主机MAC地址与交换机端口
在局域网的交换机上将各端口与其所连主机的MAC进行绑定, 通过这个端口的数据帧的MAC是固定的, 如端口发现数据中的MAC与其绑定的MAC不同, 则锁定该端口, 与其相连的主机则无法接入局域网。当攻击者发送伪造的ARP响应时, 会立即被端口检测到其MAC值不同并中断连接。此方法适用于高端交换机, 可有效防止攻击者接入局域网, 但是合法主机更换端口也必须重新绑定, 增加了网管工作量。在校园网中, 通常对重要的服务器和相关安全设备所连接的交换机应用此方法。
3.3 安装ARP防欺骗软件
目前大部分安全软件都含有ARP防火墙, 如360安全卫士、腾讯电脑管家等, 可以有效抵御ARP病毒的侵入, 启动ARP防火墙后, 系统会将网关与本机的IP与MAC地址进行绑定, 当其遭受ARP欺骗攻击时会进行警告。ARP防欺骗软件可以有效拦截ARP攻击, 但需要不断地在网络中广播正确的IP和MAC地址信息, 会占用一定的网络负载。同时ARP防欺骗软件也可阻止攻击者修改主机ARP缓存, 能有效保障主机在局域网中的正常通信。
参考文献
[1]李爱贞.高校防范ARP病毒攻击的策略和方法[J].计算机安全, 2010 (12) .
[2]向磊, 贺琦.浅析校园网ARP病毒的防范[J].计算机光盘软件与应用, 2011 (2) .
[3]王和平.校园网环境中ARP的欺骗原理与防范方法[J].软件工程师, 2010 (12) .
[4]戴桂钦.校园网ARP欺骗攻击及其对策思考[J].计算机光盘软件与应用, 2010 (10) .
协议欺骗 篇4
随着网络应用范围的不断扩大, 对网络的各类攻击与破坏行为与日俱增。而ARP欺骗作为一种典型的欺骗类攻击, 通过构造伪造的ARP请求和ARP应答而在局域网中骗取信任关系, 从而能够达到获取指定主机通信数据甚至恶意破坏其正常网络通信等攻击目的。
1 ARP工作原理
1.1 ARP协议简介
ARP全称为Address Resolution Protocol, 中文名为地址解析协议。所谓“地址解析”就是主机在发送数据包前将目标主机IP地址转换成目标主机MAC地址的过程。在局域网中, 一台主机要和另一台主机进行通信, 必须要知道目标主机的IP地址, 但是最终负责在局域网中传送数据的网卡等物理设备是不能识别IP地址的, 只能识别其硬件地址即MAC地址。每一块网卡都有其全球惟一的MAC地址, 网卡之间发送数据, 只能根据对方网卡的MAC地址进行发送, 这时就需要一个将高层数据包中的IP地址转换成低层MAC地址的协议, 而这个重要的任务将由ARP协议完成。
1.2 ARP工作过程
(1) 首先每台主机都会在自己的ARP缓冲区 (ARP Cache) 中建立一个ARP列表, 以表示其他主机的IP地址和MAC地址的对应关系。
(2) 当源主机需要将一个数据包要发送到目的主机时, 会首先检查自己的A R P列表中是否存在该I P地址对应的MAC地址。如果有, 就直接将数据包发送到这个MAC地址;如果没有, 就向本地网段发起一个ARP请求的广播包, 查询此目的主机对应的MAC地址。此ARP请求数据包里包括源主机的IP地址、MAC地址以及目的主机的IP地址。
(3) 网络中所有的主机收到这个ARP请求后, 会检查数据包中的目的IP是否和自己的IP地址一致。如果不相同就忽略此数据包;如果相同, 该主机首先将发送端的MAC地址和IP地址添加到自己的ARP列表中, 如果ARP表中已经存在该IP的信息, 则将其覆盖, 然后给源主机发送一个ARP响应数据包, 告诉对方自己是它需要查找的M A C地址;
(4) 源主机收到这个ARP响应数据包后, 将得到的目的主机的IP地址和MAC地址添加到自己的ARP列表中, 并利用此信息开始数据的传输。如果源主机一直没有收到ARP响应数据包, 表示ARP查询失败。
但是上述数据传送机制有一个严重的缺陷, 即它是建立在对局域网中所有主机完全信任的基础上的, 即其前提为所有在局域网中传送的ARP数据包都是正确的。那么一旦局域网中存在着恶意或非法者, 就会出现网络安全隐患。
2 ARP欺骗原理及其攻击方式
2.1 ARP欺骗原理
以同一以太网中的三台主机A、B、C为例, 其IP地址和物理 (MAC) 地址对应关系如表1所示。
假设主机C是ARP欺骗攻击方。C可以向A发送一个自己伪造的ARP应答, 这个应答中发送方IP地址是192.168.0.20 (B的IP地址) , MAC地址是C的:00-30-6b-84-a1-1a (B的MAC地址本来应该是00-22-45-c4-63-cd, 这里被伪造了) 。由于大多数的操作系统在接收到ARP应答后会及时更新ARP缓存, 而不考虑是否发出过真实的ARP请求。所以当A接收到C伪造的ARP应答后, 就会更新本地的ARP缓存建立新的IP/MAC地址映射对, 即B的IP地址192.168.0.20→C的MAC地址00-30-6b-84-a1-1a。这样就会导致以后凡是要发送给B, 也就是IP地址为192.168.0.20这台主机的数据, 都将会发送给C即MAC地址为00-30-6b-84-a1-1a的主机, 这就形成了ARP欺骗。
2.2 ARP欺骗攻击方式
ARP欺骗主要包括以下3种攻击方式:中间人攻击、拒绝服务攻击与克隆攻击。
(1) 中间人攻击
中间人攻击就是攻击者将自己的主机插入两个目标主机通信路径之间, 使其主机如同两个目标主机通信路径上的一个“中间人”, 这样攻击者就可以监听两个目标主机之间的通信。这种攻击方式就是利用了2.1中提到的ARP欺骗最基本的原理来实现。
(2) 拒绝服务攻击
拒绝服务攻击就是使目标主机不能响应外界请求, 从而不能对外提供服务。如果攻击者将目标主机A R P缓存中的MAC地址全部改为根本就不存在的地址, 那么目标主机向外发送的所有以太网数据帧会丢失, 也就导致目标主机产生拒绝服务。
(3) 克隆攻击
在这种方式中攻击者将先对目标主机实施拒绝服务攻击, 然后再将自己的IP与MAC地址分别改为目标主机的IP与MAC地址, 这样攻击者的主机变成了与目标主机一样的副本。
3 ARP欺骗的防护措施
3.1 静态ARP表
静态ARP表是防止ARP欺骗的较好方法, 它的特点是永不过期。因此静态ARP表中的IP/MAC地址对不会动态更新, 一般是由网络管理员对网段上的每台主机进行静态登记, 所以执行欺骗行为的ARP应答就会被忽略。但是生成静态ARP表和维护表项的及时更新代价比较高, 需要网络管理员付出大量工作。
3.2 设置ARP服务器
为了对上述维护静态记录的大量分散工作进行集中和动态的管理, 可以指定局域网内部的一台主机作为A R P服务器, 专门保存并且维护可信范围内的所有主机的IP地址与M A C地址映射记录。该服务器通过查阅自己的A R P缓存的静态记录并以被查询主机的名义响应局域网内部的A R P请求。同时可以设置局域网内部的其他主机只使用来自ARP服务器的ARP响应。
3.3 RARP反向IP检测
在服务器级, 文件服务器或者路由器收到ARP响应时, 为了证实它的真实性, 根据反向地址解析协议 (RARP) 就用从响应报文中给出的MAC地址再生成一个RARP请求。这样就会查询到这个MAC地址对应的IP地址, 比较这两个IP地址, 如果不同, 则说明对方伪造了A R P响应报文, 因而存在着ARP欺骗行为。
3.4 ARP行为异常检测
可以在网络中调置一台ARP行为检测主机来记录所有的ARP请求与响应等行为并定期向由网络管理员控制的分析管理主机报告其ARP缓存的内容。这样分析管理主机上的程序就会查找出两台主机报告信息的不一致, 以及某一主机在前后报告中内容的变化。这些情况反映了潜在的安全问题。网络管理员也可以利用网络嗅探工具来连续监测网络内主机硬件地址与IP地址对应关系的变化, 从而分析出是否有ARP欺骗的行为存在。
4 总结
网络欺骗攻击作为一种非常专业化的攻击手段, 给网络安全管理者带来了严峻的考验。由于ARP协议制定的时间比较早, 因此当时对协议的缺陷考虑得并不周全。ARP欺骗是一种典型的欺骗攻击类型, 它利用了ARP协议存在的安全隐患, 并使用一些专门的攻击工具, 使得这种攻击变得普及并有较高的成功率。文中通过分析ARP协议的工作原理, 探讨了ARP欺骗的原理及对其的防范措施。而在实际处理过程中, 针对不同情况需要应对不策略, 一般要综合运用这些防护方法。
参考文献
[1]Douglas E.Comer.Internetworking With TCP/IP Vol I:Principles.Protocols, and Architectures (5th Edition) [M].北京:人民邮电出版社.2006.
[2]范建华, 胥光辉, 张涛等译.W.Richard Stevens.TCP/IP详解卷1:协议.北京:机械工业出版社.2000.
协议欺骗 篇5
关键词:ARP协议,ARP缓存表,ARP欺骗攻击,防御策略
前段时间朋友公司的网络出现了一些问题, 叫我过去帮忙。先是详细听了朋友的描述后进行如下分析:
(1) 故障现象:
局域网中共有15台计算机连接到一台24口交换机通过一台阿尔法宽带路由器连接到外网其拓扑结构图如下。
设备自启用以来一直都正常工作, 下挂的计算机用户均能上网, 但是有一天下午交换机下挂的所有用户反映无法上网。经查看均出现:"该页无法显示"的提示;部分QQ却没有显示断线, 但发送信息时, 显示超时。
(2) 故障分析及定位:
根据以往的经验我从以下几个方面入手进行定位:
a) ping局域网网关:192.168.18.1, 数据显示正常
b) ping广域网网关及DNS丢包严重
经过上述操作, 判断可能问题出在宽带路由器, 于是重启宽带路由器, 一开始故障排除, 但是没有过一分钟, 同样的故障又出现了。于是, 用一台笔记本不通过交换机直接接到路由上, ping局域网广域网网关及DNS一切都正常, 进行上网测试, 也正常。这时可以断定宽带接入及路由器是正常的。于是初步断定, 可能是网络中某台计算机中了ARP病毒。则确认并定位ARP病毒的工作开始了。
我登陆宽带路由器查看宽带路由器LAN的MAC地址为:00:E0:16:00:08:31, 并记录;在一台计算机上运行ARP-a后, 显示的局域网网关192.168.18.1所对应的MAC地址为00:E0:4C:E7:B4:A4, 与路由器上实际查看的LAN的MAC地址不一样。这样就可以断定, 局域网是受了ARP病毒的攻击。网络中某台主机中毒, 会向局域网发ARP广播包, 告诉局域网的计算机现在的局域网网关IP所对应的MAC地址修改成自己的MAC地址。致使所有计算机发往路由器的包, 全部转发到中毒的计算机, 使全网计算机无法通过宽带路由器正常上网。根据以往的经验, 如果某个端口有大量的数据包, 交换机的指示灯闪烁的频率就会加快, 因为中毒的计算机为了阻止宽带路由器更新下挂计算机的ARP表, 它就会不停的发送ARP包。这样就会造成交换机的某个端口的指示灯, 加快闪烁的频率。根据这个想法开始观察交换机上各个指示灯的情况, 发现有一个端口的指示灯闪烁频率很快, 于是把该端口的网线拔除并重启宽带路由器, 经过一段时间的观察, 局域网内的计算机都能正常上网。但是, 一旦在把此网络插入, 上述的故障又发生了。这下可以断定连接此端口的计算机就是故障的源头, 根据网络线上的标签, 找到此计算机。
(3) 解决方法:
我对定位的计算机, 用专杀工具清除了病毒。之后再次连入网络, 整个网络又开始正常工作了。从此次帮朋友解决网络问题的过程中我思考总结了几点。
目前这种网络破坏行为很常见, 主要发生在局域网中, 很多局域网的用户跟朋友公司的网络一样, 经常出现不能上网, 或者是上网时断时续, 但是如果机器重新启动就又可以上网, 不过几分钟后问题又出现了。究其源头就是困扰网络管理员已久的ARP (Address Resolution Protocol, 地址转换协议) 攻击问题。这种攻击行为利用了ARP协议的工作过程, 一般是内网某台电脑中了病毒, 病毒无规律的自动进行破坏, 或者是内网某台电脑的操作者故意发起攻击。
1. ARP协议欺骗攻击原理
1.1 ARP协议
ARP (Address Resolution Protocol, 地址转换协议) 是OSI参考模型中的第二层数链层的协议, 主要负责将位于OSI参考模型第三层的网络层的IP地址转换成实际的物理地址 (MAC地址) 。在局域网中, 两台主机要互相通信, 必需知道目标主机的MAC地址。实现获得目标主机的MAC地址就是由ARP协议来完成的。ARP协议的基本功能就是通过目标主机的IP地址, 查询目标设备的MAC地址, 以确保通信的顺利进行。
一个局域网中的电脑少则几台, 多则几百台, 怎样才能准确的记录下对方的MAC地址呢?这个功能就需要由ARP缓存表来保证。该表保存了网络中各个电脑的IP地址和MAC地址的对照关系。在每台安装有TCP/IP协议的电脑里都有一个ARP缓存表, 保存着IP地址与MAC地址是一一对应的。
1.2 ARP协议的漏洞
ARP协议是数链层中的一个高效的协议, 其最初的设计是为了方便数据的传输, 设计的前提是在网络绝对安全和信任的情况下进行工作, 则ARP协议存在安全漏洞。
(1) ARP协议是一个无状态的协议。
主机不会检查本身是否发送过请求包, 同时也没有相应的安全机制来检验接收到的数据包是否为合法的应答。只要主机收到ARP应答帧, 就会对本地的ARP缓存表进行更新, 把应答帧中的IP地址和对应的MAC地址存储到缓存表中。
(2) ARP协议请求以广播方式进行
当源主机要和目的主机通信, 而没有目的主机的MAC地址时, 便会向整个局域网广播ARP请求数据包。这使得攻击者可以伪装ARP应答, 与真正的目的主机展开竞争, 以此确定子网中机器什么时候更新ARP缓存, 来实现最大限度的假冒和欺骗。
(3) ARP地址缓存表动态更新
ARP缓存表采用了老化机制, 在一段时间内如果表中的某一行没有使用, 就会被删除。这种老化机制的动态更新方式虽然灵活, 但是同时也带来安全问题。由于正常的ARP地址转换表都是有时限的, 这使得假冒者趁在下次交换之前成功修改了源主机的地址, 就可以进入对方的局域网。
1.3 ARP协议欺骗攻击
ARP欺骗攻击的核心就是向目标主机发送伪造的ARP应答, 并使目标主机接收应答中伪造的IP地址与MAC地址, 更新目标主机的ARP缓存。
ARP欺骗攻击方式:拒绝服务攻击DOS和ARP欺骗攻击:
(1) 拒绝服务攻击DOS
拒绝服务攻击就是使目标主机不能正常响应外部请求, 从而不能对外提供服务的攻击方式。如果攻击者将目标主机ARP的MAC地址全部改为根本不存在的地址, 那么目标主机向外发送的所有数据就会丢失, 使得上层应用忙于处理这种异常而无法响应外来请求, 也就导致目标主机产生拒绝服务。
(2) ARP欺骗攻击
ARP欺骗的目的就是实现全交换环境下的数据监听, 大部分的木马或病毒使用ARP欺骗攻击也是为了达到这个目的。ARP欺骗攻击就是利用ARP协议的缺陷向目标主机发送伪造ARP应答帧, 目标主机接收伪造帧更新ARP缓存表, 此后的地址解析中就会落入预先设计好的陷阱。
2. ARP欺骗攻击定位
当局域网中出现ARP欺骗攻击的时候, 首先要做的是查找攻击的主机, 然后切断改主机的网络连接, 对该主机进行杀毒。查找攻击源的主机, 就是要查找攻击主机的MAC地址, 一般可以通过以下方法来实现:
(1) 防火墙记录查看法
现在有很多中专门针对ARP病毒开发的ARP防火墙软件, 如360ARP防火墙等, 只要在局域网内的任意一台主机上安装此种防火墙软件, 就可以查看到网络是否存在ARP欺骗攻击。如果存在ARP攻击, 防火墙就会记录下攻击主机的MAC地址。
(2) 命令法
在受攻击的局域网中的任何一台机器上运行ARP a命令, 查看主机的网关IP地址所对应的MAC地址是否与网关的真的MAC地址一致。如果一致则表明改主机没有遭受攻击;如果不一致, 那么通过命令行看到的MAC地址就是攻击主机的MAC地址。
(3) 使用抓包工具
用Sniffer工具来抓包, 若发现网络中存在大量的ARP应答包, 并且将大多数的IP地址都指向同一个MAC地址, 则表明存在ARP欺骗, 并且这个MAC地址就是用来进行ARP欺骗的主机MAC地址。
(4) 查看网关设备的ARP缓存表
首先将网关设备中的ARP缓存表导出, 然后查找单个VLAN中是否有重复的MAC地址出现。如果没有重复地址出现, 则表明这个VLAN对应的局域网内不存在ARP欺骗攻击;如果有两个或者多个MAC地址多时一样的, 就说明该MAC地址对应的IP的主机以经被ARP攻击。通过这种方式可以同时在这张ARP缓存表中找到所有ARP攻击的源主机的MAC地址。
3. ARP协议欺骗攻击防御策略
(1) 对已定位的计算机, 用专杀工具清除病毒或格式化后重装系统。彻底清除ARP欺骗病毒后再连入网络。
(2) 全网的计算机都安装ARP专杀工具, 或者ARP防火墙。
(3) 在确保网络正常情况下, 用网络工具扫描局域网内所有计算机包括 (包括网络设备) IP地址及对应的MAC地址做好备份。以便以后发生类似故障可以及时、准确的定位源头。
(4) 由于局域网内计算机都是静态分配IP, 可以对IP地址和MAC地址进行静态绑定, 内容如:"arp-s IP地址对应的MAC地址", 把所有局域网内的计算机IP和MAC做个批处理并放入各自计算机的启动项。
(5) 网关路由器也有一张ARP表格, 用来记录内网计算机的IP和MAC地址, 如果网关路由器受到ARP欺骗, 那么网关路由器将不能把数据包发送到正确的主机而是发送到错误的假MAC地址去了。所以在对计算机进行静态ARP绑定的同时, 也要对网关路由器进行绑定。进入输入宽带路由器地址进入到路由器管理界面, 选择DHCP服务器---静态地址分配;将网络上计算机的IP地址和MAC地址都填写进去。点击保存即可。
(6) 使用安全拓扑结构。将网络分为不同的网段, 一个网段仅由能互相信任的计算机组成, 各网段之间通过路由相互连接。广播的数据包不能跨越路由器, 因此ARP请求报文只能在一个网段里传送, 这在一定程度上增加了ARP欺骗攻击的难度。
(7) 数据加密传输
通常情况下, ARP欺骗攻击导致数据包从源主机流向攻击方, 使得网络通信被非法截取和监听, 因此可以使用数据加密传输, 即使攻击方得到发送的通信数据包, 也不能解密获得有用的信息。
(8) 提高安全意识, 养成良好的安全习惯
对病毒源头的机器进行处理、杀毒或是重新安装系统;安装杀毒软件并经常更新病毒库, 及时安装系统补丁;为系统设置密码;关闭一些不需要的服务;不随便打开或运行陌生邮件、可疑文件和程序。
4. 结束语
本篇文章通过实际解决案例入手, 分析了ARP协议的工作原理, 探讨了基于ARP协议漏洞的欺骗攻击的实现过程, 提出了定位ARP欺骗攻击的定位方法, 最后给出了多种可行的安全防御策略方法, 对于彻底的防御ARP欺骗攻击, 一般需要多种方案配合使用。若想要从根本上解决这一问题, 最好的方法就是重新设计一种安全的地址解析协议, 现在在IPV6中已经考虑到这个问题。采用了更安全的方式杜绝来自底层的攻击。
参考文献
[1].曹洪武.ARP欺骗入侵的检测与防范策略[J].塔里木大学学报, 2007 (2)
[2].李英.浅析ARP协议及其欺骗原理[J].中国科技信息, 2007 (14) ;126-127.
[3].秦元.ARP的攻击原理及防范措施.电脑知识与技术