1、某某學(xué)院畢業(yè)論文院系：計計算機與與軟件工工程學(xué)院院學(xué)號：班級：姓名：論文題目目：局域域網(wǎng)ARRP欺騙騙攻擊及及安全防防范策略略指導(dǎo)老師師：時間：二0一00年十二二月局域網(wǎng)AARP欺欺騙攻擊擊及安全全防范策策略摘 要要：介紹了AARP協(xié)協(xié)議的功功能和工工作原理理基礎(chǔ)上上，分析析了當(dāng)前前ARPP協(xié)議所所存在的的安全漏漏洞。重重點討論論了利用用ARPP協(xié)議自自身的安安全缺陷陷進行網(wǎng)網(wǎng)絡(luò)攻擊擊的多種種實現(xiàn)方方法以及及這些攻攻擊所帶帶來的危危害。最最后根據(jù)據(jù)實際的的管理，給出了了一些有有效的安安全抵御御措施和和檢瀏方方法，并并說明了了這些方方法的優(yōu)優(yōu)點與缺缺點。關(guān)健詞：ARPP協(xié)議；安全缺缺陷；防范措措

2、施；攻擊方方式；檢檢測方法法Absttracct: Baseed oon aan iintrroduuctiion to thee fuuncttionns aand worrkinng ttheoory of thee ARRP (Adddresss RResooluttionn Prrotoocoll), thiis ppapeer aanallysees tthe seccuriity holles in ARPP. TThe seccuriity vullnerrabiilitty oof AARP, thhe aattaackiing forrms andd pootenntiaal

3、 ddamaagess arre eexteensiivelly ddisccusssed. Seeverral prootecctioon ssoluutioons forr daailyy maanaggemeentss annd ddeteectiion aree giivenn, aadvaantaagess annd ddisaadvaantaage of theese meaasurres aree deetaiiledd.Keywwordd: ARP; seecurrityy vuulneerabbiliitiees; prootecctioon mmeassurees;aatt

4、aack wayys;ddeteectiion metthodd目錄 HYPERLINK l q1 1、ARRP協(xié)議議的含義義和工作作原理5 HYPERLINK l q2 1.1、ARPP協(xié)議簡簡介5 HYPERLINK l q3 1.2、ARPP協(xié)議的的數(shù)據(jù)結(jié)結(jié)構(gòu)5 HYPERLINK l q4 1.3、ARPP協(xié)議的的利用5 HYPERLINK l q5 1.3.1、交交換網(wǎng)絡(luò)絡(luò)的嗅探探5 HYPERLINK l q6 1.3.2、IIP地址址沖突66 HYPERLINK l q7 1.3.3、阻阻止目標標的數(shù)據(jù)據(jù)包通過過網(wǎng)關(guān)66 HYPERLINK l q8 1.3.4、通通過ARRP檢

5、測測混雜模模式節(jié)點點7 HYPERLINK l q9 1.4、ARPP協(xié)議的的原理7 HYPERLINK l f1 2、ARRP協(xié)議議存在的的安全漏漏洞8 HYPERLINK l e1 3、ARRP欺騙騙攻擊實實現(xiàn)的過過程9 HYPERLINK l e2 3.1、網(wǎng)段內(nèi)內(nèi)的ARRP欺騙騙攻擊9 HYPERLINK l e3 3.2跨網(wǎng)段段的ARRP欺騙騙攻擊10 HYPERLINK l d1 4、ARRP攻擊擊的分類類100 HYPERLINK l d2 4.1、ARPP 欺騙騙攻擊100 HYPERLINK l d3 4.2、網(wǎng)絡(luò)監(jiān)監(jiān)聽111 HYPERLINK l d4 4.3、廣泛拒拒絕

6、服務(wù)務(wù)攻擊DDOS11 HYPERLINK l d5 4.4、IP地地址沖突突12 HYPERLINK l d6 4.5、克隆攻攻擊112 HYPERLINK l c1 5、防范范ARPP攻擊的的解決方方案13 HYPERLINK l c2 5.1、設(shè)置靜靜態(tài)的AARP緩緩存表13 HYPERLINK l c3 5.2、交換機機上綁定定端口和和MACC地址14 HYPERLINK l c4 5.3、VLAAN技術(shù)術(shù)155 HYPERLINK l c5 5.4、建立信信任IPP-MAAC地址址映射表表15 HYPERLINK l c6 5.5、ARPP報文限限速16 HYPERLINK l b1

7、 6、ARRP欺騙騙的檢測測166 HYPERLINK l b2 6.1、ARPP地址欺欺騙攻擊擊者的定定位16 HYPERLINK l b3 6.2、ARPP欺騙攻攻擊的檢檢測17 HYPERLINK l b4 6.2.1、命命令行法法177 HYPERLINK l b5 6.2.2、工工具軟件件法17 HYPERLINK l b6 6.2.3、SSniffferr抓包嗅嗅探法177 HYPERLINK l b7 6.2.4、主主機級檢檢測方法法18 HYPERLINK l b8 6.2.5、網(wǎng)網(wǎng)絡(luò)級檢檢測方法法18 HYPERLINK l a1 7、結(jié)束束語19 HYPERLINK l c

8、cc 參考文獻獻200 HYPERLINK l fff 附錄211 HYPERLINK l zzz 致謝2221、ARRP協(xié)議議的含義義和工作作原理1.1、ARPP協(xié)議簡簡介ARP協(xié)協(xié)議是“Adddresss RResooluttionn Prrotoocoll”（地地址解析析協(xié)議）的縮寫寫。在局局域網(wǎng)中中，網(wǎng)絡(luò)絡(luò)中實際際傳輸?shù)牡氖恰皫瑤?，幀幀里面是是有目標標主機的的MACC地址的的。在以以太網(wǎng)中中，一個個主機要要和另一一個主機機進行直直接通信信，必須須要知道道目標主主機的MMAC地地址。但但這個目目標MAAC地址址是如何何獲得的的呢？它它就是通通過地址址解析協(xié)協(xié)議獲得得的。所所謂“地地址解

9、析析”就是是主機在在發(fā)送幀幀前將目目標IPP地址轉(zhuǎn)轉(zhuǎn)換成目目標MAAC地址址的過程程。ARRP協(xié)議議的基本本功能就就是通過過目標設(shè)設(shè)備的IIP地址址，查詢詢目標設(shè)設(shè)備的MMAC地地址，以以保證通通信的順順利進行行。1.2、ARPP協(xié)議的的數(shù)據(jù)結(jié)結(jié)構(gòu)typeedeffstrructtarpphdrr uunsiigneedshhorttarpp_hrrd;/*硬件件類型*/ unnsiggneddshoortaarp_proo;/*協(xié)議類類型*/ unnsiggneddchaararrp_hhln;/*硬硬件地址址長度*/ unnsiggneddchaararrp_ppln;/*協(xié)協(xié)議地址址長度

10、*/ unnsiggneddshoortaarp_op;/*AARP操操作類型型*/ unnsiggneddchaararrp_ssha6;/*發(fā)發(fā)送者的的硬件地地址*/ unnsiggneddlonngarrp_sspa;/*發(fā)發(fā)送者的的協(xié)議地地址*/ 66;/*目標標的硬件件地址*/ unnsiggneddlonngarrp_ttpa;/*目目標的協(xié)協(xié)議地址址*/ AARPHHDR,*PAARPHHDR;1.3、ARPP協(xié)議的的利用1.3.1、交交換網(wǎng)絡(luò)絡(luò)的嗅探探ARP協(xié)協(xié)議并不不只在發(fā)發(fā)送了AARP請請求才接接收ARRP應(yīng)答答。當(dāng)計計算機接接收到AARP應(yīng)應(yīng)答數(shù)據(jù)據(jù)包的時時候，就就會對本

11、本地的AARP緩緩存進行行更新，將應(yīng)答答中的IIP和MMAC地地址存儲儲在ARRP緩存存中。因因此，在在上面的的假設(shè)網(wǎng)網(wǎng)絡(luò)中，B向AA發(fā)送一一個自己己偽造的的ARPP應(yīng)答，而這個個應(yīng)答中中的數(shù)據(jù)據(jù)為發(fā)送送方IPP地址是是1922.1668.110.33（C的的IP地地址），MACC地址是是DD-DD-DD-DD-DD-DD（C的MMAC地地址本來來應(yīng)該是是CC-CC-CC-CC-CC-CC，這里被被偽造了了）。當(dāng)當(dāng)A接收收到B偽偽造的AARP應(yīng)應(yīng)答，就就會更新新本地的的ARPP緩存，將本地地的IPP-MAAC對應(yīng)應(yīng)表更換換為接收收到的數(shù)數(shù)據(jù)格式式，由于于這一切切都是AA的系統(tǒng)統(tǒng)內(nèi)核自自動完成成

12、的，AA可不知知道被偽偽造了。1.3.2、IIP地址址沖突我們知道道，如果果網(wǎng)絡(luò)中中存在相相同IPP地址的的主機的的時候，就會報報告出IIP地址址沖突的的警告。這是怎怎么產(chǎn)生生的呢？ 比如如某主機機B規(guī)定定IP地地址為1192.1688.0.1，如如果它處處于開機機狀態(tài)，那么其其他機器器A更改改IP地地址為1192.1688.0.1就會會造成IIP地址址沖突。其原理理就是：主機AA在連接接網(wǎng)絡(luò)（或更改改IP地地址）的的時候就就會向網(wǎng)網(wǎng)絡(luò)發(fā)送送ARPP包廣播播自己的的IP地地址，也也就是ffreeearpp。如果果網(wǎng)絡(luò)中中存在相相同IPP地址的的主機BB，那么么B就會會通過AARP來來reppl

13、y該該地址，當(dāng)A接接收到這這個reeplyy后，AA就會跳跳出IPP地址沖沖突的警警告，當(dāng)當(dāng)然B也也會有警警告。 因此用AARP欺欺騙可以以來偽造造這個AARPrreplly，從從而使目目標一直直遭受IIP地址址沖突警警告的困困擾。1.3.3、阻阻止目標標的數(shù)據(jù)據(jù)包通過過網(wǎng)關(guān)比如在一一個局域域網(wǎng)內(nèi)通通過網(wǎng)關(guān)關(guān)上網(wǎng)，那么連連接外部部的計算算機上的的ARPP緩存中中就存在在網(wǎng)關(guān)IIP-MMAC對對應(yīng)記錄錄。如果果，該記記錄被更更改，那那么該計計算機向向外發(fā)送送的數(shù)據(jù)據(jù)包總是是發(fā)送到到了錯誤誤的網(wǎng)關(guān)關(guān)硬件地地址上，這樣，該計算算機就不不能夠上上網(wǎng)了。 這里也也主要是是通過AARP欺欺騙進行行的。有有

14、兩種辦辦法達到到這樣的的目的。 1、向目目標發(fā)送送偽造的的ARPP應(yīng)答數(shù)數(shù)據(jù)包，其中發(fā)發(fā)送方的的IP地地址為網(wǎng)網(wǎng)關(guān)的地地址，而而MACC地址則則為一個個偽造的的地址。當(dāng)目標標接收到到該ARRP包，那么就就更新自自身的AARP緩緩存。如如果該欺欺騙一直直持續(xù)下下去，那那么目標標的網(wǎng)關(guān)關(guān)緩存一一直是一一個被偽偽造的錯錯誤記錄錄。當(dāng)然然，如果果有些了了解的人人查看AARP-a，就就知道問問題所在在了。 2、欺騙騙網(wǎng)關(guān)。向網(wǎng)關(guān)關(guān)發(fā)送偽偽造的AARP應(yīng)應(yīng)答數(shù)據(jù)據(jù)包，其其中發(fā)送送方的IIP地址址為目標標的IPP地址，而MAAC地址址則為一一個偽造造的地址址。這樣樣，網(wǎng)關(guān)關(guān)上的目目標ARRP記錄錄就是一一個

15、錯誤誤的，網(wǎng)網(wǎng)關(guān)發(fā)送送給目標標的數(shù)據(jù)據(jù)報都是是使用了了錯誤的的MACC地址。這種情情況下，目標能能夠發(fā)送送數(shù)據(jù)到到網(wǎng)關(guān)，卻不能能接收到到網(wǎng)關(guān)的的任何數(shù)數(shù)據(jù)。同同時，目目標自己己查看AARP-a卻看看不出任任何問題題來。1.3.4、通通過ARRP檢測測混雜模模式節(jié)點點在混雜模模式中，網(wǎng)卡進進行包過過濾不同同于普通通模式。本來在在普通模模式下，只有本本地地址址的數(shù)據(jù)據(jù)包或者者廣播（多播等等）才會會被網(wǎng)卡卡提交給給系統(tǒng)核核心，否否則的話話，這些些數(shù)據(jù)包包就直接接被網(wǎng)卡卡拋棄?，F(xiàn)在，混合模模式讓所所有經(jīng)過過的數(shù)據(jù)據(jù)包都傳傳遞給系系統(tǒng)核心心，然后后被snnifffer等等程序利利用。 通過特殊殊設(shè)計的的

16、ARPP請求可可以用來來在一定定程度上上檢測處處于混雜雜模式的的節(jié)點，比如對對網(wǎng)絡(luò)中中的每個個節(jié)點都都發(fā)送MMAC地地址為FFF-FFF-FFF-FFF-FFF-FFE的AARP請請求。對對于網(wǎng)卡卡來說這這不是一一個廣播播地址（FF-FF-FF-FF-FF-FF），所以以處于普普通模式式的節(jié)點點就會直直接拋棄棄該數(shù)據(jù)據(jù)包，但但是多數(shù)數(shù)操作系系統(tǒng)核心心都認為為這是一一個廣播播地址，如果有有一般的的sniiffeer程序序存在，并設(shè)置置網(wǎng)卡為為混雜模模式，那那么系統(tǒng)統(tǒng)核心就就會作出出應(yīng)答，這樣就就可以判判斷這些些節(jié)點是是否存在在嗅探器器了。 可以查看看，很多多基于AARP的的攻擊都都是通過過ARP

17、P欺騙實實現(xiàn)的。至于AARP欺欺騙的防防范，還還是盡可可能使用用靜態(tài)的的ARPP。對于于WINN，使用用arpp-s來來進行靜靜態(tài)ARRP的設(shè)設(shè)置。當(dāng)當(dāng)然，如如果能夠夠完全使使用靜態(tài)態(tài)的IPP+MAAC對應(yīng)應(yīng)，就更更好了，因為靜靜態(tài)的AARP緩緩存只是是相對的的。 當(dāng)然，可可以有一一些方法法來實現(xiàn)現(xiàn)ARPP欺騙的的檢測。設(shè)置一一個ARRP的嗅嗅探器，其中維維護著一一個本地地網(wǎng)絡(luò)的的IP-MACC地址的的靜態(tài)對對應(yīng)表，查看所所有經(jīng)過過的ARRP數(shù)據(jù)據(jù)，并檢檢查其中中的IPP-MAAC對應(yīng)應(yīng)關(guān)系，如果捕捕獲的IIP-MMAC對對應(yīng)關(guān)系系和維護護的靜態(tài)態(tài)對應(yīng)關(guān)關(guān)系對應(yīng)應(yīng)不上，那么就就表明是是一個欺欺

18、騙的AARP數(shù)數(shù)據(jù)包了了。1.4、ARPP協(xié)議的的原理以主機AA（1992.1168.1.55）向主主機B（1922.1668.11.1）發(fā)送數(shù)數(shù)據(jù)為例例。當(dāng)發(fā)發(fā)送數(shù)據(jù)據(jù)時，主主機A會會在自己己的ARRP緩存存表中尋尋找是否否有目標標IP地地址。如如果找到到了，也也就知道道了目標標MACC地址，直接把把目標MMAC地地址寫入入幀里面面發(fā)送就就可以了了；如果果在ARRP緩存存表中沒沒有找到到目標IIP地址址，主機機A就會會在網(wǎng)絡(luò)絡(luò)上發(fā)送送一個廣廣播，AA主機MMAC地地址是“主機AA的MAAC地址址”，這這表示向向同一網(wǎng)網(wǎng)段內(nèi)的的所有主主機發(fā)出出這樣的的詢問：“我是是1922.1668.11.5

19、，我的硬硬件地址址是主主機A的的MACC地址.請問問IP地地址為1192.1688.1.1的MMAC地地址是什什么？”網(wǎng)絡(luò)上上其他主主機并不不響應(yīng)AARP詢詢問，只只有主機機B接收收到這個個幀時，才向主主機A做做出這樣樣的回應(yīng)應(yīng)：“1192.1688.1.1的MMAC地地址是000-aaa-000-662-cc6-009”。這樣，主機AA就知道道了主機機B的MMAC地地址，它它就可以以向主機機B發(fā)送送信息了了。同時時A和BB還同時時都更新新了自己己的ARRP緩存存表（因因為A在在詢問的的時候把把自己的的IP和和MACC地址一一起告訴訴了B），下次次A再向向主機BB或者BB向A發(fā)發(fā)送信息息時，直

20、直接從各各自的AARP緩緩存表里里查找就就可以了了。ARRP緩存存表采用用了老化化機制（即設(shè)置置了生存存時間TTTL），在一一段時間間內(nèi)（一一般155到200分鐘）如果表表中的某某一行沒沒有使用用，就會會被刪除除，這樣樣可以大大大減少少ARPP緩存表表的長度度，加快快查詢速速度。 HYPERLINK /view/700129.htm ARP攻攻擊就是是通過偽偽造IPP地址和和MACC地址實實現(xiàn) HYPERLINK /view/155386.htm ARRP欺騙騙，能夠夠在網(wǎng)絡(luò)絡(luò)中產(chǎn)生生大量的的ARPP通信量量使 HYPERLINK /view/712723.htm 網(wǎng)絡(luò)絡(luò)阻塞，攻擊者者只要持持

21、續(xù)不斷斷的發(fā)出出偽造的的ARPP響應(yīng)包包就能更更改目標標主機AARP緩緩存中的的IP-MACC條目，造成網(wǎng)網(wǎng)絡(luò)中斷斷或中間間人攻擊擊。 ARP攻攻擊主要要是存在在于局域域網(wǎng)網(wǎng)絡(luò)絡(luò)中，局局域網(wǎng)中中若有一一個人感感染ARRP HYPERLINK /view/931.htm 木馬馬，則感感染該AARP木木馬的系系統(tǒng)將會會試圖通通過“AARP欺欺騙”手手段截獲獲所在網(wǎng)網(wǎng)絡(luò)內(nèi)其其它 HYPERLINK /view/3314.htm 計算算機的通通信信息息，并因因此造成成網(wǎng)內(nèi)其其它計算算機的通通信故障障。 RARPP的工作作原理： 1、發(fā)送送主機發(fā)發(fā)送一個個本地的的RARRP廣播播，在此此廣播包包中，聲聲

22、明自己己的MAAC地址址并且請請求任何何收到此此請求的的RARRP HYPERLINK /view/899.htm 服務(wù)務(wù)器分配配一個IIP地址址； 2、本地地網(wǎng)段上上的RAARP服服務(wù)器收收到此請請求后，檢查其其RARRP列表表，查找找該MAAC地址址對應(yīng)的的IP地地址； 3、如果果存在，RARRP服務(wù)務(wù)器就給給源主機機發(fā)送一一個響應(yīng)應(yīng) HYPERLINK /view/25880.htm 數(shù)據(jù)包包并將此此IP地地址提供供給對方方主機使使用； 4、如果果不存在在，RAARP服服務(wù)器對對此不做做任何的的響應(yīng)； 5、 源源主機收收到從RRARPP服務(wù)器器的響應(yīng)應(yīng)信息，就利用用得到的的IP地地址進行

23、行通訊；如果一一直沒有有收到RRARPP服務(wù)器器的響應(yīng)應(yīng)信息，表示初初始化失失敗。 6、如果果在第11-3中中被 HYPERLINK /view/726493.htm ARRP病毒毒攻擊，則服務(wù)務(wù)器做出出的反映映就會被被占用，源主機機同樣得得不到RRARPP服務(wù)器器的響應(yīng)應(yīng)信息，此時并并不是服服務(wù)器沒沒有響應(yīng)應(yīng)而是服服務(wù)器返返回的源源主機的的IP被被占用。二、ARRP協(xié)議議存在的的安全漏漏洞ARP協(xié)協(xié)議是建建立在信信任局域域網(wǎng)內(nèi)所所有結(jié)點點的基礎(chǔ)礎(chǔ)上的，它很高高效，但但卻不安安全。它它的主要要漏洞有有以下三三點。1、主機機地址映映射表是是基于高高速緩存存、動態(tài)態(tài)更新的的，ARRP將保保存在高高

24、速緩存存中的每每一個映映射地址址項目都都設(shè)置了了生存時時間，它它只保存存最近的的地址對對應(yīng)關(guān)系系。這樣樣惡意的的用戶如如果在下下次交換換前修改改了被欺欺騙機器器上的地地址緩存存，就可可以進行行假冒或或拒絕服服務(wù)攻擊擊。2、由于于ARPP是無狀狀態(tài)的協(xié)協(xié)議，即即使沒有有發(fā)送AARP請請求報文文，主機機也可以以接收AARP應(yīng)應(yīng)答，只只要接受受到ARRP應(yīng)答答分組的的主機就就無條件件地根據(jù)據(jù)應(yīng)答分分組的內(nèi)內(nèi)容刷新新本機的的高速緩緩存。這這就為AARP欺欺騙提供供了可能能，惡意意節(jié)點可可以發(fā)布布虛假的的ARPP報文從從而影響響網(wǎng)內(nèi)結(jié)結(jié)點的通通信，甚甚至可以以做“中中間人”。3、任何何ARPP應(yīng)答都都是

25、合法法的，AARP應(yīng)應(yīng)答無須須認證，只要是是區(qū)域網(wǎng)網(wǎng)內(nèi)的AARP應(yīng)應(yīng)答分組組，不管管(其實實也不知知道)是是否是合合法的應(yīng)應(yīng)答，主主機都會會接受AARP應(yīng)應(yīng)答，并并用其IIP一MMAC信信息篡改改其緩存存。這是是ARPP的另一一個隱患患。三、ARRP欺騙騙攻擊實實現(xiàn)的過過程3.1、網(wǎng)段內(nèi)內(nèi)的ARRP欺騙騙攻擊ARP欺欺騙攻擊擊的核心心就是向向目標主主機發(fā)送送偽造的的ARPP應(yīng)答，并使目目標主機機接收應(yīng)應(yīng)答中偽偽造的IIP與MMAC間間的映射射對，并并以此更更新目標標主機緩緩存。設(shè)設(shè)在同一一網(wǎng)段的的三臺主主機分別別為,，詳見見表1。表1：同同網(wǎng)段主主機IPP地址和和MACC地址對對應(yīng)表用戶主機機

26、IP地地址MAAC地址址A101010001000-EE0-44C-111-111-111B101010002000-EE0-44C-222-222-222C10101003000-E00-4CC-333-333-333假設(shè)與與是信信任關(guān)系系，欲欲向發(fā)發(fā)送數(shù)據(jù)據(jù)包。攻攻擊方通過前前期準備備，可以以發(fā)現(xiàn)的漏洞洞，使暫時無無法工作作，然后后發(fā)送送包含自自己MAAC地址址的ARRP應(yīng)答答給。由于大大多數(shù)的的操作系系統(tǒng)在接接收到AARP應(yīng)應(yīng)答后會會及時更更新ARRP緩存存，而不不考慮是是否發(fā)出出過真實實的ARRP請求求，所以以接收收到應(yīng)答答后，就就更新它它的ARRP緩存存，建立立新的IIP和MMAC地

27、地址映射射對，即即的IIP地址址101010002對對應(yīng)了的MAAC地址址00-E0-4C-33-33-33。這樣，導(dǎo)致就將發(fā)發(fā)往的的數(shù)據(jù)包包發(fā)向了了,但但和BB卻對此此全然不不知，因因此C就就實現(xiàn)對對A和BB的監(jiān)聽聽。3.2、跨網(wǎng)段段的ARRP欺騙騙攻擊 跨跨網(wǎng)段的的ARPP欺騙比比同一網(wǎng)網(wǎng)段的AARP欺欺騙要復(fù)復(fù)雜得多多，它需需要把AARP欺欺騙與IICMPP重定向向攻擊結(jié)結(jié)合在一一起。假假設(shè)和和在同同一網(wǎng)段段，在在另一網(wǎng)網(wǎng)段，詳詳見表22。表2、跨跨網(wǎng)段主主機IPP地址和和MACC地址對對應(yīng)表用戶主機機IP地地址MAAC地址址A101010001000-EE0-44C-111-111-1

28、11B101010002000-EE0-44C-222-222-222C101020003000-EE0-44C-333-333-333 首首先攻擊擊方修修改IPP包的生生存時間間，將其其延長，以便做做充足的的廣播。然后和和上面提提到的一一樣，尋尋找主機機的漏漏洞，攻攻擊此漏漏洞，使使主機暫時無無法工作作。此后后，攻擊擊方發(fā)發(fā)送IPP地址為為的IIP地址址101010002，MACC地址為為的MMAC地地址000-E00-4CC-333-333-333的ARRP應(yīng)答答給。接收收到應(yīng)答答后，更更新其AARP緩緩存。這這樣，在在主機上的的IP地地址就對對應(yīng)的的MACC地址。但是，在發(fā)發(fā)數(shù)據(jù)包包給時

29、時，仍然然會在局局域網(wǎng)內(nèi)內(nèi)尋找11011011002的MMAC地地址，不不會把包包發(fā)給路路由器，這時就就需要進進行ICCMP重重定向，告訴主主機到到101010002的的最短路路徑不是是局域網(wǎng)網(wǎng)，而是是路由，請主機機重定向向路由路路徑，把把所有到到101010002的的包發(fā)給給路由器器。主機機在接接受到這這個合理理的ICCMP重重定向后后，修改改自己的的路由路路徑，把把對100100100022的數(shù)據(jù)據(jù)包都發(fā)發(fā)給路由由器。這這樣攻擊擊方就就能得到到來自內(nèi)內(nèi)部網(wǎng)段段的數(shù)據(jù)據(jù)包。四、ARRP攻擊擊的分類類4.1、ARPP 欺騙騙攻擊“中間人人”攻擊擊，又稱稱為ARRP雙向向欺騙。它的基基本原理理就

30、是將將自己的的主機插插入到兩兩個目標標主機通通訊路徑徑之間。截獲兩兩個目的的主機直直接的通通訊數(shù)據(jù)據(jù)。假設(shè)設(shè)有三臺主機機(如圖圖1所示示)，正正常下AA與C直直接的通通訊是不不可見的的，但是是利用“中間人人，的欺欺騙技術(shù)術(shù)，主機機B可以以實現(xiàn)交交換機網(wǎng)網(wǎng)絡(luò)下的的嗅探。其主要要步驟如如下:1、主機機B向主主機A發(fā)發(fā)送一個個非法的的ARPP響應(yīng)包包，里面面包括主主機C的的IP地地址和主主機B的的MACC地址，主機AA收到這這個包后后并沒有有去驗證證包的真真實性就就把ARRP緩存存中C的的地址篡篡改為BB的MAAC地址址。2、主機機B也向向主機CC發(fā)送一一個非法法的ARRP包，里面包包含了AA的IP

31、P地址和和B的MMAC地地址，由由于ARRP協(xié)議議的漏洞洞，主機機C也沒沒有驗證證ARPP的真實實性就把把ARPP緩存中中A的MMAC地地址改為為B的MMAC地地址。3、主機機B啟動動IP轉(zhuǎn)轉(zhuǎn)發(fā)功能能。主機機A與CC的所有有直接的的通訊將將經(jīng)過BB，再由由B轉(zhuǎn)發(fā)發(fā)給他們們。這樣樣主機BB就成功功的對網(wǎng)網(wǎng)內(nèi)的用用戶進行行了ARRP欺騙騙。4.2、網(wǎng)絡(luò)監(jiān)監(jiān)聽 由圖11可知，當(dāng)攻擊擊者B想想要截取取主機CC對外網(wǎng)網(wǎng)通訊的的信息時時，主機機B會給給主機CC和網(wǎng)關(guān)關(guān)D發(fā)送送一個欺欺騙的AARP應(yīng)應(yīng)答包，根據(jù)“中間人人”的欺欺騙原理理，主機機C和網(wǎng)網(wǎng)關(guān)D都都會認為為主機BB是對方方，這樣樣主機CC看似能能

32、于外網(wǎng)網(wǎng)進行通通訊了，然而實實際上它它的通訊訊信息卻卻受到主主機B的的監(jiān)聽。此時，主機BB不僅可可以完成成監(jiān)聽，還可以以隨意改改變數(shù)據(jù)據(jù)包中的的信息，并成功功轉(zhuǎn)發(fā)數(shù)數(shù)據(jù)包。假如主主機B在在區(qū)域網(wǎng)網(wǎng)上廣播播一個IIP地址址為網(wǎng)關(guān)關(guān)的欺騙騙ARPP通知包包，并篡篡改網(wǎng)關(guān)關(guān)D的AARP緩緩存內(nèi)的的IP-MACC映射，主機BB則可以以監(jiān)聽區(qū)區(qū)域網(wǎng)內(nèi)內(nèi)與外網(wǎng)網(wǎng)的所有有通訊信信息。大大部分的的木馬或或病毒都都使用該該ARPP欺騙攻攻擊手段段到達攻攻擊的目目的。4.3、廣泛拒拒絕服務(wù)務(wù)攻擊DDOS 拒絕服服務(wù)攻擊擊DOSS就是使使目標主主機不能能正常響響應(yīng)外界界請求，不能對對外提供供服務(wù)。拒絕服服務(wù)攻擊擊主

33、要有有以下44種方式式:1、進攻攻主機持持續(xù)響應(yīng)應(yīng)本網(wǎng)絡(luò)絡(luò)內(nèi)的所所有ARRP應(yīng)答答，并且且應(yīng)答為為一個虛虛構(gòu)的MMAC地地址，那那么目的的主機向向外發(fā)送送的所有有數(shù)據(jù)幀幀都會丟丟失，使使得上層層應(yīng)用忙忙于處理理這種異異常而無無法響應(yīng)應(yīng)外來請請求，也也就導(dǎo)致致目標主主機產(chǎn)生生拒絕服服務(wù)。2、進攻攻主機持持續(xù)響應(yīng)應(yīng)本網(wǎng)絡(luò)絡(luò)所有的的ARPP進行應(yīng)應(yīng)答，并并且應(yīng)答答包內(nèi)的的MACC地址全全部為本本子網(wǎng)網(wǎng)網(wǎng)關(guān)的MMAC地地址，由由于網(wǎng)關(guān)關(guān)自身有有IP轉(zhuǎn)轉(zhuǎn)發(fā)功能能的，那那么本子子網(wǎng)內(nèi)所所有的數(shù)數(shù)據(jù)通訊訊都需要要網(wǎng)關(guān)進進行一次次轉(zhuǎn)發(fā)，這樣就就無形中中增加了了網(wǎng)關(guān)的的負荷，會導(dǎo)致致網(wǎng)關(guān)超超負荷而而崩潰或或者等

34、待待隊列過過長，進進而使子子網(wǎng)主機機內(nèi)部之之間，子子網(wǎng)主機機與外網(wǎng)網(wǎng)主機之之間的通通訊全部部失敗或或者收發(fā)發(fā)數(shù)據(jù)超超時。 33、一般般交換網(wǎng)網(wǎng)絡(luò)采用用的多是是二層交交換機，此類交交換機自自身維護護著一個個ARPP緩存，用于映映射MAAC地址址對應(yīng)的的交換機機的端口口號，這這個緩存存中可容容納的映映射條數(shù)數(shù)是有限限的。如如果進攻攻主機發(fā)發(fā)送大量量的包含含不同MMAC地地址的AARP包包，當(dāng)數(shù)數(shù)量足夠夠多時，就有可可能造成成交換機機DOSS，不能能正常轉(zhuǎn)轉(zhuǎn)發(fā)數(shù)據(jù)據(jù)包，使使得交換換機所連連接的所所有網(wǎng)絡(luò)絡(luò)中斷。4、如果果某一子子網(wǎng)中存存在著許許多像路路由器或或者提供供NATT服務(wù)的的服務(wù)器器這些具具

35、有IPP轉(zhuǎn)發(fā)功功能的主主機，利利用ARRP篡改改的技術(shù)術(shù)則可以以實現(xiàn)多多種形式式的信息息洪泛。假設(shè)某某子網(wǎng)包包含了具具有IPP轉(zhuǎn)化功功能的主主機1、2和33，通過過ARPP欺騙，把主機機1的AARP緩緩存中默默認網(wǎng)關(guān)關(guān)對應(yīng)的的MACC地址改改為主機機2的MMAC地地址，利利用同樣樣的方法法把主機機2的AARP緩緩存的默默認網(wǎng)關(guān)關(guān)對應(yīng)的的MACC地址改改為主機機3的MMAC地地址，這這樣主機機1到網(wǎng)網(wǎng)關(guān)的數(shù)數(shù)據(jù)通道道就變成成了1-2-33-網(wǎng)關(guān)，如果11的數(shù)據(jù)據(jù)流量很很大，則則2, 3也會會有較高高的負荷荷，并且且分析可可知被欺欺騙后子子網(wǎng)的通通訊流量量是原來來的三倍倍。從而而形成訊訊息洪泛泛，

36、整個個子網(wǎng)的的性能就就急劇降降低了。4.4、 IPP地址沖沖突 進攻主主機發(fā)送送更改后后的ARRP報文文，其包包括目的的主機的的IP地地址和偽偽裝的MMAC地地址，當(dāng)當(dāng)系統(tǒng)檢檢測到兩兩個不同同的MAAC地址址對應(yīng)同同一個IIP地址址則會提提示IPP地址沖沖突，在在Winndowws操作作系統(tǒng)中中彈出警警告對話話框，UUnixx/Liinuxx操作系系統(tǒng)上表表現(xiàn)為系系統(tǒng)以mmaill方式等等警告用戶戶，這兩兩種情況況下都會會使目的的主機發(fā)發(fā)生網(wǎng)絡(luò)絡(luò)中斷。4.5、克隆攻攻擊如今，攻攻擊者已已經(jīng)能修修改網(wǎng)絡(luò)絡(luò)接口的的MACC地址。攻擊者者首先對對目標主主機進行行拒絕服服務(wù)攻擊擊，使其其不能對對外部做

37、做出任何何反應(yīng)。然后攻攻擊者就就可以將將自己的的MACC地址與與IP地地址分別別改為目目標主機機的MAAC地址址與IPP地址，這樣攻攻擊者的的主機就就變成了了目標主主機的副副本，從從而進一一步偽裝裝了自己己更進一一步的實實施各種種非法攻攻擊，竊竊取各種種通信數(shù)數(shù)據(jù)。五、防范范ARPP攻擊的的解決方方案5.1、設(shè)置靜靜態(tài)的AARP緩緩存表ARP協(xié)協(xié)議進攻攻最根本本的原理理就是改改變IPP地址與與MACC地址對對應(yīng)關(guān)系系，所以以可以通通過設(shè)置置靜態(tài)的的ARPP緩存表表來防止止ARPP協(xié)議攻攻擊。設(shè)設(shè)置靜態(tài)態(tài)ARPP表有兩兩種方法法，一是是在目的的主機的的ARPP緩存中中設(shè)置靜靜態(tài)的地地址映射射記錄

38、，二是在在三層交交換機設(shè)設(shè)置IPP- MAAC地址址對應(yīng)表表。在三三層交換換機上設(shè)設(shè)置后，攻擊主主機就沒沒有機會會應(yīng)答向向其他主主機發(fā)送送ARPP請求。如果攻攻擊者在在未收到到ARPP請求的的情況下下仍憑空空偽造AARP應(yīng)應(yīng)答請求求發(fā)送給給其他主主機，三三層交換換機將拒拒絕用偽偽造的數(shù)數(shù)據(jù)更新新ARPP緩存表表中的靜靜態(tài)記錄錄。這種種方法比比較簡單單，比較較直觀，但是在在經(jīng)常要要更換IIP地址址且有較較多主機機的的局局域網(wǎng)里里，這種種方法就就顯得十十分繁瑣瑣，工作作量大。在目的主主機的AARP緩緩存中設(shè)設(shè)置靜態(tài)態(tài)的地址址映射記記錄的具具體方法法為：用戶在DDOS提提示符下下執(zhí)行 arpp aa

39、命令，看到C:“DDocuumennts andd Seettiingss“usseraarp -aInteerfaace: 100.100.1000.11 - 00 x2Inteerneet AAddrresss PPhyssicaal AAddrresss Typpe10.110.1100.2544 00-40-66-77-88-d7 dyynammic其中100.100.1000.2254和和00-30-6d-bc-9c-d7分分別為網(wǎng)網(wǎng)關(guān)的IIP 地地址和MMAC地地址，因因用戶所所在的區(qū)區(qū)域、樓樓體和交交換機不不同，其其對應(yīng)網(wǎng)網(wǎng)關(guān)的IIP地址址和MAAC地址址也不相相同?；蛘呔帉憣懸?/p>

40、個批批處理文文件arrp.bbat，實現(xiàn)將將交換機機網(wǎng)關(guān)的的MACC地址和和網(wǎng)關(guān)的的IP地地址的綁綁定，內(nèi)內(nèi)容 echho ooff arpp -dd arrp -s 10.10.1000.2554 00-40-66-77-88-d7 用戶應(yīng)該該按照第第一步中中查找到到的交換換機網(wǎng)關(guān)關(guān)的IPP地址和和MACC地址，填入aarp -s后面面即可，同時需需要將這這個批處處理軟件件拖到“winndowws-開始-程序序-啟啟動”中中，以便便用戶每每次開機機后計算算機自動動加載并并執(zhí)行該該批處理理文件，對用戶戶起到一一個很好好的保護護作用。5.2、交換機機上綁定定端口和和MACC地址交換機的的每一個個

41、端口都都對應(yīng)著著一臺主主機，而而每一臺臺主機的的MACC都是唯唯一的。設(shè)置交交換機的的每一個個端口與與MACC地址相相對應(yīng)，如果來來自該端端口的MMAC地地址與之之前的MMAC地地址不相相符，就就自動封封鎖該端端口，使使其不能能連接到到局域網(wǎng)網(wǎng)。這樣樣，進攻攻主機就就無法發(fā)發(fā)送偽造造的ARRP數(shù)據(jù)據(jù)幀，從從而有效效的防止止了ARRP欺騙騙的發(fā)生生。在交交換機中中，綁定定端口和和MACC地址通通常用到到ACLL配置。訪A控控制列表表(Acccesss CConttroll Liist, ACCL)通通過一系系列的匹匹配條件件對數(shù)據(jù)據(jù)包進行行分類，交換機機根據(jù)AACL中中指定的的條件來來檢測數(shù)數(shù)據(jù)

42、包，從而決決定是轉(zhuǎn)轉(zhuǎn)發(fā)還是是丟棄該該數(shù)據(jù)包包。下面面我們結(jié)結(jié)合一個個實例來來說明該該問題。如圖22，三層層華為交交換機SS35336E Swiitchh A有有兩個端端口Ettherrnett 0/1、EEtheerneet 00/2分分別屬于于vlaan 11、vllan22, vvlann 1, vllan 2的三三層接口口地址分分別是11.0.0.11/8.2.00.0.1/88。組網(wǎng)網(wǎng)要求是是靜態(tài)MMac、端口捆捆綁:端端口Ettherrnett 0/ 1僅僅僅允許許pcll(Maac:11 .11.1)接入。1、創(chuàng)建建ACLL Swwitcch AA AACL numm 200002

43、、定義義規(guī)則禁禁止00/1去去往任意意端口的的數(shù)據(jù)包包 SSwittchAA-accl一llinkk-2000 rulle 00 deeny inggresssinnterrfacce ee0/11 eggresss aany3、定義義規(guī)則允允許1.1.11的MAAC地址址從EOO門發(fā)住住任意端端口 SwwitcchA-acll一liink-2000 rrulees 11 peermiitinngreess 1 .1.11 innterrfacce ee0/11 eggresss aany4、下發(fā)發(fā)訪問控控制列表表 Swwitcch AA ppackket-fillterr liink-gro

44、oup 20000由上可知知，當(dāng)區(qū)區(qū)域網(wǎng)要要加入一一臺主機機或者移移除一臺臺主機的的時候都都得手工工配置，該方法法雖然能能夠比較較好的防防止ARRP病毒毒，但是是缺點是是不靈活活。5.3、VLAAN技術(shù)術(shù)一般情況況下，AARP廣廣播包是是不能跨跨子網(wǎng)或或者網(wǎng)段段傳播的的，言下下之意就就是說子子網(wǎng)、網(wǎng)網(wǎng)段可以以隔離廣廣播包。一個VVLANN就是一一個邏輯輯廣播域域，通過過VLAAN技術(shù)術(shù)可以在在局域網(wǎng)網(wǎng)中創(chuàng)建建多個子子網(wǎng)，就就在局域域網(wǎng)中隔隔離了廣廣播，縮縮小了廣廣播范圍圍，也就就減小了了廣播風(fēng)風(fēng)暴的產(chǎn)產(chǎn)生的幾幾率。如如果利用用VLAAN技術(shù)術(shù)將相互互信任的的主機所所在的安安全子網(wǎng)網(wǎng)與進攻攻者可

45、能能訪問的的不安全全子網(wǎng)隔隔離開來來，對不不安全的的子網(wǎng)中中采用AARP靜靜態(tài)記錄錄。在安安全的子子網(wǎng)中，就可以以采用最最基本的的方法發(fā)發(fā)送ARRP請求求，安全全子網(wǎng)的的主機與與不安全全子網(wǎng)的的主機通通訊由三三層交換換機做“代理”，三層層交換機機采用靜靜態(tài)記錄錄來抵御御來與不不安全子子網(wǎng)上進進攻者實實施的AARP進進攻。從從效果來來看，就就解決了了上段最最后提出出的問題題，即安安全子網(wǎng)網(wǎng)中的主主機與不不安全子子網(wǎng)上的的主機通通信時，只相信信來自于于三層交交換機(相當(dāng)于于ARPP服務(wù)器器)的AARP響響應(yīng)。而而且劃分分過后的的局域網(wǎng)網(wǎng)，即使使其中的的一個VVLANN受到AARP攻攻擊后，也不影影

46、響其他他VLAAN主機機的工作作。同時時VLAAN的劃劃分對于于ARPP病毒定定位非常常有幫助助，能快快速的定定位受進進攻的主主機。5.4、建立信信任IPP-MACC地址映映射表上面兩種種方法的的不足之之處都是是需要手手動的維維護靜態(tài)態(tài)記錄，工作比比較分散散。為了了解決這這個問題題，可以以在局域域網(wǎng)內(nèi)部部指定一一臺主機機作為AARP服服務(wù)器來來集中管管理，用用它來保保存和維維護局域域網(wǎng)內(nèi)相相對可靠靠主機的的IP-MACC地址映映射記錄錄。當(dāng)局局域網(wǎng)內(nèi)內(nèi)有ARRP請求求時，服服務(wù)器就就通過查查詢自己己的ARRP緩存存的靜態(tài)態(tài)記錄并并以被查查詢主機機的名義義響應(yīng)AARP請請求，并并且服務(wù)務(wù)器按照照

47、一定的的時間間間隔在局局域網(wǎng)內(nèi)內(nèi)廣播正正確的IIP- MACC地址表表。同時時，設(shè)置置局域網(wǎng)網(wǎng)內(nèi)部的的其他主主機只使使用來自自ARPP服務(wù)器器的ARRP響應(yīng)應(yīng)。這個個方法看看起來很很完美，但是目目前還很很難將主主機配置置成只相相信來自自ARPP服務(wù)器器的ARRP響應(yīng)應(yīng)。在這這介紹一一種通過過交換機機實現(xiàn)對對信任IIP地址址和MAAC地址址管理的的方法，DHCCP SSNOOOPINNG即DDHCPP服務(wù)器器的二層層監(jiān)聽功功能，在在交換機機上開啟啟DHCCP SSNOOOPINNG功能能后，以以太網(wǎng)交交換機就就可以通通過監(jiān)聽聽DHCCPACCK或DDHCPPREQQUESST報文文，記錄錄DHC

48、CP客戶戶端IPP地址與與MACC地址的的對應(yīng)關(guān)關(guān)系，通通過設(shè)置置DHCCP SSNOOOPINNG信任任端口，保證主主機能從從合法的的服務(wù)器器獲取IIP地址址，從而而實現(xiàn)了了對不信信任DHHCP報報文的過過濾功能能。這樣樣進攻者者將無法法偽造AARP應(yīng)應(yīng)答包，也不能能通過MMAC地地址替換換來達到到嗅探的的目的了了。在這這里要注注意的是是D日CCPSnnooppingg表只記記錄了通通過DHHCP方方式動態(tài)態(tài)獲取IIP地址址的客戶戶端信息息。如果果主機的的IP地地址固定定的，必必須在交交換機上上手工配配置IPP靜態(tài)綁綁定表的的表項，即要綁綁定用戶戶的IPP地址、MACC地址及及連接該該用戶的

49、的端口。5.5、ARPP報文限限速由廣泛拒拒絕服務(wù)務(wù)攻擊DDOS來來看，AARP欺欺騙還有有一個特特征就是是不斷的的發(fā)送AARP欺欺騙包，以達到到欺騙的的目的。對于該該類的廣廣泛DOOS，我我們可以以通過設(shè)設(shè)置三層層交換機機的ARRP報文文限速避避免其進進攻。AARP報報文限速速就是限限制端口口接受AARP報報文的單單位時間間的數(shù)量量。當(dāng)通通過交換換機啟動動某個端端口的AARP報報文限速速功能后后，交換換機會統(tǒng)統(tǒng)計該端端口每秒秒內(nèi)接收收的ARRP報文文數(shù)量，如果每每秒內(nèi)統(tǒng)統(tǒng)計到的的的ARRP報文文數(shù)量超超過設(shè)定定值，則則認為該該端受到到ARPP報文攻攻擊。此此時，交交換機將將關(guān)閉該該端口，使其

50、不不再接收收任何報報文，經(jīng)經(jīng)過一段段時間自自動恢復(fù)復(fù)被關(guān)閉閉的端口口的開啟啟狀態(tài)。從而避避免大量量ARPP報文攻攻擊設(shè)備備。需要要注意的的是ARRP包的的速率限限制要根根據(jù)具體體環(huán)境而而設(shè)置，需要測測試后才才能實施施。六、ARRP欺騙騙的檢測測6.1、ARPP地址欺欺騙攻擊擊者的定定位利用AARP協(xié)協(xié)議的漏漏洞，攻攻擊者對對整個局局域網(wǎng)的的安全造造成威脅脅，那么么，怎樣樣才能快快速檢測測并定位位出局域域網(wǎng)中的的哪些機機器在進進行ARRP地址址欺騙攻攻擊呢?面對著著局域網(wǎng)網(wǎng)中成百百臺電腦腦，一個個一個地地檢測顯顯然不是是好辦法法。其實實，我們們只要利利用ARRP病毒毒的基本本原理：發(fā)送偽偽造的A

51、ARP欺欺騙廣播播，中毒毒電腦自自身偽裝裝成網(wǎng)關(guān)關(guān)的特性性，就可可以快速速鎖定中中毒電腦腦?？梢砸栽O(shè)想用用程序來來實現(xiàn)以以下功能能：在網(wǎng)網(wǎng)絡(luò)正常常的時候候，牢牢牢記住正正確網(wǎng)關(guān)關(guān)的IPP地址和和MACC地址，并且實實時監(jiān)控控來自全全網(wǎng)的AARP數(shù)數(shù)據(jù)包，當(dāng)發(fā)現(xiàn)現(xiàn)有某個個ARPP數(shù)據(jù)包包廣播，其IPP地址是是正確網(wǎng)網(wǎng)關(guān)的IIP地址址，但是是其MAAC地址址竟然是是其他電電腦的MMAC地地址的時時候，這這時，無無疑是發(fā)發(fā)生了AARP欺欺騙。對對此可疑疑MACC地址報報警，再再根據(jù)網(wǎng)網(wǎng)絡(luò)正常常時候的的IP一一MACC地址對對照表查查詢該電電腦，定定位出其其IP地地址，這這樣就定定位出攻攻擊者了了。

52、66.2、ARPP欺騙攻攻擊的檢檢測6.2.1、命命令行法法 在CMMD命令令提示窗窗口中利利用系統(tǒng)統(tǒng)自帶的的ARPP命令即即可完成成。當(dāng)局局域網(wǎng)中中發(fā)生AARP欺欺騙的時時候，攻攻擊者會會向全網(wǎng)網(wǎng)不停地地發(fā)送AARP欺欺騙廣播播，這時時局域網(wǎng)網(wǎng)中的其其他電腦腦就會動動態(tài)更新新自身的的ARPP緩存表表，將網(wǎng)網(wǎng)關(guān)的MMAC地地址記錄錄成攻擊擊者本身身的MAAC地址址，此時時，我們們只要在在其受影影響的電電腦中使使用“AARP -a”命令查查詢一下下當(dāng)前網(wǎng)網(wǎng)關(guān)的MMAC地地址，就就可知道道攻擊者者的MAAC地址址。我們們輸入“ARPP -aa，命命令后的的返回信信息如下下： Intternnet

53、Adddresss Phyysiccal Adddresss TTypee 1922.1668.00.12200-50-56-e6-49-56ddynaamicc由于于當(dāng)前電電腦的AARP表表是錯誤誤的記錄錄，因此此，該MMAC地地址不是是真正網(wǎng)網(wǎng)關(guān)的MMAC地地址，而而是攻擊擊者的MMAC地地址。這這時，再再根據(jù)網(wǎng)網(wǎng)絡(luò)正常常時，全全網(wǎng)的IIP-MMAC地址對對照表，查找攻攻擊者的的IP地地址就可可以了。由此可可見，在在網(wǎng)絡(luò)正正常的時時候，保保存一個個全網(wǎng)電電腦的IIP-MMA CC地址對對照表是是多么的的重要。可以使使用nbbtsccan工工具掃描描全網(wǎng)段段的IPP地址和和MACC地址，保存

54、下下來，以以備后用用。 66.2.2、工具軟軟件法 現(xiàn)現(xiàn)在網(wǎng)上上有很多多ARPP病毒定定位工具具，其中中做得較較好的是是Antti AARP。利用此此類軟件件，我們們可以輕輕松地找找到ARRP攻擊擊者的MMAC地地址。然然后，我我們再根根據(jù)欺騙騙機的MMAC地地址，對對比查找找全網(wǎng)的的IP-MACC地址對對照表，即可快快速定位位出攻擊擊者。 6.22.3、Sniiffeer抓包包嗅探法法 當(dāng)局域域網(wǎng)中有有ARPP地址欺欺騙時，往往伴伴隨著大大量的AARP欺欺騙廣播播數(shù)據(jù)包包，這時時，流量量檢測機機制應(yīng)該該能夠很很好地檢檢測出網(wǎng)網(wǎng)絡(luò)的異異常舉動動，利用用Ethhereeal之之類的抓抓包工具具找出大大量發(fā)送送ARPP廣播