毕业设计（论文）ARP病毒的攻击与防范.doc

《毕业设计（论文）ARP病毒的攻击与防范.doc》由会员分享，可在线阅读，更多相关《毕业设计（论文）ARP病毒的攻击与防范.doc（57页珍藏版）》请在三一办公上搜索。

1、XXXXXXXX专科毕业设计（论文） 题 目 ARP病毒的攻击与防范学生姓名 XXXXX 专业班级 07信息安全技术二班 学 号 XXXXXXXX 系 别 计算机系 指导教师(职称) XXXXXXX 完成时间 2010年4月10日 ARP病毒的攻击与防范摘 要ARP攻击是指黑客利用ARP协议缺陷的基本原理，通过在区域内一台终端或服务器上发布欺骗ARP广播包以达到进行盗取用户帐号、篡改网站内容、嵌入恶意代码、发布不良信息、监听传输数据等非法活动的目的。ARP欺骗原理在过去常被运用到简单的拒绝服务攻击中。然而，随着大量缺乏管理且使用者流动性较大的网吧与其他公共上网环境的普及，互联网上开始出现许多由

2、ARP基本攻击与侦听、网页篡改等黑客技术相互结合的攻击方式。这种ARP攻击之所以能在各类公共上网设施内迅速蔓延是因为在拥有上千台机器的公众上网环境或对外服务的IDC托管机房中，同一网段中往往有着来自不同单位或不同人群使用的各类终端与服务器，由于其中各类系统的安全责任点归属复杂、使用人员流动性大，造成环境内安全管理漏洞较大、安全盲点较多，从而使新一代以ARP欺骗为基础的网页挂码或重定向攻击得以滋生。而且，ARP攻击相对与通常攻击方式可能造成的更大的破坏在于：一般来说IP地址的冲突可以通过多种方法和手段来避免，而ARP协议工作在更底层协议上，隐蔽性更高。系统并不会判断ARP缓存的正确与否，无法像I

3、P地址冲突那样给出提示。很多黑客工具可以随时发送ARP欺骗数据包和ARP恢复数据包，这对于公众上网环境来说，就可以在任何权限的终端计算机上通过发送ARP数据包的方法来控制网络中任何一台计算机甚至服务器或网络设备的网络连接、侦探通讯数据、篡改数据包以加入病毒代码或不良信息进行传播。黑客还可以最大化的利用ARP欺骗原理，将其与其他攻击方法组合后运用于多种攻击，如，侦听、拒绝服务、挂载病毒等。从而达到多种攻击目的，如：窃取信息、病毒传播、破坏网络路由，暴力广告等等。从对于ARP攻击的防范角度来说，ARP攻击的防范也比一般网络安全防范更加困难。因为ARP广播协议本身存在的缺陷，使得即使一个网吧或网站系

4、统管理员能保证自己的服务器与网络交换设备本身没有漏洞，他也无法辨别来自网络范围内任何一台机器的ARP数据包的真伪。所以，对付此类违法犯罪活动，传统上从操作系统或交换设备的单点防御已无济于事。防止ARP攻击，需要从网络整体结构上加强对MAC地址的综合管理防止各机器ARP表混乱，并通过网络范围内ARP广播包分析以快速检测到攻击源位置。全国目前有越来越多的正规合法网吧和社区信息苑。ARP攻击对这些互联网公众上网环境的安全产生巨大威胁，攻击事件呈不断上升趋势，造成不良信息传播、信息窃取等违法行为对国家的安定团结社会的稳步发展有极为不利的影响。互联网信息安全管理工作面临着巨大挑战，深入研究以ARP为基础

5、的网页重定向、路由伪造的防范技术，加强对全国公众上网地点与公用托管机房的网络安全监管已经势在必行。通过对ARP攻击原理的剖析，并针对实际公众上网环境的特征，通过从规划、结构、系统三方面入手采取整体防范手段，形成以较小的成本在公众上网环境中有效抑制ARP攻击蔓延的解决方案。本文通过现象分析逐步推测出ARP的攻击原理。随后通过对ARP数据帧格式的解析，证明了ARP协议漏洞是可以被用作ARP欺骗。根据上述原理，尝试使用Socket编程实现了ARP欺骗数据包的构造和发送、MAN-IN-MIDDLE数据包侦听转发、DOS拒绝服务攻击等手段。在探讨ARP攻击的防御措施时，文章从MAC地址集中管理、ARP数

6、据包探测以及系统安全加固三方面进行论述。对于公众上网环境中存在可被ARP攻击的漏洞进行分析，并对整体防御构架进一步探索。关键词 ARP攻击/ARP协议/安全防护ARP Virus Attacks And PreventionABSTRACTARP attacks is a network attack method that using the basic principles of ARP protocol flaws to publish ARP broadcast frames through a terminal server or a deceive in the local net

7、work region. attackers can use ARP attack to distort the information of normal pages which users visit, embed alicious code, publish adverse information, steal user account, sniff the data on the network, and other illegal activities.In the past, ARP spoofing principle is often applied to a simple d

8、enial of service attack. However, Internet cafes and other public Internet access envi environment is often lack of management and have massive flows of the larger users group, so there are more ARP interception and deception, it combined with distortion of Web technology and other attacks. The reas

9、on of why this ARP attack was so easily access various public facilities is that in the external environment or the public Internet services or the IDC care room,there are thousands machines the same network segment, and there are often peoples come from different units or different groups use the v

10、arious terminals and servers. The complex ownership of various systems and the mobility of the staff and users result in more security loopholes and large blind spots in the network environmental management. Thus a new eneration of ARP spoofing based attacks which can redirect website and embed viru

11、s to html pages was breeding.Moreover, the ARP attack might cause greater damage than the usually attack. Generally, the IP address conflict can be avoided through a variety of ways, but the ARP work is in a low-rise and concealed higher. Not like the ARP address conflict, the system will not judge

12、the correctness of the ARP cache and suggest that. Many hacking tools can send ARP spoofing and ARP packets recover data packets at any time. That means in the public cess environment, hackers can sending ARP packet approach with any authority inthe computer terminal to the take control of any netwo

13、rk computer, etwork server or networking equipment, they can also sniff data communications, or make data packets to include virus code or unhealthy information. Hackers can also maximize the use of ARP spoofing by combine it with other attack methods, such as interception, denial of service, mount

14、virus. So it can chieve a variety of offensive purposes, such as the theft of information, thespread of the virus, network routing destruction, violence advertisements etc.From the point of view of ARP attack prevention, ARP attack revention is more difficult than the general precautions to prevent

15、network security. Because of the defect of ARP broadcasting agreement itself, even an Internet site or system administrator can ensure their servers and network switching equipment without flaws; the system is unable to distinguish the authenticity of a ARP packets from any machine within a network.

16、 So, to against such criminal activities, the traditional switching equipment from the operating system or the single-point defense has been useless. Preventing ARP attacksfrom the network we needs to strengthen overall structure of the MAC address of the integrated management of the machines to pre

17、vent confusion ARP table, and analysis the ARP broadcast network packet to detect fast attack source location.National currently has many regular legitimate Internet cafes and community information Court. ARP attacks on the public Internet access have a tremendous environmental security threats, the

18、 attack was the rising trend of adverse information dissemination, information theft and violationsof the countrys social stability and unity steady development of extremelyadverse impact. Internet information security management is faced with a great challenge, in-depth study based on the ARP websi

19、te redirects, routing counterfeit prevention technologies, strengthening of the citys thousands of Internet sites and public utility care network security monitoring room hasbeen inevitable. Through the analysis of the ARP Attack, and aim at the Public Internet environment of Shanghai, we can create

20、 a ARP attack defending solutions through adjust the network structure, planning, and system configuration. That way as a whole solution can prevent ARP attacks spreading in public internet environment effectively with a smaller cost.This paper demonstrates whole process of an ARP attack first, and

21、then gradually speculation the attacks principle through the phenomenon. Usingthe analysis of ARP data frame format proved that ARP loopholes can beused to ARP spoofing. According to this principle, we try to use the Socketprotocol Programming ARP spoofing packet structure, data transmission,MAN-IN-

22、MIDDLE data packets interception, and denial of service attacks. On discussing the defensive measures of ARP attack, the article depictionfrom the MAC address management, ARP packet sniff, and system securityreinforcement. Finally, through the actual experience of the Network security reinforcement

23、projects of Oriental Digital Community Court , weanalysis the ARP attack vulnerability on the large-scale public Internet environment, and discuss the overall defense framework for further exploration.KEY WORDS ARP Attack, ARP Protocol, Network Safety目 录第1章绪论11.1引言11.2研究背景及意义21.3本文研究内容和组织结构3第2章 ARP攻

24、击原理综述32.1ARP工作原理32.1.1以太网中的协议简介32.1.2ARP协议原理42.2 ARP攻击的危害62.3 ARP攻击程序结构72.4 ARP协议缺陷82.5 ARP表的操作方法122.6 ARP伪造帧格式132.7 ARP协议其他特性162.8 网关出口上的ARP欺骗202.9 IP数据包的截取与转发21第3章ARP欺骗攻击的实现243.1构造ARP欺骗帧243.2发送ARP欺骗帧283.3同时发向两台机器的“Man-In-The-Middle”293.4IP数据包的转发313.5MAC表溢出DOS攻击323.6侦听353.7用ARP攻击WINDOWS系统353.8对交换机攻

25、击353.9挂载病毒36第4章 ARP欺骗攻击防范384.1 ARP防护整体布局思路384.2计算机系统安全加固404.3 ARP杀毒软件404.4 ARP攻击探测器414.5 MAC地址集中管理424.5.1传统的交换机MAC地址管理434.5.2基于地址扫描的MAC中央管理43第5章总结与展望455.1主要结论455.2研究展望46致 谢47参考文献48第1章绪论1.1引言网络安全问题一直是网络发展中的突出问题，2008年5月公安部公共信息网络安全监察局举办的2008年度信息网络安全状况与计算机病毒疫情调查结果显示，我国信息网络安全事件发生比例为62.7%，计算机病毒感染率下降为85.5%

26、，感染计算机病毒、蠕虫和木马程序的情况依然最为突出，其次是网络攻击、端口扫描、垃圾邮件和网页篡改。在发生的安全事件中，攻击或传播源涉及内部人员的达到54%，比去年激增了15%；涉及外部人员的却锐减了18%。由此可见，计算机病毒对网络安全的影响仍然很大，发生在局域网的网络安全问题也更为突出，因此，网络安全形势依旧严峻。网络的飞速发展改变了人们的工作和生活，在带来便利的同时也带来了很多麻烦。由于网络安全问题的日益突出，使得计算机病毒、网络攻击和犯罪频繁发生。根据国家计算机病毒应急处理中心发布的中国互联网网络安全报告（2009年上半年）中的数据显示，2009年上半年，国家互联网应急中心（CNCERT

27、）通过技术平台共捕获约90万个恶意代码，比去年同期增长62.5%。每年都有相当数量具有一定影响力的新计算机病毒出现，它们造成的破坏和损失也更大，人们花费在病毒防治方面的精力和技术也越多。如2008年ARP（Address Resolution Protocol）病毒就表现很突出，江民公司发布的07年上半年病毒报告及十大病毒中病毒排名第四，瑞星公司发布的2007年上半年电脑病毒疫情和互联网安全报告中ARP病毒排名第六。造成信息和网络安全问题的因素很多，主要可归纳为两方面。一方面是技术方面的问题，目前的计算机操作系统和应用软件或多或少存在一定的安全漏洞，而攻击者恰恰利用了这些漏洞，由于计算机病毒防

28、治技术相对要落后于病毒攻击，因此会造成病毒在一定范围内蔓延；另一方面是管理方面的问题，由于管理人员的技术水平不足和管理不善造成的安全问题也层出不穷，系统漏洞修复的滞后和安全防护措施的不够给攻击者提供了机会。再加之，互联网是一个开放的系统，任何微小的漏洞和病毒都会快速蔓延，甚至殃及全球，因此网络安全问题不容忽视。ARP病毒很大程度上是因为技术方面的问题而导致的，因此，可以通过技术改进加以防范。1.2研究背景及意义ARP协议是一个基础协议，它的应用非常广泛。ARP由口层复用，用于解析局域网内任意合法第3层协议地址和第2层硬件地址之间的映射关系。ARP协议工作在局域网中，早期的协议设计者认为局域网是

29、可信赖的，同时为了考虑传输效率，没有加入安全机制。现在的网络规模已经今非昔比，局域网已经不再是原始意义上的局域网络，但ARP协议仍然扮演着同样重要的角色，攻击者正是利用了这一特点，利用该协议实现攻击目的。ARP欺骗攻击通过伪造IP地址和MAC地址映射来实现，它造成目标主机ARP高速缓存信息错误，从而影响网络通信、实施网络欺骗。目前，“ARP”骗技术正在被越来越多的病毒所使用，成为局域网安全的新杀手。病毒预报（2008-2009）报道，国家计算机病毒应急处理中心通过互联网络监测发现，一种新型“地址解析协议欺骗”（简称：ARP欺骗）的恶意木马程序的正在互联网络中传播，并且它会在局域网络中寻找网络数

30、据响应包，在包内加入恶意木马程序的代码信息，最终导致局域网中用户计算机系统感染木马程序，使得计算机系统中的信息篡改或丢失。该“ARP欺骗”的恶意木马程序入侵某个局域网中的计算机系统后，它会试图通过“ARP欺骗”手段截获所在局域网络内其它计算机系统的通信信息，导致该局域网出现突然掉线，过一段时间后又会恢复正常的现象。同时，网内的其他计算机系统也会受到影响，出现IP地址冲突、频繁断网、浏览器频繁出错，以及一些系统内常用软件出现故障等现象。除外，它会对局域网络中所有的数据包进行分析，过滤出网页浏览请求的应答数据包，并在数据包里面插入恶意代码，一旦计算机系统中的IE浏览器存在漏洞，那么计算机用户浏览网

31、页的同时就会自动下载并运行恶意木马程序。“ARP欺骗”类恶意木马程序的危害性比较大，特别是对校园网、网吧等局域网会造成大范围的破坏和影响，轻则影响网络使用，重则导致网络瘫痪，是个不容忽视的问题。目前，很多研究者已经给出了针对ARP欺骗攻击的防治方法，在一定程度上减少了ARP问题的发生，这类方法主要是通过保护ARP高速缓存等方法来实现，它们没有从根本上解决ARP欺骗问题，因为ARP欺骗问题的发生是因为ARP协议本身存在在不可信网络中运行的漏洞。本文将从ARP协议本身出发，分析ARP协议的不安全因素，并针对存在的问题给出解决的具体方法，达到从根本上解决ARP病毒问题的目的。1.3本文研究内容和组织

32、结构本文主要目的是通过研究ARP协议缺陷，来阐述ARP攻击原理。然后根据此原理剖析ARP侦听、病毒挂载等众多攻击手段。文章的创新点在于阐述了MAC地址绑定等常用方法只能针对单机防护，而在大型公众上网环境中必须以MAC地址集中管理、ARP广播包探测等综合管理手段相辅助，进行整体防护。文章最后以上海东方数字社区为实例说明综合防护手段的实施方法。第一章绪论。本章介绍了本文的课题研究背景，阐述了课题的研究目的以及意义，然后说明了本文的主要创新点和全文结构。第二章 ARP攻击原理综述。本章首先用实例说明ARP攻击的危害性，然后详细介绍ARP协议概念、ARP帧结构、以及其他相关概念。此章最后论证了ARP协

33、议缺陷是ARP攻击症结所在。第三章 ARP欺骗攻击的实现。本章通过Socket程序代码说明如何实现ARP欺骗攻击，然后通过程序代码叙述D.O.S拒绝服务攻击、侦听、病毒挂载、Windows系统攻击、交换机攻击等多种混合类攻击的实现原理。第四章 ARP欺骗攻击的防范。针对如何在拥有上千个终端大型社区网络中有效防止ARP攻击蔓延，本章比较了常用的MAC地址绑定、系统安全加固等方法指出要在大范围内防止ARP攻击需要用综合手段，并提出ARP攻击探测、MAC地址中央管理等适用于大型网络的新方法。第五章总结与展望。本章对全文的研究工作进行总结，提出了主要结论，并介绍了课题今后进一步的改进和发展方向。第2章

34、 ARP攻击原理综述2.1ARP工作原理2.1.1以太网中的协议简介IEEE的802标准委员会和802项目组定义了两种主要的LAN传输方法以太网和令牌环网。以太网在IEEE802.3规范中被定义为LAN标准，令牌环网则在IEEE802.5规范中定义。这两种方法的使用范围都很广泛，本文的研究针对以太网进行。以太网利用了总线和星形拓扑结构的优点，采用了CSMA/CD技术，网络上想要发送帧的结点与另外的结点竞争资源，没有哪个结点的优先级比其他结点高，帧按照物理地址查找其特定的目标，以太网通过一个广播信道向所有结点发送数据，处于同一广播域的结点都会收到该数据。虽然每台主机都由一个IP地址，但是IP地址

35、是运行TCP/IP协议机器的通用标识，IP地址自身不能使报文到达其目的地，数据传输必须依靠网络适配器唯一的硬件地址，该地址也被称为MAC地址或者数据链路地址，该地址通常在网络适配器生产厂家唯一编址，具有全球唯一性。以太网中的硬件地址采用48位长度表示，ARP协议为IP地址到对应的硬件地址之间提供动态映射脚，因此，担负IP地址和硬件地址转换的ARP协议具有非常重要的地位。2.1.2ARP协议原理ARP协议起初是为DEC/Intel/Xerox的10兆以太网设计的，现在已允许用在其它类型的网络上。当来自上层的数据要发送时，需要知道目标主机的硬件地址，这时就需要通过IP地址找到相应的硬件地址，网络接

36、口输出函数会调用ARP协议进行ARP解析。ARP解析函数发送ARP请求（作为广播包发送），目标主机收到ARP请求后发送ARP应答（作为单播包发送），当发送主机收到ARP应答后就可发送数据。为了避免频繁发送ARP请求和应答，实现时在主机中都会有一个ARP高速缓存用来存放已经解析成功的ARP信息，所以通常数据发送前先查找ARP高速缓存，找不到时才会发送ARP请求。2.1.2.1ARP分组格式RFC826定义了ARP分组的格式，在以太网上使用的ARP分组格式见图2-1。该分组由以太网首部和以太网ARP字段两部分组成。图2-1ARP的分组格式（1）以太网首部：以太网首部包括以太网目的地址、以太网源地址

37、和帧类型三部分，以太网目的地址是通信目的端的MAC地址，长度为48位，目的地址为全1是广播地址，这时，电缆上的所有以太接口都要接收此数据并进行处理。以太网源地址是通信源端的MAC地址，长度为48位。帧类型表示以太网首部所携带数据的类型，如果是IP帧则为0x0800，如果是帧则为0x0806。（2）以太网ARP字段：包括ARP首部和ARP数据两部分。其中ARP首部包括硬件类型、协议类型、硬件地址长度、协议地址长度和操作码五部分，硬件类型字段值为1表示是以太网地址，协议类型字段值为0x8000表示IP地址，硬件地址长度为6表示是以太网硬件地址，协议地址长度字段值为4表示是IP地址，操作码指出了AR

38、P操作的四种类型，其中ARP请求值为1，ARP应答值为2，RARP请求和应答分别人3和4（可参见RARP协议的相关资料，本文不进行介绍）；ARP数据部分包括了发送方硬件地址、发送方IP地址、目的硬件地址和目的IP地址，它们根据不同情况进行填充，ARP请求包填充除目的硬件地址以外的所有数据，而应答数据则填充全部数据。2.1.2.2ARP发包和收包流程（1）发包当网络层往下传来一个包，路由选择将确定该包下一跳的协议地址（目的主机的口地址），为了正确发送该数据包，必须知道目的主机的硬件地址，这时就需要进行IP地址至MAC地址的解析，为此需要发送ARP请求，即发送一个帧类型字段为0x0806的以太网包

39、，该包中以太网目的地址全为（ARP请求以广播形式发送），除了目的硬件地址外全部填充，其中以太网源地址、发送者硬件地址和发送者IP地址填充本机的信息，ARP操作码填充1，协议地址长度填充4，硬件地址长度填充6，目的IP地址填充路由确定的下一跳协议地址，目的硬件地址的值是想要得到的值。ARP请求包会被广播到所有在以太网电缆上的主机，如果目的主机得到该ARP请求包则会发送一个ARP应答包，如果一定时间没有收到ARP应答包，则会继续发送若干次，如果还没有收到应答包，则认为该主机不可达到，停止发送ARP请求。为了提高通信效率，通常主机中会保存已经解析到的IP和MAC地址的映射，通常称之为ARP高速缓存。

40、它保存了IF索引（物理接口索引）、IP和MAC地址的映射，以及该映射的类型信息等，类型有4种可能的值，值2意味着表项是无效的，值3意味着映射是动态的（表项可能改变），值4说明是静态项（表项不变化），值1意味着不是上面的任何一种情况。动态表项有一定的生存期，动态ARP表项如果在一定时间没有被使用，则会因超时被删除，如果在生存期内被使用，则生存期会被重置为最大值。通常，在数据发送前先会查找ARP高速缓存寻找相应的MAC地址，如果没有找到才会发送相应的ARP请求。免费ARP主机在启动时会主动发送一个ARP请求包，该包中发送端的协议地址和目的端的协议地址一致。免费ARP包可以检测在以太网中是否存在IP

41、地址冲突，可以使其他机器更新其相应信息，使得网络通信快速恢复。如果发送免费ARP的主机正好改变了硬件地址（有可能是更换网络适配器，然后重新启动），那么这个免费ARP就可以使其它主机ARP高速缓存中旧的硬件地址进行相应的更新。（2）收包当接口收到ARP请求包后会进行检查，检查该包的硬件地址类型及长度和协议地址类型及长度是不是符合本接口，如果符合，那么在ARP高速缓存中查找发送者IP地址相关的映射，如果找到一个相符的表项，那么更新此表项（覆盖原来的硬件地址为新的硬件地址）。判断本机是不是通信的目标主机，如果是，并且没有进行过中的更新，那么更新高速缓存。如果收到的是一个ARP请求，那么生成一个相应的

42、ARP应答包，并且将这个ARP应答包发送给对方，ARP应答包以单播的形式发送，它填充了ARP包中的所有内容。2.2 ARP攻击的危害ARP欺骗不同于通常攻击可造成的巨大破坏。ARP欺骗可以造成内部网络的混乱，某些被欺骗的计算机无法正常访问内外网，让网关无法和客户端正常通信。实际上他的危害还不仅仅如此，一般来说IP地址的冲突我们可以通过多种方法和手段来避免，而ARP协议工作在更低层，隐蔽性更高。系统并不会判断ARP缓存的正确与否，无法像IP地址冲突那样给出提示。而且很多黑客工具，可以随时发送ARP欺骗数据包和ARP恢复数据包，这样就可以实现在一台普通计算机上通过发送ARP数据包的方法来控制网络中

43、任何一台计算机的网络连接截获其通讯数据并可做篡改以加入病毒代码进行传播，甚至还可以直接对网关进行攻击，让所有连接网络的计算机都无法正常上网。这点在以前是不可能的，因为普通计算机没有管理权限来控制网关所以说。ARP欺骗的危害是巨大的，而且非常难对付，非法用户和恶意用户可以随时发送ARP欺骗和恢复数据包，这样就增加了网络管理员查找攻击源的难度。归纳ARP欺骗类攻击的危害性如下：(1)攻击点范围广：不需要攻占具体服务器，在不获得目标主机的权限的条件下，只要在网络环境的任何一个点上安放一台“肉机”便可以感染整个网段；(2)攻击非常隐蔽：不需要改动任何目标主机的页面或者是配置,在网络传输的过程中间直接插

44、入病毒的代码；(3)发觉困难：如没有机房网络管理人员协助协查，服务器系统管理员光靠系统日志无法在短时间内找到攻击源；(4)恢复复杂：网站管理员即时发现被攻击后，但是从系统层面上无法自己清除；(5)攻击手段变化多样：黑客可以最大化的利用ARP欺骗，将他与其他攻击方法组合后运用于多种攻击，如，侦听、拒绝服务、挂载病毒。从而实现多中攻击目的，如：窃取信息、病毒传播、破坏网络路由，暴力广告等等；2.3 ARP攻击程序结构随着互联网的发展，ARP攻击已经从早期简单模式，即发送ARP回应包使收欺骗机器无法上网发展到不只是对ARP协议层的攻击。攻击者利用ARP信任局域的重大缺陷作为突破口，并通过一系列数据包

45、转发的方法模拟出正常的通讯手段来欺骗数据收发双方，然后作为一个透明的网关在当中进行监听与数据伪装的方法。图2-2 ARP攻击的结构框架图整个攻击的结构如图2-2所示，所有ARP类攻击的核心原理是ARP协议MAC地址欺骗。在数据链接层MAC地址欺骗基础上使用类似于路由器的数据包转发技术可形成对攻击目标的网络数据侦听。然后便可以与各种攻击方式相互结合，达到数据篡改、数据监听、停止服务攻击，以及病毒挂载的目的。2.4 ARP协议缺陷ARP攻击的突破口是ARP协议缺陷，为了说明黑客程序是如何进行ARP欺骗进而修改ARP表，首先需要研究ARP协议的工作原理。ARP协议是“Address Resoluti

46、on Protocol”（地址解析协议）的缩写。位于OSI网络七层模型中的第二层数据链路层。在数据链路层中网络中实际传输的封装数据包为数据“帧”，帧的传播寻址方法是依靠目标主机的MAC地址。在以太网中，一个主机要和另一个主机进行直接通信，必须要知道目标主机的MAC地址。这个目标MAC地址是通过地址解析协议获得的。 Internet上常用到DNS域名解析是将IP地址与域名对应起来，而数据链接层的“MAC地址解析”原理与DNS相似，其实就是将网卡的MAC硬件地址与IP地址对应，整个“MAC地址解析”的过程其实就是主机在发送帧前将目标IP地址转换成目标MAC地址的过程。而ARP协议的基本功能就是通过

47、目标设备的IP地址，查询目标设备的MAC地址，以保证通信的顺利进行。图2-3 互联网名字解析协议原理在图2-3所示的互联网名字解析方法中，每台使用TCP/IP协议上网的电脑内部都有一个ARP缓存表，表里的IP地址与MAC地址是一一对应的。这个高速缓存存放了最近Internet地址到硬件地址之间的映射记录。高速缓存中每一项的生存时间一般默认为2 0分钟（可通过注册表修改），缓存的起始时间从被创建时开始算起。ARP缓存表下图所示。图2-4 ARP缓存表举例说明IP-MAC地址表转换工作原理。在192.168.1.0网段中有四台主机，每台主机都会存有一张 IP-MAC地址对照关系如表2-2。表2-1IP-MAC地址对照关系根据表2-1的配置，以主机A（192.168.1）向主机B（192.168.2