【正文】 機(jī)的ARP緩存，因此ARP欺騙廣泛用于交換式以太網(wǎng)絡(luò)中。但這個(gè)目標(biāo)MAC地址是如何獲得的呢？它就是通過(guò)地址解析協(xié)議獲得的。如果找到了，也就知道了目標(biāo)MAC地址，直接把目標(biāo)地址寫(xiě)入幀里面發(fā)送就可以了；如果在ARP緩存表中沒(méi)有找到相對(duì)應(yīng)的IP地址，主機(jī)A就會(huì)在網(wǎng)絡(luò)上發(fā)送一個(gè)廣播，目標(biāo)MAC地址是“”，這表示向同一網(wǎng)段的所有主機(jī)發(fā)出這樣的詢問(wèn)：“？”網(wǎng)絡(luò)上其他主機(jī)并不響應(yīng)ARP詢問(wèn)，只有主機(jī)B接收到這個(gè)幀時(shí)，才向主機(jī)A做出這樣的回應(yīng)：“”的MAC地址是“00908181fc1a”。從上面可以看出，ARP協(xié)議的基礎(chǔ)是信任局域網(wǎng)內(nèi)部所有的人，那么就很容易實(shí)現(xiàn)在以太網(wǎng)上的ARP欺騙。A對(duì)這個(gè)變化一點(diǎn)都有意識(shí)到，但是接下來(lái)的事情就讓A產(chǎn)生了懷疑。打開(kāi)D的IP轉(zhuǎn)發(fā)功能，A發(fā)送過(guò)來(lái)的數(shù)據(jù)包，轉(zhuǎn)發(fā)給C，好比一個(gè)路由器一樣?，F(xiàn)在D就完全成為A與C的中間橋梁了，對(duì)于A和C之間的通迅就可以了如指掌了。由于ARP欺騙的木馬程序發(fā)作的時(shí)候會(huì)發(fā)出大量的數(shù)據(jù)包導(dǎo)致局域網(wǎng)通訊擁塞以及其自身處理能力的限制，用戶會(huì)感覺(jué)上網(wǎng)速度越來(lái)越慢。(3) 除非很有必要，否則停止使用ARP，將ARP做為永久條目保存在對(duì)應(yīng)表中。(6) 使用硬件屏蔽主機(jī)。(8) 管理員定期輪詢，檢查主機(jī)上的ARP緩存。進(jìn)行ARP綁定前首先要確定網(wǎng)絡(luò)是正常運(yùn)行的，然后再ARP綁定。圖21 ARP綁定界面(3) 選擇“ARP映射表”，打開(kāi)如下圖22界面。為了讓路由器重啟后這些綁定條目仍然有效，可以選擇“全部導(dǎo)入”把這些條目存入靜態(tài)ARP表，打開(kāi)“ARP綁定”設(shè)置，可以看到一個(gè)靜態(tài)的ARP映射表已經(jīng)建立?？梢渣c(diǎn)擊“取消所有綁定”把ARP表中的所有條目暫時(shí)取消，當(dāng)需要的時(shí)候點(diǎn)擊“綁定所有條目”就可以重新綁定這些條目。(3) 當(dāng)更換計(jì)算機(jī)時(shí)要更新靜態(tài)的ARP映射表。ICMP協(xié)議本身的特點(diǎn)決定了它非常容易被用于攻擊網(wǎng)絡(luò)上的路由和主機(jī)。這些控制消息雖然并不傳輸用戶數(shù)據(jù)，但是對(duì)于用戶數(shù)據(jù)的傳遞起著重要的作用。從因特網(wǎng)的角度看，因特網(wǎng)是由收發(fā)數(shù)據(jù)的主機(jī)和中轉(zhuǎn)數(shù)據(jù)的路由器組成。因此為了提高IP數(shù)據(jù)報(bào)交付成功的機(jī)會(huì)，反映數(shù)據(jù)報(bào)的投遞情況，因特網(wǎng)增加了因特序等情況，因此為了提高IP數(shù)據(jù)報(bào)交付成功的機(jī)會(huì)，反映數(shù)據(jù)報(bào)的投遞情況，因特網(wǎng)增加了因特網(wǎng)控制報(bào)文協(xié)議（ICMP），來(lái)向源發(fā)主機(jī)告知網(wǎng)絡(luò)環(huán)境中出現(xiàn)的問(wèn)題。ICMP主要是由連接在因特網(wǎng)上的某個(gè)結(jié)點(diǎn)（一般為路由器）檢測(cè)到IP數(shù)據(jù)因?yàn)槟撤N原因無(wú)法繼續(xù)轉(zhuǎn)發(fā)或投遞時(shí)啟動(dòng)ICMP報(bào)文的傳輸，一般ICMP消息在以下幾種情況下會(huì)被發(fā)送出來(lái)：(1) 當(dāng)數(shù)據(jù)報(bào)不能到達(dá)目的地時(shí)。ICMP報(bào)文的最終目標(biāo)不是應(yīng)用程序或目的用戶，而是該機(jī)上處理它的Internet協(xié)議軟件模塊。每個(gè)ICMP報(bào)文放在IP數(shù)據(jù)報(bào)的數(shù)據(jù)部分中通過(guò)互聯(lián)網(wǎng)，而數(shù)據(jù)報(bào)本身放在幀的數(shù)據(jù)部分中通過(guò)物理網(wǎng)絡(luò)。此外，報(bào)告差錯(cuò)的ICMP報(bào)文還總是包括產(chǎn)生問(wèn)題的數(shù)據(jù)報(bào)首部用其開(kāi)頭的8個(gè)字節(jié)的數(shù)據(jù)。根據(jù)這個(gè)原理，出現(xiàn)了不少基于ICMP的攻擊軟件，有制造ICMP風(fēng)暴；有使用非常大的報(bào)文堵塞網(wǎng)絡(luò)的；有利用ICMP碎片攻擊消耗服務(wù)器CPU的；有掃描網(wǎng)絡(luò)，為發(fā)動(dòng)Dos攻擊搜集信息的。一臺(tái)主機(jī)向一個(gè)節(jié)點(diǎn)發(fā)送一個(gè)Type=8的ICMP報(bào)文，TCP協(xié)議需要的ICMP消息做出響應(yīng)，如果途中沒(méi)有異常（如果路由器丟棄、目標(biāo)不回應(yīng)ICMP或傳輸失敗），則目標(biāo)返回Type=0的ICMP報(bào)文，說(shuō)明這臺(tái)主機(jī)存在。發(fā)送地址屏蔽碼（Type=17）報(bào)文，請(qǐng)求返回設(shè)備的子網(wǎng)掩碼，據(jù)此可以確定將要用到的所有子網(wǎng)。① 向目標(biāo)主機(jī)發(fā)送一個(gè)只有IP頭的IP數(shù)據(jù)包，目標(biāo)將返回Destination Unreachable的ICMP錯(cuò)誤報(bào)文。但是如是在目標(biāo)主機(jī)前有一個(gè)防火墻或者一個(gè)其他的過(guò)濾裝置，可能過(guò)濾掉信源發(fā)出的數(shù)據(jù)包，從而接收不到任何回應(yīng)。服務(wù)拒絕攻擊是最容易實(shí)施的攻擊行為。ICMP Echo Reply數(shù)據(jù)包具有較高的優(yōu)先級(jí)，在一般情況下，網(wǎng)絡(luò)總是允許內(nèi)部主機(jī)使用PING命令。使用適當(dāng)?shù)穆酚蛇^(guò)濾則可以部分防止此類攻擊，如果完全防止這種攻擊，就需要使用基于狀態(tài)檢測(cè)的防火墻。 還有一些攻擊使用ICMP Source Quench消息，導(dǎo)致網(wǎng)絡(luò)流量變慢，甚至停止。然后分別在“TCP端口、UDP端口和IP協(xié)議”的添加框上，點(diǎn)擊“只允許”，后按添加按鈕，然后在跳出的對(duì)話框中輸入端口，通常我們用來(lái)上網(wǎng)的端口是：80、8080，而郵件服務(wù)器的端口是：2110，F(xiàn)TP的端口是21，同樣將UDP端口和IP協(xié)議相關(guān)進(jìn)行添加。如圖44所示：圖44新篩選器操作(5) 點(diǎn)擊“IP安全策略，在本地機(jī)器”，選擇“創(chuàng)建IP安全策略→下一步→輸入名稱為ICMP過(guò)濾器”，通過(guò)增加過(guò)濾規(guī)則向?qū)?，把剛剛定義的“防止ICMP攻擊”過(guò)濾策略指定給ICMP過(guò)濾器，然后選擇剛剛定義“Deny的操作”。通過(guò)網(wǎng)絡(luò)攻擊手段，可以直接攻擊大量的聯(lián)網(wǎng)機(jī)器，所以我們對(duì)黑客的攻擊必須加以重視和防范。另外，感謝校方給予我這樣一次機(jī)會(huì)，能夠獨(dú)立地完成一個(gè)課題，并在這個(gè)過(guò)程當(dāng)中，給予我們各種方便，使我們?cè)诩磳㈦x校的最后一段時(shí)間里，能夠更多學(xué)習(xí)一些實(shí)踐應(yīng)用知識(shí)，增強(qiáng)了我們實(shí)踐操作和動(dòng)手應(yīng)用能力，提高了獨(dú)立思考的能力。最后，感謝所有在這次畢業(yè)設(shè)計(jì)中給予過(guò)我?guī)椭娜?。感謝在整個(gè)畢業(yè)設(shè)計(jì)期間和我密切合作的同學(xué)，和曾經(jīng)在各個(gè)方面給予過(guò)我?guī)椭幕锇閭?，在大學(xué)生活即將結(jié)束的最后的日子里，我們?cè)僖淮窝堇[了團(tuán)結(jié)合作的童話，把一個(gè)龐大的，從來(lái)沒(méi)有上手的課題，圓滿地完成了。為了不斷增強(qiáng)信息的全安防御能力，以用不斷深核及網(wǎng)絡(luò)協(xié)議的實(shí)現(xiàn)，并熟知針對(duì)各種攻擊手段的預(yù)防措施，只有這樣才能盡最大可能保證網(wǎng)絡(luò)的安全。如圖46所示：圖46 設(shè)置指派經(jīng)過(guò)這樣設(shè)置后，我們就完成了一個(gè)關(guān)注所有進(jìn)入系統(tǒng)的ICMP報(bào)文的過(guò)濾策略和丟棄所有報(bào)文的過(guò)濾操作，從而阻擋攻擊者使用ICMP報(bào)文進(jìn)行的。如圖43所示：圖43本地安全設(shè)置(4) 在“管理篩選操作”中，取消選中“使用添加向?qū)А?，單擊“添加”按鈕，在“常規(guī)”頁(yè)中輸入名稱為“Deny操