【正文】 機(jī)的ARP緩存，因此ARP欺騙廣泛用于交換式以太網(wǎng)絡(luò)中。但這個目標(biāo)MAC地址是如何獲得的呢？它就是通過地址解析協(xié)議獲得的。如果找到了，也就知道了目標(biāo)MAC地址，直接把目標(biāo)地址寫入幀里面發(fā)送就可以了；如果在ARP緩存表中沒有找到相對應(yīng)的IP地址，主機(jī)A就會在網(wǎng)絡(luò)上發(fā)送一個廣播，目標(biāo)MAC地址是“”，這表示向同一網(wǎng)段的所有主機(jī)發(fā)出這樣的詢問：“？”網(wǎng)絡(luò)上其他主機(jī)并不響應(yīng)ARP詢問，只有主機(jī)B接收到這個幀時，才向主機(jī)A做出這樣的回應(yīng)：“”的MAC地址是“00908181fc1a”。從上面可以看出，ARP協(xié)議的基礎(chǔ)是信任局域網(wǎng)內(nèi)部所有的人，那么就很容易實現(xiàn)在以太網(wǎng)上的ARP欺騙。A對這個變化一點都有意識到，但是接下來的事情就讓A產(chǎn)生了懷疑。打開D的IP轉(zhuǎn)發(fā)功能，A發(fā)送過來的數(shù)據(jù)包，轉(zhuǎn)發(fā)給C，好比一個路由器一樣?，F(xiàn)在D就完全成為A與C的中間橋梁了，對于A和C之間的通迅就可以了如指掌了。由于ARP欺騙的木馬程序發(fā)作的時候會發(fā)出大量的數(shù)據(jù)包導(dǎo)致局域網(wǎng)通訊擁塞以及其自身處理能力的限制，用戶會感覺上網(wǎng)速度越來越慢。(3) 除非很有必要，否則停止使用ARP，將ARP做為永久條目保存在對應(yīng)表中。(6) 使用硬件屏蔽主機(jī)。(8) 管理員定期輪詢，檢查主機(jī)上的ARP緩存。進(jìn)行ARP綁定前首先要確定網(wǎng)絡(luò)是正常運行的，然后再ARP綁定。圖21 ARP綁定界面(3) 選擇“ARP映射表”，打開如下圖22界面。為了讓路由器重啟后這些綁定條目仍然有效，可以選擇“全部導(dǎo)入”把這些條目存入靜態(tài)ARP表，打開“ARP綁定”設(shè)置，可以看到一個靜態(tài)的ARP映射表已經(jīng)建立?？梢渣c擊“取消所有綁定”把ARP表中的所有條目暫時取消，當(dāng)需要的時候點擊“綁定所有條目”就可以重新綁定這些條目。(3) 當(dāng)更換計算機(jī)時要更新靜態(tài)的ARP映射表。ICMP協(xié)議本身的特點決定了它非常容易被用于攻擊網(wǎng)絡(luò)上的路由和主機(jī)。這些控制消息雖然并不傳輸用戶數(shù)據(jù)，但是對于用戶數(shù)據(jù)的傳遞起著重要的作用。從因特網(wǎng)的角度看，因特網(wǎng)是由收發(fā)數(shù)據(jù)的主機(jī)和中轉(zhuǎn)數(shù)據(jù)的路由器組成。因此為了提高IP數(shù)據(jù)報交付成功的機(jī)會，反映數(shù)據(jù)報的投遞情況，因特網(wǎng)增加了因特序等情況，因此為了提高IP數(shù)據(jù)報交付成功的機(jī)會，反映數(shù)據(jù)報的投遞情況，因特網(wǎng)增加了因特網(wǎng)控制報文協(xié)議（ICMP），來向源發(fā)主機(jī)告知網(wǎng)絡(luò)環(huán)境中出現(xiàn)的問題。ICMP主要是由連接在因特網(wǎng)上的某個結(jié)點（一般為路由器）檢測到IP數(shù)據(jù)因為某種原因無法繼續(xù)轉(zhuǎn)發(fā)或投遞時啟動ICMP報文的傳輸，一般ICMP消息在以下幾種情況下會被發(fā)送出來：(1) 當(dāng)數(shù)據(jù)報不能到達(dá)目的地時。ICMP報文的最終目標(biāo)不是應(yīng)用程序或目的用戶，而是該機(jī)上處理它的Internet協(xié)議軟件模塊。每個ICMP報文放在IP數(shù)據(jù)報的數(shù)據(jù)部分中通過互聯(lián)網(wǎng)，而數(shù)據(jù)報本身放在幀的數(shù)據(jù)部分中通過物理網(wǎng)絡(luò)。此外，報告差錯的ICMP報文還總是包括產(chǎn)生問題的數(shù)據(jù)報首部用其開頭的8個字節(jié)的數(shù)據(jù)。根據(jù)這個原理，出現(xiàn)了不少基于ICMP的攻擊軟件，有制造ICMP風(fēng)暴；有使用非常大的報文堵塞網(wǎng)絡(luò)的；有利用ICMP碎片攻擊消耗服務(wù)器CPU的；有掃描網(wǎng)絡(luò)，為發(fā)動Dos攻擊搜集信息的。一臺主機(jī)向一個節(jié)點發(fā)送一個Type=8的ICMP報文，TCP協(xié)議需要的ICMP消息做出響應(yīng)，如果途中沒有異常（如果路由器丟棄、目標(biāo)不回應(yīng)ICMP或傳輸失?。?，則目標(biāo)返回Type=0的ICMP報文，說明這臺主機(jī)存在。發(fā)送地址屏蔽碼（Type=17）報文，請求返回設(shè)備的子網(wǎng)掩碼，據(jù)此可以確定將要用到的所有子網(wǎng)。① 向目標(biāo)主機(jī)發(fā)送一個只有IP頭的IP數(shù)據(jù)包，目標(biāo)將返回Destination Unreachable的ICMP錯誤報文。但是如是在目標(biāo)主機(jī)前有一個防火墻或者一個其他的過濾裝置，可能過濾掉信源發(fā)出的數(shù)據(jù)包，從而接收不到任何回應(yīng)。服務(wù)拒絕攻擊是最容易實施的攻擊行為。ICMP Echo Reply數(shù)據(jù)包具有較高的優(yōu)先級，在一般情況下，網(wǎng)絡(luò)總是允許內(nèi)部主機(jī)使用PING命令。使用適當(dāng)?shù)穆酚蛇^濾則可以部分防止此類攻擊，如果完全防止這種攻擊，就需要使用基于狀態(tài)檢測的防火墻。 還有一些攻擊使用ICMP Source Quench消息，導(dǎo)致網(wǎng)絡(luò)流量變慢，甚至停止。然后分別在“TCP端口、UDP端口和IP協(xié)議”的添加框上，點擊“只允許”，后按添加按鈕，然后在跳出的對話框中輸入端口，通常我們用來上網(wǎng)的端口是：80、8080，而郵件服務(wù)器的端口是：2110，F(xiàn)TP的端口是21，同樣將UDP端口和IP協(xié)議相關(guān)進(jìn)行添加。如圖44所示：圖44新篩選器操作(5) 點擊“IP安全策略，在本地機(jī)器”，選擇“創(chuàng)建IP安全策略→下一步→輸入名稱為ICMP過濾器”，通過增加過濾規(guī)則向?qū)?，把剛剛定義的“防止ICMP攻擊”過濾策略指定給ICMP過濾器，然后選擇剛剛定義“Deny的操作”。通過網(wǎng)絡(luò)攻擊手段，可以直接攻擊大量的聯(lián)網(wǎng)機(jī)器，所以我們對黑客的攻擊必須加以重視和防范。另外，感謝校方給予我這樣一次機(jī)會，能夠獨立地完成一個課題，并在這個過程當(dāng)中，給予我們各種方便，使我們在即將離校的最后一段時間里，能夠更多學(xué)習(xí)一些實踐應(yīng)用知識，增強(qiáng)了我們實踐操作和動手應(yīng)用能力，提高了獨立思考的能力。最后，感謝所有在這次畢業(yè)設(shè)計中給予過我?guī)椭娜恕８兄x在整個畢業(yè)設(shè)計期間和我密切合作的同學(xué)，和曾經(jīng)在各個方面給予過我?guī)椭幕锇閭儯诖髮W(xué)生活即將結(jié)束的最后的日子里，我們再一次演繹了團(tuán)結(jié)合作的童話，把一個龐大的，從來沒有上手的課題，圓滿地完成了。為了不斷增強(qiáng)信息的全安防御能力，以用不斷深核及網(wǎng)絡(luò)協(xié)議的實現(xiàn)，并熟知針對各種攻擊手段的預(yù)防措施，只有這樣才能盡最大可能保證網(wǎng)絡(luò)的安全。如圖46所示：圖46 設(shè)置指派經(jīng)過這樣設(shè)置后，我們就完成了一個關(guān)注所有進(jìn)入系統(tǒng)的ICMP報文的過濾策略和丟棄所有報文的過濾操作，從而阻擋攻擊者使用ICMP報文進(jìn)行的。如圖43所示：圖43本地安全設(shè)置(4) 在“管理篩選操作”中，取消選中“使用添加向?qū)А?，單擊“添加”按鈕，在“常規(guī)”頁中輸入名稱為“Deny操