【導(dǎo)讀】的攻擊事件也隨之增加。網(wǎng)絡(luò)已經(jīng)無(wú)所不在的影響著社會(huì)的政治、經(jīng)。濟(jì)、文化、軍事、意識(shí)形態(tài)和社會(huì)生活等各個(gè)方面。會(huì)生活造成了極大的威脅。計(jì)算機(jī)病毒不斷地通過(guò)網(wǎng)絡(luò)產(chǎn)生和傳播，失，甚至危害到國(guó)家的安全。網(wǎng)絡(luò)安全已成為世界各國(guó)當(dāng)今共同關(guān)注。的焦點(diǎn)，網(wǎng)絡(luò)安全的重要性是不言而喻的。絡(luò)安全包括兩個(gè)方面，即物理安全和邏輯安全。及相關(guān)設(shè)施受到物理保護(hù)，免于破壞、丟失等。的完整性、保密性和可用性。續(xù)可靠性地正常運(yùn)行，網(wǎng)絡(luò)服務(wù)正常有序。其中安全問(wèn)題尤為突出。了解網(wǎng)絡(luò)面臨的各種威脅，防范和消除這些。⑴計(jì)算機(jī)系統(tǒng)遭受病毒感染和破壞的情況相當(dāng)嚴(yán)重。中心日常監(jiān)測(cè)結(jié)果看來(lái)，計(jì)算機(jī)病毒呈現(xiàn)出異常活躍的態(tài)勢(shì)。其中，感染3次以上的用戶高達(dá)59%，而且病毒的破壞性較。大，被病毒破壞全部數(shù)據(jù)的占14%，破壞部分?jǐn)?shù)據(jù)的占57%。近年來(lái)，國(guó)內(nèi)與網(wǎng)絡(luò)有關(guān)的各類違法行為以每年30%的速度遞增。37萬(wàn)次黑客攻擊、萬(wàn)次以上病毒入侵和57次信息系統(tǒng)癱瘓。

　　

【正文】 aaaaaa B bbbbbbbbbbbb C cccccccccccc D dddddddddddd 我們以主機(jī) A（ ）向主機(jī) B（ ）發(fā)送數(shù)據(jù)為例。當(dāng)發(fā)送數(shù)據(jù)時(shí)，主機(jī) A 會(huì)在自己的 ARP 緩存表中尋找是否有目標(biāo) IP 地址。如果找到了，也就知道了目標(biāo) MAC 地址，直接把目標(biāo) MAC 地址寫入幀里面發(fā)送就可以了；如果在 ARP 緩存表中沒(méi)有找到相對(duì)應(yīng)的 IP 地址，主機(jī) A 就會(huì)在網(wǎng)絡(luò)上發(fā)送一個(gè)廣播，目標(biāo) MAC地址是 “”，這表示向同一網(wǎng)段內(nèi)的所有主機(jī)發(fā)出這樣的詢問(wèn)： “ 的 MAC 地址是什么？ ”網(wǎng)絡(luò)上其他主機(jī)并不響應(yīng) ARP 詢問(wèn)，只有主機(jī) B 接收到這個(gè)幀時(shí)，才向主機(jī) A 做出這樣的回應(yīng)： “ 的 MAC 地址是 bbbbbbbbbbbb”。這樣， 主機(jī) A 就知道了主機(jī) B 的 MAC 地址，它就可以向主機(jī) B 發(fā)送信息了。同時(shí)它還更新了自己的 ARP 緩存表，下次再向主機(jī) B 發(fā)送信息時(shí)，直接從 ARP 緩存表里查找就可以了。 ARP 緩存表采用了老化機(jī)制，在一段時(shí)間內(nèi)如果表中的某一行沒(méi)有使用，就會(huì)被刪除，這樣可以大大減少 ARP 緩存表的長(zhǎng)度，加快查詢速度。 從上面可以看出 ，在局域網(wǎng)中，通過(guò) ARP 協(xié)議來(lái)完成 IP 地址轉(zhuǎn)換為第二層物理地址（即 MAC 地址）的。 ARP 協(xié)議對(duì)網(wǎng)絡(luò)安全具有重要的意義。通過(guò)偽造 IP 地址和 MAC 地址實(shí)現(xiàn) ARP 欺騙，能夠在網(wǎng)絡(luò)中產(chǎn)生大量的 ARP 通信量使網(wǎng)絡(luò)阻塞。中了 ARP 后的一些現(xiàn)象： ⑴ 能 PING 通網(wǎng)內(nèi)其它客戶機(jī)，但 PING 不通路由，上不了網(wǎng)（連接到 INTERNET)。 ⑵ 能 PING 通網(wǎng)內(nèi)其它客戶機(jī)，同樣 PING 不通路由，但能上網(wǎng)（能連接到 INTERNET）。 ⑶ 當(dāng)中毒的機(jī)器向網(wǎng)關(guān)路由發(fā)出請(qǐng)求時(shí)，網(wǎng)關(guān)路由的 ARP 緩存還未到刷新時(shí)間，網(wǎng)關(guān)路由 內(nèi)的 ARP 緩存表中保存的是客戶機(jī)還未中毒前的 MAC 地址。而這個(gè) MAC 地址，與客戶機(jī)當(dāng)前請(qǐng)求的 MAC（被病毒修改過(guò)）不一致，客戶機(jī)的連接請(qǐng)求被網(wǎng)關(guān)拒絕。即發(fā)生與網(wǎng)關(guān)斷流。 ⑷ 當(dāng)中毒的源頭機(jī)器向局域網(wǎng)發(fā)出假 MAC 廣播時(shí)，網(wǎng)關(guān)路由也接收到了此消息，并將這些假 MAC 地址與其 IP 相對(duì)應(yīng)，并建立新的ARP 緩存。導(dǎo)致客戶機(jī)與服務(wù)器斷開(kāi)連接。 2 ARP 攻擊 的 主要方式 （ 1） 簡(jiǎn)單的欺騙攻擊 ： 這是比較常見(jiàn)的攻擊 ,通過(guò)發(fā)送偽造的 ARP包來(lái)欺騙路由和目標(biāo)主機(jī) ,讓目標(biāo)主機(jī)認(rèn)為這是一個(gè)合法的主機(jī) .便完成了欺騙 .這種欺 騙多發(fā)生在同一網(wǎng)段內(nèi) ,因?yàn)槁酚刹粫?huì)把本網(wǎng)段的包向外轉(zhuǎn)發(fā) ,當(dāng)然實(shí)現(xiàn)不同網(wǎng)段的攻擊也有方法 ,便要通過(guò) ICMP 協(xié)議來(lái)告訴路由器重新選擇路由 . （ 2） 交換環(huán)境的嗅探 ： 在最初的小型局域網(wǎng)中我們使用 HUB 來(lái)進(jìn)行互連 ,這是一種廣播的方式 ,每個(gè)包都會(huì)經(jīng)過(guò)網(wǎng)內(nèi)的每臺(tái)主機(jī) ,通過(guò)使用軟件 ,就可以嗅談到整個(gè)局域網(wǎng)的數(shù)據(jù) .現(xiàn)在的網(wǎng)絡(luò)多是交換環(huán)境 ,網(wǎng)絡(luò)內(nèi)數(shù)據(jù)的傳輸被鎖定的特定目標(biāo) .既已確定的目標(biāo)通信主機(jī) .在 ARP 欺騙的基礎(chǔ)之上 ,可以把自己的主機(jī)偽造成一個(gè)中間轉(zhuǎn)發(fā)站來(lái)監(jiān)聽(tīng)兩臺(tái)主機(jī)之間的通信 . （ 3） MAC Flooding ： 這是 一個(gè)比較危險(xiǎn)的攻擊 ,可以溢出交換機(jī)的 ARP 表 ,使整個(gè)網(wǎng)絡(luò)不能正常通信 （ 4） 基于 ARP 的 DOS ： 這是新出現(xiàn)的一種攻擊方式 , 又稱拒絕服務(wù)攻擊 ,當(dāng)大量的連接請(qǐng)求被發(fā)送到一臺(tái)主機(jī)時(shí) ,由于主機(jī)的處理能力有限 ,不能為正常用戶提供服務(wù) ,便出現(xiàn)拒絕服務(wù) .這個(gè)過(guò)程中如果使用 ARP 來(lái)隱藏自己 ,在被攻擊主機(jī)的日志上就不會(huì)出現(xiàn)真實(shí)的 ,也不會(huì)影響到本機(jī) . 3 ARP 攻擊的防范措施 （ 1） 不要把你的網(wǎng)絡(luò)安全信任關(guān)系建立在 IP 基礎(chǔ)上或 MAC 基礎(chǔ)上，（ rarp 同樣存在欺騙的問(wèn)題），理想的關(guān)系應(yīng)該建立在 IP+MAC基礎(chǔ)上。 （ 2） 設(shè)置靜態(tài)的 MACIP 對(duì)應(yīng)表，不要讓主機(jī)刷新你設(shè)定好的轉(zhuǎn)換表。 在網(wǎng)關(guān)路由上對(duì)客戶機(jī)使用靜態(tài) MAC 綁定。用防火墻封堵常見(jiàn)病毒端口： 134139， 445， 500， 6677， 5800， 5900， 593， 1025， 1026，2745， 3127， 6129 以及 P2P 下載 。 （ 3） 除非很有必要，否則停止使用 ARP，將 ARP 做為永久條目保存在對(duì)應(yīng)表中。 （ 4） 使用 ARP 服務(wù)器。通過(guò)該服務(wù)器查找自己的 ARP 轉(zhuǎn)換表來(lái)響應(yīng)其他機(jī)器的 ARP 廣播。確保這臺(tái) ARP 服務(wù)器不被黑。 （ 5） 使用 proxy代理 IP 的傳輸。 （ 6） 使用硬件屏蔽主機(jī)。設(shè)置好你的路由，確保 IP 地址能到達(dá)合法的路徑。（靜態(tài)配置路由 ARP 條目），注意，使用交換集線器和網(wǎng)橋無(wú)法阻止 ARP 欺騙。 （ 7） 管理員定期用響應(yīng)的 IP 包中獲得一個(gè) rarp 請(qǐng)求，然后檢查ARP 響應(yīng)的真實(shí)性。 (8） 管理員定期輪詢，檢查主機(jī)上的 ARP 緩存。 （ 9） 使用防火墻連續(xù)監(jiān)控網(wǎng)絡(luò)。注意有使用 SNMP 的情況下， ARP的欺騙有可能導(dǎo)致陷阱包丟失。 （ 10） 在客戶機(jī)上進(jìn)行網(wǎng)關(guān) IP 及其 MAC 靜態(tài)綁定，并修改導(dǎo) 入如下注冊(cè) ① 禁止 ICMP 重定向報(bào)文 ICMP 的重定向報(bào)文控制著 Windows 是否會(huì)改變路由表從而響應(yīng)網(wǎng)絡(luò)設(shè)備發(fā)送給它的 ICMP 重定向消息，這樣雖然方便了用戶，但是有時(shí)也會(huì)被他人利用來(lái)進(jìn)行網(wǎng)絡(luò)攻擊，這對(duì)于一個(gè)計(jì)算機(jī)網(wǎng)絡(luò)管理員來(lái)說(shuō)是一件非常麻煩的事情。通過(guò)修改注冊(cè)表可禁止響應(yīng) ICMP 的重定向報(bào)文，從而使網(wǎng)絡(luò)更為安全。 ② 禁止響應(yīng) ICMP 路由通告報(bào)文 “ICMP 路由公告 ”功能可以使他人的計(jì)算機(jī)的網(wǎng)絡(luò)連接異常、數(shù)據(jù)被竊聽(tīng)、計(jì)算機(jī)被用于流量攻擊等，因此建議關(guān)閉響應(yīng) ICMP 路由通告報(bào)文。 網(wǎng)絡(luò)攻擊越來(lái)越猖獗，對(duì)網(wǎng)絡(luò)安全造成了很大的威脅。對(duì)于任何黑客的惡意攻擊，都有辦法來(lái)防御，只要了解了他們的攻擊手段，具有豐富的網(wǎng)絡(luò)知識(shí)，就可以抵御黑客們的瘋狂攻擊。一些初學(xué)網(wǎng)絡(luò)的朋友也不必?fù)?dān)心，因?yàn)槟壳笆袌?chǎng)上也已推出許多網(wǎng)絡(luò)安全方案，以及各式防火墻，相信在不久的將來(lái)，網(wǎng)絡(luò)一定會(huì)是一個(gè)安全的信息傳輸媒體。特別需要強(qiáng)調(diào)的是，在任何時(shí)候都應(yīng)將網(wǎng)絡(luò)安全教育放在整個(gè)安全體系的首位，努力提高所有網(wǎng)絡(luò)用戶的安全意識(shí)和基本防范技術(shù)。這對(duì)提高整個(gè)網(wǎng)絡(luò)的安全性有著十分重要的意義。