地址解析方法
查表（table lookup)：
将地址绑定信息存放在内存的一张表 中，当要进行地址解析时，可以查表找 到所需的结果，常用用于WAN。（集中解 析）
ARP欺骗
基本思想：由于ARP是无状态的协议，在没
有请求时也可以发送应答的包。入侵者可以 利用这一点，向网络上发送自己定义的包， 包中包括源IP地址、目的IP地址以及硬件地 址，不过它们都是伪造的数据，会修改网络 上主机中的ARP高速缓存。
帧中有源MAC地址和目的MAC地址。 ARP协议是获得对方的MAC地址，才行 进行帧的封装。
ARP工作原理
ARP请求：是以广播形式发送 IP地址为192.168.0.10的计算机MAC是多少啊？
ARP工作原理（续）
ARP应答：只有IP地址符合的计算机会应答
我的MAC为0080c81c2996,以单播形式
被冒充者 A 你好，我是A 服务器 受害者
一般 欺骗
攻击者
正常会话 A 被冒充者 下线! 你好，我是 A 服务器 受害者
会话 劫持
攻击者
IP欺骗及防范技术
——会话劫持
会话劫持攻击的基本步骤
发现攻击目标 确认动态会话 猜测序列号
关键一步，技术难点
使被冒充主机下线
伪造FIN包，拒绝服务攻击

户打开或下载，然后使用户在无意中激活，导致系统 后门被安装 WWW欺骗：诱使用户访问纂改过的网页 电子邮件攻击：邮件炸弹、邮件欺骗 网络监听：获取明文传输的敏感信息 通过一个节点来攻击其他节点：攻击者控制一台主机 后，经常通过IP欺骗或者主机信任关系来攻击其他节 点以隐蔽其入侵路径和擦除攻击证据 拒绝服务攻击和分布式拒绝服务攻击(D.o.S 和D.D.o.S)
电子邮件欺骗及防范技术



——原理 发送邮件使用SMTP（即简单邮件传输协议） SMTP协议的致命缺陷：过于信任原则 SMTP假设的依据是：不怀疑邮件的使用者 的身份和意图 伪装成为他人身份向受害者发送邮件 可以使用电子邮件客户端软件，也可以远 程登录到25端口发送欺骗邮件
电子邮件欺骗及防范技术
——共享式局域网下
共享式局域网采用的是广播信道，每一台
主机所发出的帧都会被全网内所有主机接 收到 一般网卡具有以下四种工作模式：广播模 式、多播模式、直接模式和混杂模式 网卡的缺省工作模式是广播模式和直接模 式，即只接收发给自己的和广播的帧
网络监听及防范技术
——共享式局域网下
使用MAC地址来确定数据包的流向
接管会话
IP欺骗及防范技术——防范技术
没有有效的办法可以从根本上防范会话
劫持攻击 所有会话都加密保护——实现困难 使用安全协议（SSH、VPN）——保护敏 感会话
电子邮件欺骗及防范技术
——案例
2003年6月初，一些在中国工商银行进行过网
上银行注册的客户，收到了一封来自网络管 理员的电子邮件，宣称由于网络银行系统升 级，要求客户重新填写用户名和密码。 这一举动随后被工行工作人员发现，经证实 是不法分子冒用网站公开信箱，企图窃取客 户的资料。 虽然没有造成多大的损失，但是这宗典型的 电子邮件欺骗案例当时曾在国内安全界和金 融界掀起了轩然大波，刺激人们针对信息安 全问题展开了更加深切的讨论。
Arp缓存表
查看ARP高速缓存中的记录
解析对象的IP地址
解析所得的MAC地址
此记录产生的方式
删除ARP高速缓存中的记录
原来有4个记录
删除这个记录
203.74.205.11这个记录被删除了
向ARP高速缓存中增加静态记录
新增的记录，注意Type是static
ARP欺骗举例
例：主机名 IP地址 硬件地址 A IPA AAAA B IPB BBBB C IPC CCCC 说明： B是一台被入侵者控制了的主机，而A信任C。 入侵者的目的就是伪装成C获得A的信任，以 便获得一些无直接获得的信息等。
窃取口令文件后解密： 窃取口令文件（UNIX环境下的Passwd文件和Shadow文 件） ，通过软件解密。
方法与对策： 1、限制同一用户的失败登录次数 2、限制口令最短长度，要求特权指令使用复杂的字母、 数字组合。 3、定期更换口令，不要将口令存放到计算机文件中
MAC地址攻击
交换机的转发原理。 攻击者生成大量源地址各不相同的数据
A根据ARP缓存中的缓存记录，将发往C
（IPC）的数据报文，发向了B（IPB， BBBB）
ARP欺骗的防范
MAC地址绑定，使网络中每一台计算机
的IP地址与硬件地址一一对应，不可更 改。 使用静态ARP缓存，用手工方法更新缓 存中的记录，使ARP欺骗无法进行。 使用ARP服务器，使其他计算机的ARP 配臵只接受来自ARP服务器的ARP响应。
网络监听及防范技术
网络窃听是指通过截获他人网络上通信的
数据流，并非法从中提取重要信息的一种 方法 间接性
利用现有网络协议的一些漏洞来实现，不直接对受害主 机系统的整体性进行任何操作或破坏
隐蔽性
网络窃听只对受害主机发出的数据流进行操作，不与主 机交换信息，也不影响受害主机的正常通信
网络监听及防范技术
若等于自己的MAC地址或是广播MAC地址，则提交给上层 处理程序，否则丢弃此数据
当网卡工作于混杂模式的时候，它不做任
何判断，直接将接收到的所有帧提交给上 层处理程序 共享式网络下窃听就使用网卡的混杂模式
网络监听及防范技术
——共享式局域网下
集线器(HUB)
A向C发送数 据
计算机 A
计算机 B B为直接模式 拒绝接收
获取信息
1. 收集主机信息
IP地址、主机是否运行、到要入侵点的路由、主机操作系 统与用户信息等。
应用的方法：
• Ping命令判断计算机是否开着，或者数据包发送到返回 需要多少时间 • Tracert/Tracerout命令跟踪从一台计算机到另外一台 计算机所走的路径 • Finger和Rusers命令收集用户信息
计算机 C C为直接模式 接收该数据
计算机 D D为直接模式 拒绝接收
计算机 E E为混杂模式 接收该数据
网络监听及防范技术
——交换式局域网下
在数据链路层，数据帧的目的地址是以网
卡的MAC地址来标识 ARP协议实现<IP—MAC>的配对寻址 ARP请求包是以广播的形式发出，正常情 况下只有正确IP地址与的主机才会发出 ARP响应包，告知查询主机自己的MAC地址。 局域网中每台主机都维护着一张ARP表， 其中存放着<IP—MAC>地址对。
网络监听及防范技术
——网络窃听的被动防范
分割网段
细化网络会使得局域网中被窃听的可能性减小
使用静态ARP表
手工输入<IP—MAC>地址对
采用第三层交换方式
取消局域网对MAC地址、ARP协议的依赖，而采用基于IP 地址的交换
加密
SSH、SSL、IPSec
IP欺骗及防范技术
——会话劫持
A发往B：(MACx，MACa， PROTOCOL，DATA) B发往A：(MACx，MACb， PROTOCOL，DATA)
网络监听及防范技术
——交换式局域网下
X分别向A和B发送ARP包，促使其修改ARP
表 主机A的ARP表中B为<IPb—MACx> 主机B的ARP表中A为<IPa—MACx> X成为主机A和主机B之间的“中间人”
工具
入侵者水平
嗅探 擦除痕迹
攻击手法
1980
攻击者
1995 2000 2002
1985
1990
入侵系统的常用步骤
提 升 为 最 高 权 限
采用 漏洞 扫描 工具
选择 会用 的 方式 入侵
获取 系统 一定 权限
安装 系统 后门
获取敏感信息 或者 其他攻击目的
较高明的入侵步骤
判断 系统 选择 最简 方式 入侵 获取 系统 一定 权限
什么情况下表明局域网内有ARP攻击
1. 校园网登陆系统频繁掉线
2. 网速突然变慢
3. 使用ARP –a命令发现网关的MAC地址
不停的变换 4. 使用sniffer软件发现局域网内存在大量 的ARP reply包
目前已知的ARP病毒的传播途径
1. 通过外挂程序传播
2. 通过网页传播
3. 通过其他木马程序传播 4. 通过即时通讯软件传播（QQ、MSN） 5. 通过共享传播（网络共享、P2P软件共
——防范 查看电子邮件头部信息
不仅指出了是否有人欺骗了电子邮件，而且指出了这 个信息的来源
采用SMTP身份验证机制
使用与POP协议收取邮件时相同的用户名/密码
PGP邮件加密
以公钥密码学（Public Key Cryptology） 为基础的
Web欺骗及防范技术
——概念
口令攻击
1 2 口令暴力攻击： 生成口令字典，通过程序试探口令。
提 升 为 最 高 权 限 攻击其 他系统
端口 判断 分析 可能 有漏 洞的 服务
安装 多个 系统 后门
清除 入侵 脚印
获取敏 感信息
作为其 他用途
常见的安全攻击方法
直接获取口令进入系统：网络监听，暴力破解 利用系统自身安全漏洞 特洛伊木马程序：伪装成工具程序或者游戏等诱使用

包，这些MAC地址就会充满交换机的交换 地址映射表空间，则正常的数据包到达 时都被洪泛出去，致使交换机的查表速 度严重下降，不能继续工作。
ARP欺骗
Arp协议
MAC 地址:就是网卡的地址（48位）பைடு நூலகம்具
唯一性。 0080c81c2996（16进制）