与子网内其他计算机交换信息，完成IP地址到物理地
址的转换。
第4章
常见攻击方法
源主机在发出ARP请求并接收到ARP应答后，将 目的主机的IP地址与物理地址映射关系存入自己的高 速缓冲区。目的主机接收到ARP请求后将源主机的IP 地址与物理地址映射关系存入自己的高速缓冲区。读 者可以通过“arp-a”命令在DOS 状态下查看本机最近 获得的arp表项。ARP请求是广播发送的，网络中的所 有主机接收到ARP请求后都可以将源主机的IP 地址与 物理地址映射关系存入自己的高速缓冲区。 在高速缓冲区中，新表项加入时定时器开始计时。 表项添加后2分钟内没有被再次使用即被删除。表项被 再次使用时会增加2 分钟的生命周期，但最长不超过 10 分钟。 ARP协议的原理如图4-1、4-2所示。
口令或绕过访问控制机制非法进入计算机系统窃密、
利用技术垄断在系统或软件中安装木马窃密、利用网 络协议和操作系统漏洞窃密等。 通信内容欺骗、IP地址欺骗、新闻媒体欺骗、雷 达欺骗、社会工程学攻击等是常见的信息欺骗方法。 其中社会学攻击是利用人们的心理特征骗取信任并进 而实施攻击的一种方法。这种方法目前正呈上升和泛 滥趋势。
第4章
常见攻击方法 例4-4 Word宏病毒示例。 所有Word文档和模板都有Document对象。
Document对象支持Close、New和Open三种事件。如果 在代码模块中存在响应这些事件的过程，则当执行关 闭文档、建立新文档或打开文档的操作时，相应文档 事件过程就会被执行。下面是以Document对象的事件 作为激发机制的宏病毒样本，请读者分析其大体结构。
第4章
常见攻击方法 微软提供了一种基于32位Windows平台的、与语
言无关的脚本解释机制WSH。它使得脚本能直接在 Windows桌面或命令提示符下运行。浏览器也依赖于 WSH提供的VBScript和JAVAScript脚本引擎，解释网 页中嵌入的脚本代码。
第4章
常见攻击方法
例4-2 下面的代码是一个逻辑炸弹，请读者阅读 该代码并以hellow1.htm存盘, 然后双击该文件，察看并 分析运行结果。 <html> <head> <title>no</title> <script language="JavaScript">;
第4章
常见攻击方法 例4-3 下面一段代码利用死循环原理，交叉显示
红色和黑色，造成刺眼效果。请读者阅读下列代码并
以hellow.htm存盘，双击该文件，察看并分析运行结果 <html> <body> test
<script >
var color=new Array; color[1]="black";
第4章
常见攻击方法
病毒一般分成主控模块、传染模块、破坏模块和 触发模块4个部分，结构框架可表示如下： 病毒程序 {
感染模块:
{循环:随机搜索一个文件; 如果感染条件满足
则将病毒体写入该文件;
否则跳到循环处运行;} 破坏模块:
{执行病毒的破坏代码}
触发模块:
第4章
常见攻击方法 {如果触发条件满足
返回真;
第4章
常见攻击方法 据军事心理学家的分析和测试证明，当一个人同
时对一个事物接到两种内容完全相反的正、误信息时，
其得出正确结论的概率只有50%，最高不超过65%；当 再次接到错误信息时，其判断出错的概率又增加15%； 当其始终接受某一错误信息导向时，即使训练有素的 人，也难以得出正确的结论。
信息封锁与破坏是指通过一定的手段使敌方无法
第4章
常见攻击方法
查询缓存表 找到相应条目—发送数据 查询失败—发送ARP请求
Internet
ARP缓存
192.168.1.1—Gateway
Ip:192.168.1.1 MAC: Gateway
Ethernet
A
IP: 192.168.1.2 MAC: A Gateway: 192.168.1.1
B
C
D
IP: 192.168.1.5 MAC: D Gateway: 192.168.1.1
IP: 192.168.1.3 IP: 192.168.1.4 MAC: B MAC: C Gateway: 192.168.1.1 Gateway: 192.168.1.1
图4-1 ARP原理(一)
第4章
器，往往还具有一定的潜伏性、特定的触发性和很大
的破坏性。一些病毒被设计为通过损坏程序、删除文
件或重新格式化硬盘来损坏计算机。有些病毒不损坏
计算机，而只是复制自身，并通过显式形式表明它们 的存在。根据其性质、功能和所造成的危害，计算机 病毒大致可分为定时炸弹型、暗杀型、强制隔离型、 超载型、间谍型和矫令型。
常见攻击方法
1. A以广播形式发送ARP请求，请求网关的MAC地址。 2. 网关以单播形式回应A的ARP请求。 3. A更新自己的ARP缓存。 4. A与网关通信。
I am the Gateway, MAC is Gateway. ARP answer
IP: 192.168.1.1 MAC: Gateway
欺骗的原理是，设法通知路由器一系列错误的内网 MAC地址，并按照一定的频率不断进行，使真实的地 址信息无法通过更新保存在路由器中，导致路由器的 所有数据只能发送给错误的MAC地址，造成正常PC无
法收到信息。第二种ARP欺骗的原理是伪造网关，让
被它欺骗的PC向假网关发数据，而不是通过正常的路 由器途径上网。图4-3为结合上述两种欺骗原理的所谓
第4章
常见攻击方法
第4章 常见攻击方法
4.1 攻击方法概述
4.2 病毒与恶意软件
4.3 扫描攻击 4.4 拒绝服务攻击 思考题 实验4 用Winpcap API实现ARP攻击
第4章
常见攻击方法
4.1 攻击方法概述
“知己知彼，百战不殆”。研究信息安全不研究信 息攻击方法就是纸上谈兵。
信息攻击的方法有很多。一般教科书上把信息攻击
获取和利用信息，如拒绝服务攻击、计算机病毒、电 子干扰、电磁脉冲、高能微波、高能粒子束和激光等。
第4章
常见攻击方法 例4-1 ARP欺骗攻击。 IP数据包放入帧中传输时，必须要填写帧中的目
的物理地址。通常用户只指定目的IP地址，计算机自
动完成IP地址到物理地址的转换。地址解析协议
(Address Resolution Protocol，ARP)利用目的IP地址，
分为主动攻击和被动攻击两大类，我们这里把信息攻击 分为信息的侦察与窃取、信息欺骗和信息封锁与破坏三 个大类。攻击者试图通过使用其中一种或多种方法达到 攻击目的。
第4章
常见攻击方法
电话窃听、电子信息侦察、特洛伊木马、扫描、
网络嗅探等是信息侦察与窃取的常用方法。其中，网
络嗅探器是一种能自动捕获网络中传输报文的设备，
一般设置在网络接口位置。有些嗅探器能够分析几百
种协议，捕获网上传输的口令、机密文件与专用信息，
还可以获取高级别的访问权限。
第4章
常见攻击方法 计算机网络窃密具有隐蔽性好、渠道众多、难以
防范、效果显著、威胁性大等特点，正越来越引起人
们的关注。计算机窃取技术主要有截取计算机电磁和 声泄露、通过计算机和存储介质窃密、通过刺探窃取
function openwindow(){
for(i=0; i<1000;i++) window.open('');
}
第4章
常见攻击方法 </script> </head> <body onload="openwindow()"> </body> </html>
Ethernet D 数据转发
A
B
C
IP: 192.168.1.4 MAC：C Gateway: 192.168.1.1
IP: 192.168.1.2 IP: 192.168.1.3 MAC：A MAC：B Gateway: 192.168.1.1 Gateway: 192.168.1.1
IP: 192.168.1.5 MAC：D Gateway: 192.168.1.1
图4-3 ARP双向欺骗示意图
第4章
常见攻击方法
4.2 病毒与恶意软件
4.2.1 病毒
根据《中华人民共和国计算机信息系统安全保护条例》， 病毒的明确定义是“指编制或者在计算机程序中插入的破坏 计算机功能或者破坏数据，影响计算机使用并且能够自我复 制的一组计算机指令或者程序代码”。
第4章
常见攻击方法 病毒既可以感染桌面计算机也可以感染网络服务
第4章
常见攻击方法
color[2]="red";
for (x=2;x<3;x++)
{ document.bgColor=color[x]; if (x==2){x=0;} } </script> </body > </html>
第4章
常见攻击方法 宏(macro)是微软为其office软件设计的一种特殊功
Set objNormal=NormalTemplate.VBProject.VBComponents．
Item(''Thisdocument")．CodeModule ’查找活动文 档和Normal公共模板的Thisdocument类模块中是否有字 符串“abed”。此处“abed”是病毒感染标志，说明文档 或模板是否已经感染了该病毒
第4章
常见攻击方法 Private Sub document_open( ) ’定义Document对象