信息安全您的論文得到相關(guān)企業(yè)家品評交換式以太網(wǎng)中的ＡＲＰ與ＤＮＳ欺騙技術(shù)分析ＡｎａｌｙｓｉｓｏｆＡＲＰａｎｄＤＮＳｓｐｏｏｆｉｎｇｉｎＳｗｉｔｃｈＥｔｈｅｒｎｅｔ（鄭州解放軍信息工程大學(xué)）郭潤王振興敦

信息安全

您的論文得到相關(guān)企業(yè)家品評

交換式以太網(wǎng)中的ＡＲＰ與ＤＮＳ欺騙技術(shù)分析

ＡｎａｌｙｓｉｓｏｆＡＲＰａｎｄＤＮＳｓｐｏｏｆｉｎｇｉｎＳｗｉｔｃｈＥｔｈｅｒｎｅｔ

（鄭州解放軍信息工程大學(xué)）郭

潤王振興敦亞南

Ｇｕｏ，ＲｕｎＷａｎｇ，ＺｈｅｎｘｉｎｇＤｕｎ，Ｙａｎａｎ

摘要：利用ＴＣＰ／ＩＰ協(xié)議缺陷進(jìn)行欺騙攻擊是目前網(wǎng)絡(luò)中常出現(xiàn)的攻擊方法，通過與網(wǎng)絡(luò)監(jiān)聽的結(jié)合，攻擊者能在不被察覺的情況下實(shí)現(xiàn)對被攻擊者通信數(shù)據(jù)的截獲并篡改，給當(dāng)今網(wǎng)絡(luò)通信安全帶來了嚴(yán)重威脅。本文分析了在交換式以太網(wǎng)中利用ＡＲＰ欺騙突破交換網(wǎng)絡(luò)對數(shù)據(jù)監(jiān)聽的限制，成為“中間人”截獲ＤＮＳ報(bào)文，進(jìn)而偽造ＤＮＳ報(bào)文進(jìn)行ＤＮＳ欺騙的技術(shù)，并給出基于ＷｉｎＰｃａｐ的實(shí)現(xiàn)。

關(guān)鍵詞：交換式以太網(wǎng)；ＡＲＰ欺騙；中間人攻擊；ＤＮＳ欺騙；網(wǎng)絡(luò)安全

文獻(xiàn)標(biāo)識碼Ａ中圖分類號ＴＰ３９３．０８

文章編號：１００８－０５７０（２００５）１０－３－００２１－０３

置為混雜模式，也只能監(jiān)聽到連結(jié)在同一端口上主機(jī)間的數(shù)據(jù)傳輸。

針對交換式以太網(wǎng)的特點(diǎn)，要使本不應(yīng)到達(dá)本地的數(shù)據(jù)幀到達(dá)本地，實(shí)現(xiàn)對網(wǎng)絡(luò)中通信的監(jiān)聽和進(jìn)一步的ＤＮＳ欺騙攻擊，目前有兩種方法：ＭＡＣ洪泛和ＡＲＰ欺騙。ＭＡＣ洪泛是指向交換機(jī)發(fā)送大量含有虛假ＭＡＣ地址和ＩＰ地址的數(shù)據(jù)幀，溢出交換機(jī)中存儲

Ａｂｓｔｒａｃｔ：Ｎｏｗａｄａｙｓ，ｈａｃｋｅｒｓｕｓｕａｌｌｙｍａｋｅｕｓｅｏｆＴＣＰ／ＩＰｐｒｏ－ｔｏｃｏｌ＇ｓｆｌｏｗｓｔｏｓｐｏｏｆｔｈｅｉｒｔａｒｇｅｔ．Ｗｉｔｈｔｈｅｃｏｍｂｉｎａｔｉｏｎｏｆｓｎｉｆｆｉｎｇ，ｈａｃｋｅｒｃａｎｉｎｔｅｒｃｅｐｔａｎｄｔａｍｐｅｒｈｉｓｔａｒｇｅｔ＇ｓｃｏｍｍｕ－ｎｉｃａｔｉｏｎｄａｔａ，ｗｈｉｃｈｉｓａｓｉｇｎｉｆｉｃａｎｔｔｈｒｅａｔｔｏｔｏｄａｙ＇ｓｎｅｔｗｏｒｋｓｅｃｕｒｉｔｙ．ＴｈｉｓｐａｐｅｒａｎａｌｙｚｅｓｔｈｅＡＲＰｓｐｏｏｆｉｎｇｐｒｉｎｃｉｐｌｅｕｓｅｄｉｎＳｗｉｔｃｈＥｔｈｅｒｎｅｔ，ｉｔｃａｎｂｒｅａｋｔｈｒｏｕｇｈｔｈｅｒｅｓｔｒｉｃｔｉｏｎｏｆｓｎｉｆｆｉｎｇｉｍｐｏｓｅｄｂｙＳｗｉｔｃｈＥｔｈｅｒｎｅｔ，ａｎｄａｓｔｈｅａｔｔａｃｋｅｒｂｅｉｎｇｔｈｅｍａｎ－ｉｎ－ｍｉｄｄｌｅ，ＤＮＳｑｕｅｒｙｐａｃｋｅｔｓｃａｎｂｅｉｎｔｅｒｃｅｐｔｅｄａｎｄｔａｍｐｅｒｅｄ，ｗｈｉｃｈｍｅａｎｓａｆｏｒｇｅｄＤＮＳｒｅｓｐｏｎｓｅｐａｃｋｅｔｗｏｕｌｄｂｅｓｅｎｔｂａｃｋｔｏｔｈｅａｔｔａｃｋｉｎｇｔａｒｇｅｔ．Ａｔｌａｓｔ，ａｉｍｐｌｅｍｅｎｔａｔｉｏｎｂａｓｅｄｏｎＷｉｎ－Ｐｃａｐｉｓｇｉｖｅｎ．

Ｋｅｙｗｏｒｄ：ＳｗｉｔｃｈＥｔｈｅｒｎｅｔ；ＡＲＰＳｐｏｏｆｉｎｇ；Ｍａｎ－ｉｎ－ｍｉｄｄｌｅａｔｔａｃｋ；ＤＮＳＳｐｏｏｆｉｎｇ；Ｎｅｔｗｏｒｋｓｅｃｕｒｉｔｙ

ＭＡＣ端口映射表的有限空間，致使交換機(jī)就進(jìn)入了所謂的“打開失效模式（ＦａｉｌｏｐｅｎＭｏｄｅ）”，即進(jìn)入和集線器相同的廣播轉(zhuǎn)發(fā)模式；ＡＲＰ欺騙則是通過欺騙被攻擊者將攻擊者的ＭＡＣ地址作為網(wǎng)關(guān)ＭＡＣ地址或使被攻擊者認(rèn)為網(wǎng)關(guān)的ＭＡＣ地址是廣播地址ＦＦ－ＦＦ－ＦＦ－ＦＦ－ＦＦ－ＦＦ。ＭＡＣ洪泛容易造成網(wǎng)絡(luò)不穩(wěn)定，且攻擊者需要處理接收到的網(wǎng)內(nèi)大量數(shù)據(jù)包，所以ＡＲＰ欺騙技術(shù)較為常用。因此，本文將介紹以ＡＲＰ欺騙突破交換式以太網(wǎng)對數(shù)據(jù)監(jiān)聽的限制，成為“中間人（ｍａｎ－ｉｎ－

截獲ＤＮＳ報(bào)文，進(jìn)而偽造ＤＮＳ報(bào)文進(jìn)行ＤＮＳｍｉｄｄｌｅ）”欺騙的技術(shù)。

技

術(shù)創(chuàng)新

２欺騙原理

２．１ＡＲＰ欺騙

在ＴＣＰ／ＩＰ網(wǎng)絡(luò)環(huán)境下，一個(gè)ＩＰ數(shù)據(jù)包到達(dá)目的地所經(jīng)過的網(wǎng)絡(luò)路徑是由路由器根據(jù)數(shù)據(jù)包的目的

１引言

以太網(wǎng)按其信息交換的方式可分為共享式以太網(wǎng)和交換式以太網(wǎng)。共享式以太網(wǎng)通過集線器進(jìn)行網(wǎng)絡(luò)互聯(lián)，集線器將每個(gè)端口收到的數(shù)據(jù)幀向所有其它端口以廣播形式發(fā)送，因此任意主機(jī)都可以通過將網(wǎng)卡設(shè)置為混雜模式來監(jiān)聽網(wǎng)內(nèi)的所有通信；而交換式以太網(wǎng)是通過交換機(jī)將網(wǎng)內(nèi)主機(jī)相連，交換機(jī)將對每個(gè)端口收到數(shù)據(jù)幀進(jìn)行源和目的ＭＡＣ地址檢測，然后與內(nèi)部動態(tài)的ＭＡＣ端口映射表進(jìn)行比較，若數(shù)據(jù)幀的源ＭＡＣ地址不在映射表中，則將該ＭＡＣ地址和對應(yīng)接收端口加入映射表中，同時(shí)根據(jù)映射表中與目的ＭＡＣ地址對應(yīng)的端口號，交換機(jī)把數(shù)據(jù)幀僅從該端口發(fā)送出去。因此交換機(jī)的每個(gè)端口可平行、安全、同時(shí)地互相傳輸信息，其它端口的主機(jī)即使將網(wǎng)卡設(shè)郭潤：碩士生

基金項(xiàng)目：國家“課題基金資助項(xiàng)目８６３”編號：２００３ＡＡ１０３５１０

電話：０１０－６２１３２４３６，６２１９２６１６（Ｔ／Ｆ）

ＩＰ地址查找路由表決定的，但ＩＰ地址只是主機(jī)在網(wǎng)絡(luò)層中的地址，要在實(shí)際的物理鏈路上傳送數(shù)據(jù)包，還需要將ＩＰ數(shù)據(jù)包封裝到ＭＡＣ幀后才能發(fā)送到網(wǎng)

絡(luò)中。同一鏈路上的哪臺主機(jī)接收這個(gè)ＭＡＣ幀是依據(jù)該ＭＡＣ幀中的目的ＭＡＣ地址來識別的，即除了同一鏈路上將網(wǎng)卡置為混雜模式的主機(jī)外，只有當(dāng)某臺主機(jī)的ＭＡＣ地址和鏈路中傳輸?shù)模停粒脦哪康模停粒玫刂废嗤瑫r(shí)，該主機(jī)才會接收這個(gè)ＭＡＣ幀并拆封為ＩＰ數(shù)據(jù)包交給上層模塊處理。因此，每一臺主機(jī)在發(fā)送鏈路層數(shù)據(jù)幀前都需要知道同一鏈路上接收方的ＭＡＣ地址，地址解析協(xié)議ＡＲＰ正是用來進(jìn)行ＩＰ地址到ＭＡＣ地址的轉(zhuǎn)換的。同時(shí)為了避免不必要的

ＡＲＰ報(bào)文查詢，每臺主機(jī)的操作系統(tǒng)都維護(hù)著一個(gè)ＡＲＰ高速緩存（ＡＲＰＣａｃｈｅ），記錄著同一鏈路上其它主機(jī)的ＩＰ地址到ＭＡＣ地址的映射關(guān)系。ＡＲＰ高速緩存通常是動態(tài)的（該緩存可以手工添加靜態(tài)條目），由系統(tǒng)在一定的時(shí)間間隔后進(jìn)行刷新。

２００例》

中國自控網(wǎng)：ｈｔｔｐ：／／ｗｗｗ．ａｕｔｏｃｏｎｔｒｏｌ．ｃｎ：／－２１－

中文核心期刊《微計(jì)算機(jī)信息》（管控一體化）２００５年第２１卷第１０－３期

ＡＲＰ協(xié)議雖然是一個(gè)高效的數(shù)據(jù)鏈路層協(xié)議，但作為一個(gè)局域網(wǎng)協(xié)議，它是建立在各主機(jī)之間相互信任的基礎(chǔ)上的，所以ＡＲＰ協(xié)議存在以下缺陷：ＡＲＰ高速緩存根據(jù)所接收到的ＡＲＰ協(xié)議包隨時(shí)進(jìn)行動態(tài)更新；ＡＲＰ協(xié)議沒有連接的概念，任意主機(jī)即使在沒有

器上去，從而對網(wǎng)絡(luò)的完整性構(gòu)成威脅；

（３）ＤＮＳ的高速緩存機(jī)制，當(dāng)一個(gè)域名服務(wù)器收到有關(guān)域名和ＩＰ的映射信息時(shí)，它會將該信息存放在高速緩存中，當(dāng)再次遇到對此域名的查詢請求時(shí)就直接使用緩存中的結(jié)果而無需重新查詢。

針對ＤＮＳ協(xié)議存在的安全缺陷，目前可采用ＤＮＳ欺騙技術(shù)有：

（１）內(nèi)應(yīng)攻擊。攻擊者在非法或合法地控制一臺

ＡＲＰ請求的時(shí)候也可以做出應(yīng)答；ＡＲＰ協(xié)議沒有認(rèn)證機(jī)制，只要接收到的協(xié)議包是有效的，主機(jī)就無條件的根據(jù)協(xié)議包的內(nèi)容刷新本機(jī)ＡＲＰ緩存，并不檢查該協(xié)議包的合法性。因此攻擊者可以隨時(shí)發(fā)送虛假ＡＲＰ包更新被攻擊主機(jī)上的ＡＲＰ緩存，進(jìn)行地址欺騙或拒絕服務(wù)攻擊。

ＤＮＳ服務(wù)器后，可以直接操作域名數(shù)據(jù)庫，修改指定域名所對應(yīng)的ＩＰ為自己所控制的主機(jī)ＩＰ。于是，當(dāng)客戶發(fā)出對指定域名的查詢請求后，將得到偽造的ＩＰ地址。

（２）序列號攻擊。ＤＮＳ協(xié)議格式中定義了序列號ＩＤ是用來匹配請求數(shù)據(jù)包和響應(yīng)數(shù)據(jù)報(bào)，客戶端首先以特定的ＩＤ向ＤＮＳ服務(wù)器發(fā)送域名查詢數(shù)據(jù)包，在ＤＮＳ服務(wù)器查詢之后以相同的ＩＤ號給客戶端發(fā)送域

技術(shù)創(chuàng)新

針對交換機(jī)根據(jù)目的ＭＡＣ地址來決定數(shù)據(jù)包轉(zhuǎn)發(fā)端口的特點(diǎn)，ＡＲＰ欺騙的實(shí)現(xiàn)如圖１所示：假設(shè)主機(jī)Ｃ為實(shí)施ＡＲＰ欺騙的攻擊者，其目的是截獲主機(jī)Ｂ和主機(jī)Ａ間的通信數(shù)據(jù)，且主機(jī)Ｃ在實(shí)施ＡＲＰ欺騙前已經(jīng)預(yù)先知道Ａ和Ｂ的ＩＰ地址。這時(shí)Ｃ先發(fā)送ＡＲＰ包獲得主機(jī)Ｂ的ＭＡＣ地址，然后向Ｂ發(fā)送ＡＲＰ

名響應(yīng)數(shù)據(jù)包。這時(shí)客戶端會將收到的ＤＮＳ響應(yīng)數(shù)據(jù)包的ＩＤ和自己發(fā)送的查詢數(shù)據(jù)包ＩＤ相比較，如果匹配則表明接收到的正是自己等待的數(shù)據(jù)報(bào)，如果不匹配則丟棄之。利用序列號進(jìn)行ＤＮＳ欺騙的關(guān)鍵是偽裝ＤＮＳ服務(wù)器向客戶端發(fā)送ＤＮＳ響應(yīng)數(shù)據(jù)包，并在

Ｒｅｐｌｙ數(shù)據(jù)包，其中源ＩＰ地址為Ａ的ＩＰ地址，但是源ＭＡＣ地址卻是主機(jī)Ｃ的ＭＡＣ地址。主機(jī)Ｂ收到該ＡＲＰＲｅｐｌｙ后，將根據(jù)新的ＩＰ與ＭＡＣ映射對更新ＡＲＰ緩存。這以后當(dāng)Ｂ給Ａ發(fā)送數(shù)據(jù)包時(shí)，目標(biāo)ＭＡＣ地址將使用Ｃ的ＭＡＣ地址，因此交換機(jī)根據(jù)Ｃ的

同ＭＡＣ地址就將數(shù)據(jù)包轉(zhuǎn)發(fā)到攻擊者Ｃ所在的端口。

理攻擊者Ｃ發(fā)送ＡＲＰＲｅｐｌｙ使主機(jī)Ａ確信主機(jī)Ｂ的

在間歇的發(fā)送虛假ＡＲＰＭＡＣ地址為Ｃ的ＭＡＣ地址。

Ｒｅｐｌｙ的同時(shí)，攻擊者Ｃ打開本地主機(jī)的路由功能，將被劫持的數(shù)據(jù)包轉(zhuǎn)發(fā)到正確的目地主機(jī)，這時(shí)攻擊者對主機(jī)Ａ和Ｂ來說是完全透明的，通信不會出現(xiàn)異常，但實(shí)際上數(shù)據(jù)包卻被Ｃ非法截獲，攻擊者Ｃ成為了中間人”“。

ＤＮＳ服務(wù)器發(fā)送的真實(shí)ＤＮＳ響應(yīng)數(shù)據(jù)報(bào)之前到達(dá)客

戶端，從而使客戶端ＤＮＳ緩存中查詢域名所對應(yīng)的ＩＰ就是攻擊者偽造的ＩＰ，因此將客戶端帶到攻擊者所希望的網(wǎng)站。其欺騙的前提條件是攻擊者發(fā)送的ＤＮＳ響應(yīng)數(shù)據(jù)包ＩＤ必須匹配客戶的ＤＮＳ查詢數(shù)據(jù)包ＩＤ。

在實(shí)際欺騙攻擊中，利用序列號進(jìn)行ＤＮＳ欺騙可分兩種情況：第一，當(dāng)攻擊者與ＤＮＳ服務(wù)器、本地主機(jī)與客戶端主機(jī)均不在同一個(gè)局域網(wǎng)內(nèi)時(shí)，攻擊者可以向客戶端主機(jī)隨機(jī)發(fā)送大量ＤＮＳ響應(yīng)數(shù)據(jù)報(bào)，其中序列號是任意給定的，因此序列號和客戶端查詢報(bào)文序列號匹配的概率很低；第二，當(dāng)攻擊者至少與ＤＮＳ服務(wù)器或客戶端主機(jī)中的某一個(gè)處在同一個(gè)局域網(wǎng)內(nèi)時(shí)，對于共享式以太網(wǎng)攻擊者可以通過嗅探得到ＤＮＳ查詢報(bào)文的序列號，對于交換式以太網(wǎng)攻擊者就需要通過ＡＲＰ欺騙獲取ＤＮＳ查詢報(bào)文序列號。

２．２ＤＮＳ欺騙

主機(jī)域名與ＩＰ地址的映射關(guān)系是由域名系統(tǒng)ＤＮＳ來實(shí)現(xiàn)的，現(xiàn)在Ｉｎｔｅｒｎｅｔ上主要使用Ｂｉｎｄ域名服務(wù)器程序。ＤＮＳ協(xié)議具有以下特點(diǎn)：

３具體實(shí)現(xiàn)

為了能在Ｗｉｎｄｏｗｓ下發(fā)送原始數(shù)據(jù)包，本文利用了ＷｉｎＰｃａｐ來開發(fā)實(shí)驗(yàn)程序。ＷｉｎＰｃａｐ是一個(gè)Ｗｉｎ３２平臺下進(jìn)行數(shù)據(jù)包捕獲和網(wǎng)絡(luò)分析的開源程序庫，它具有內(nèi)核級的包過濾器，提供了捕獲原始數(shù)據(jù)包，按照一定規(guī)則過濾數(shù)據(jù)包，以及發(fā)送原始數(shù)據(jù)包功能。

（１）ＤＮＳ報(bào)文只使用一個(gè)序列號來進(jìn)行有效性鑒別，序列號由客戶程序設(shè)置并由服務(wù)器返回結(jié)果，客戶程序通過它來確定響應(yīng)與查詢是否匹配，這就引入了序列號攻擊的危險(xiǎn)；

（２）在ＤＮＳ應(yīng)答報(bào)文中可以附加信息，該信息可以和所請求的信息沒有直接關(guān)系，這樣，攻擊者就可以在應(yīng)答中隨意添加某些信息，指示某域的權(quán)威域名服務(wù)器的域名及ＩＰ，導(dǎo)致在被影響的域名服務(wù)器上查詢該域的請求都會被轉(zhuǎn)向攻擊者所指定的域名服務(wù)

中國自控網(wǎng)：ｈｔｔｐ：／／ｗｗｗ．ａｕｔｏｃｏｎｔｒｏｌ．ｃｏｍ．ｃｎ

－元／：３．１實(shí)驗(yàn)設(shè)計(jì)

實(shí)驗(yàn)程序的假設(shè)應(yīng)用環(huán)境是攻擊者和被攻擊客戶端（也可以是域名服務(wù)器）處于同一個(gè)交換式以太網(wǎng)中。首先，打開本地攻擊者主機(jī)的路由功能，設(shè)置

Ｗｉｎｄｏｗｓ２０００Ｓｅｒｖｅｒ注冊表鍵值ＨＫＥＹ＿ＬＯＣＡＬ＿ＭＡＣＨＩＮＥ＼ＳＹＳＴＥＭ＼ＣｕｒｒｅｎｔＣｏｎｔｒｏｌＳｅｔ＼Ｓｅｒｖｉｃｅｓ＼Ｔｃｐｉｐ＼Ｐａ

電話：０１０－６２１３２４３６，６２１９２６１６（Ｔ／Ｆ）

《ＰＬＣ技術(shù)應(yīng)用２００例》

信息安全

您的論文得到相關(guān)企業(yè)家品評

ｒａｍｅｔｅｒｓ＼ＩＰＥｎａｂｌｅＲｏｕｔｅｒ＝０ｘ１，這樣在實(shí)施欺騙攻擊時(shí)被攻擊客戶端仍能訪問互聯(lián)網(wǎng)，達(dá)到隱蔽攻擊者的目的。然后根據(jù)網(wǎng)關(guān)和被攻擊客戶端的ＩＰ發(fā)送ＡＲＰ請求得到兩者的ＭＡＣ地址，為攻擊做好準(zhǔn)備。

中要突破交換式以太網(wǎng)數(shù)據(jù)監(jiān)聽的限制，成為“間人”截獲ＤＮＳ報(bào)文，實(shí)驗(yàn)程序中創(chuàng)建了兩個(gè)線程。一個(gè)線程進(jìn)行實(shí)時(shí)的ＡＲＰ欺騙，其具體負(fù)責(zé)間歇地向被

攻擊客戶端和網(wǎng)關(guān)發(fā)送偽造的ＡＲＰ響應(yīng)報(bào)文，更新被攻擊客戶端和網(wǎng)關(guān)的ＡＲＰ緩存，讓攻擊者成為雙方通信的中繼節(jié)點(diǎn)，即作為“中間人”插入被攻擊客戶端和網(wǎng)關(guān)的通信路徑中，從而截獲被攻擊客戶端和網(wǎng)關(guān)間的所有數(shù)據(jù)通信，為進(jìn)行ＤＮＳ欺騙奠定基礎(chǔ)。

另一個(gè)線程監(jiān)聽網(wǎng)關(guān)和被攻擊客戶端之間的數(shù)據(jù)包，若發(fā)現(xiàn)其中有客戶發(fā)送的ＤＮＳ域名服務(wù)查詢數(shù)據(jù)包（目的端口為５３），則提取客戶ＤＮＳ查詢數(shù)據(jù)包中的ＩＤ序列號，偽造一個(gè)ＤＮＳ響應(yīng)報(bào)文發(fā)送給查詢域名的客戶，該響應(yīng)報(bào)文中就帶有攻擊者希望客戶去訪問的ＩＰ地址。這樣客戶將先收到偽造的ＤＮＳ響應(yīng)報(bào)文并訪問錯(cuò)誤的或者被攻擊者控制的網(wǎng)站。整個(gè)攻擊的過程如圖２所示。

問獲得的數(shù)據(jù)中常常包含許多鏈接，而客戶端用戶也常常根據(jù)客戶端界面的引導(dǎo)而對這些鏈接指向的地址進(jìn)行訪問。由于攻擊者作為“中間人”轉(zhuǎn)發(fā)客戶端和

Ｉｎｔｅｒｎｅｔ間通信的數(shù)據(jù)流，所以攻擊者可以不進(jìn)行ＤＮＳ欺騙，直接對服務(wù)器返回內(nèi)容中的鏈接進(jìn)行修改，將它們指向攻擊者控制的機(jī)器上去。當(dāng)然，攻擊者還要保留原來鏈接的足夠信息，以便在收到新的訪問請求時(shí)攻擊者能夠代替客戶去訪問正確的地址，回送看似正確的內(nèi)容。當(dāng)然，細(xì)心的用戶可以通過查看Ｗｅｂ瀏覽器中的狀態(tài)行、地址行或網(wǎng)頁源代碼等發(fā)現(xiàn)自己已經(jīng)進(jìn)入假冒的頁面，這時(shí)攻擊者就需要進(jìn)行更細(xì)致的欺騙，文獻(xiàn)中詳細(xì)介紹了這些技術(shù)。

４結(jié)論

通過本文的分析得知，在交換式以太網(wǎng)中要進(jìn)行數(shù)據(jù)監(jiān)聽和ＤＮＳ欺騙等，都需要先進(jìn)行ＡＲＰ欺騙，因此在以太網(wǎng)中防御ＡＲＰ欺騙顯得尤為重要。目前，針對ＡＲＰ欺騙的防御可以采用在目標(biāo)主機(jī)的ＡＲＰ緩存中設(shè)置靜態(tài)地址映射記錄，但其缺點(diǎn)是若改變了網(wǎng)內(nèi)主機(jī)的ＩＰ，就需要重新設(shè)置ＡＲＰ緩存，所以運(yùn)用不廣；也可以對網(wǎng)絡(luò)中的ＡＲＰ報(bào)文進(jìn)行被動檢測或主動發(fā)送ＡＲＰ查詢報(bào)文，當(dāng)發(fā)現(xiàn)一個(gè)ＩＰ地址對應(yīng)兩個(gè)

總的來說，由ＭＡＣ地址時(shí)，就存在欺騙攻擊的可能性。

于ＡＲＰ設(shè)計(jì)存在缺陷，要根本解決ＡＲＰ欺騙問題比

較困難，作為在ＩＰｖ６網(wǎng)絡(luò)中替代ＡＲＰ協(xié)議的鄰居發(fā)現(xiàn)協(xié)議ＮＤ同樣也存在被欺騙攻擊的可能，目前ＩＥＴＦ正在開發(fā)的安全鄰居發(fā)現(xiàn)協(xié)議ＳＥＮＤ可能在下一代網(wǎng)絡(luò)中解決此問題。

參考文獻(xiàn)

技術(shù)創(chuàng)新

［１］ＤＮＳＡｂｕｓｅ；ｈｔｔｐ：／／ｐａｃｋｅｔｓｔｏｒｍ．ｓｅｃｕｒｉｆｙ．ｃｏｍ／ｐａｐｅｒｓ／ｐｒｏｔｏｃｏｌｓ／ｍｉ００４ｅｎ．ｈｔｍ；２００４．１１．１５．

［２］Ｆｅｌｔｅｎ．Ｅ，Ｂａｌｆａｎｚ．Ｄ，Ｄｅａｎ．Ｄ，Ｗａｌｌａｃｈ．Ｄ．Ｓ；ＷｅｂＳｐｏｏｆｉｎｇ，ＡｎＩｎｔｅｒｎｅｔＣｏｎＧａｍｅ；ｈｔｔｐ：／／ｂａｕ２．ｕｉｂｋ．ａｃ．ａｔ／ｍａｔｉｃ／ｓｐｏｏｆｉｎｇ．ｈｔｍ；２００４．１２．１

［３］賀龍濤，方濱興，胡銘曾；主動監(jiān)聽中協(xié)議欺騙的研究；通信學(xué)報(bào)；２００３．１１

［４］任俠，呂述望；ＡＲＰ協(xié)議欺騙原理分析與抵御方法；計(jì)算機(jī)工程；２００３．６

作者簡介：郭潤（１９８０－），男，碩士生，解放軍信息工程大學(xué)信息工程學(xué)院信息科學(xué)系，研究方向?yàn)榫W(wǎng)絡(luò)互聯(lián)、網(wǎng)絡(luò)安全；Ｅ－ｍａｉｌ：ｇｒｉｘｍａｉｌ＠ｈｏｔｍａｉｌ．ｃｏｍ；王振興（１９５９－），男，教授，博士，解放軍信息工程大學(xué)；敦亞南（１９８０－），女，碩士生，解放軍信息工程大學(xué)信息工程學(xué)院信息科學(xué)系。

３．２對進(jìn)一步Ｗｅｂ欺騙的分析

通過ＤＮＳ欺騙，客戶將訪問到錯(cuò)誤的網(wǎng)站，若攻擊者在讓客戶訪問的虛假網(wǎng)站上克隆了客戶欲訪問的真實(shí)網(wǎng)站，則對于普通計(jì)算機(jī)用戶來說是無法分辨網(wǎng)站的真實(shí)性的，因此攻擊者可誘騙客戶輸入如賬號和密碼等信息然后再將客戶端重定向到真實(shí)網(wǎng)站，而客戶卻對自己遭到欺騙攻擊的事實(shí)毫無察覺。

此外，對于Ｗｅｂ服務(wù)等有鏈接服務(wù)，客戶每次訪

電話：０１０－６２１３２４３６，６２１９２６１６（Ｔ／Ｆ）

（４５０００２河南鄭州解放軍信息工程大學(xué)信息工程學(xué)院）郭潤王振興敦亞南

（ＩｎｓｔｉｔｕｔｅｏｆＩｎｆｏｒｍａｔｉｏｎＥｎｇｉｎｅｅｒｉｎｇ，ＩｎｆｏｒｍａｔｉｏｎＥｎｇｉｎｅｅｒｉｎｇＵｎｉｖｅｒｓｉｔｙ，ＺｈｅｎｚｈｏｕＨｅｎａｎ，４５０００２）Ｇｕｏ，ＲｕｎＷａｎｇ，ＺｈｅｎｘｉｎｇＤｕｎ，Ｙａｎａｎ聯(lián)系方式：

（４５０００２鄭州１００１信箱８３５分箱）郭潤

（投稿日期：２００５．４．５）（修稿日期：２００５．４．２０）

２００例》

中國自控網(wǎng)：ｈｔｔｐ：／／ｗｗｗ．ａｕｔｏｃｏｎｔｒｏｌ．ｃｎ

：／－２３－