欺骗分析

关键词： 数据包 地址 IP地址 协议

欺骗分析（精选十篇）

欺骗分析 篇1

（一）ARP欺骗的原理分析

1. ARP的原理和作用

ARP用于获取目的结点的MAC地址。通常，计算机会建立一个ARP高速缓存表，记录局域网计算机的IP地址和MAC地址的映射关系。

假设某主机A要将一个数据包发送到目的主机B, A首先要根据B的IP地址查找其ARP高速缓存表中是否存在所对应的MAC地址，如果有，就直接根据此MAC地址封装数据帧并发送;如果没有，就向本地网段发起一个ARP请求的广播包，请求该IP地址的MAC地址是多少，由于ARP请求是一个广播包，所以本网段的所有主机都会收到这个包，并记录源主机A的IP地址和MAC地址，将其添加到各自的ARP高速缓存表中。而对于B来说，作为请求的对象，还会对ARP请求做出响应。它会返回一个单播响应包，其中包含了B的IP地址和MAC地址。当A收到这个响应后，将B的IP地址和MAC地址的映射关系存储在ARP高速缓存表中。此时，A和B都有了对方的IP地址和MAC地址的映射关系，可以进行正常的数据通信。

特别要指出的是，当某主机要和一台不同网段的计算机通信时，则将数据包交由网关(或路由器)转发，于是此主机要通过ARP协议请求网关的MAC地址，在获得了正确的网关的MAC地址后，将数据投递到网关，由网关进行转发，才可能完成跨网段的通信。

在计算机上，使用arp–a命令，可以查看本机的ARP地址映射表。如下：

2. ARP欺骗的过程解析

通过对ARP工作机制的分析可以发现，以太网上很容易实现ARP欺骗：然而在以太网中工作的计算机，并不对它所接收的数据包中的源MAC地址的真实性检查，因此计算机上很有可能存储伪造的某IP的MAC地址;其次，ARP缓存表总是保留最新收到的IP和MAC地址的映射关系，当计算机接收到一个新的ARP应答数据包的时候，就会对本地的ARP缓存进行更新。所以，一旦有计算机向网络中广播虚假的IP地址和MAC地址的映射关系时，网络中的其他计算机都会刷新本地主机的ARP高速缓存表，记录错误的MAC地址。由于局域网的通信就是按照MAC地址进行传输，所以，被欺骗的计算机就产生了通信故障。

例如：假设局域网中有计算机A要与B通信，而C是一个发送ARP欺骗的攻击者，而它们的IP地址及MAC地址如表一所示：

正常情况下，A和B都在ARP缓存中记录对方的IP和MAC。然而假设此时有计算机C在网络中发送ARP响应数据包，将IP_A映射MAC_C作为ARP响应，那么B收到此ARP响应后就会刷新ARP缓存表，将表中的IP_A所对应的MAC地址修改为MAC_C;同样的方法，也可以使得A刷新ARP缓存表，将IP_B所对应的MAC地址修改为MAC_C。此时，C就成功的“欺骗”了A和B，而A和B彼此通信的数据最终都会被发送到C，它们之间就无法正常通信了。

（二）ARP欺骗对局域网的危害

从上面的分析可以看出，ARP欺骗可以攻击局域网内任何一台没有防范的计算机或网络设备。在实际的情况中，ARP欺骗通常有两种表现形式：一种是对网关(路由器)的ARP欺骗;另一种是对内网计算机的ARP欺骗。

对网关(路由器)的ARP欺骗主要方法是：欺骗者不断的向路由器发送大量ARP响应数据包，而这些数据包伪造了一系列对应与内网IP的MAC地址，当欺骗者不断发送这些伪造的数据包时，真实的ARP映射信息无法通过更新保存在路由器中，于是路由器转发的数据只能发送给错误的MAC地址，造成PC无法正常收到信息。

对内网计算机的ARP欺骗主要方法是：欺骗者伪造网关的MAC地址，并向内网计算机发送伪造的ARP响应数据包，使得内网的计算机在ARP缓存中记录的不是正确网关的MAC地址，从而导致内网计算机普遍“断网”。在园区网络中，以此类ARP欺骗最常见，影响也最严重。

ARP欺骗攻击的后果非常严重，它可能使得用户访问时断时续，甚至是造成大面积掉线。此外，由于ARP欺骗可以使得原本要发送到目的计算机的数据被发送到其他计算机，因此在ARP欺骗中，可以让上网主机的流量必须经过欺骗者的主机，其他主机原来直接通过交换机上网现在转由通过欺骗者主机上网。如果结合使用抓包分析工具，欺骗者利用一些嗅探工具和抓包工具监视到被欺骗主机的明文密码以及访问信息。这是十分危险的，欺骗者接到了数据时，它再提交给网关。这样的方法可以截获以明文传输的信息，盗取未经加密传输的用户名和口令。

（三）ARP欺骗的检测

1. 在局域网内使用抓包软件进行抓包分析：

抓包软件很多，如sniffer, Ethereal, Windump等。以检测网络中是否存在对计算机的ARP欺骗为例，可以在网络中的某台计算机上安装sniffer，抓一个源IP地址为网关的ARP响应包进行分析，如果此ARP响应分组包中所对应的MAC地址不是网关真实的MAC地址，那么网络中就存在着ARP欺骗。这种检测方法简单易行，而且误判率小。

2. 在三层交换机中查看ARP表：

查看作为网关的三层交换机的ARP缓存表，如果ARP表中存在一个MAC对应多个端口，或者发现关于某计算机的ARP映射关系明显与真实情况不符，则也表明网络中存在ARP欺骗攻击。然而这种检测方法仅合适于有网络管理权限的管理员，普通用户无法操作。

3. 对比查看本地ARP表：

对于网络上的计算机，在可以正常访问网络的情况下，用“arp–a”命令查看本地的ARP表，并记录网关所对应的MAC地址;在网络出现故障时，再次用“arp–a”命令查看本地的ARP表。如果此时网关所对应的MAC地址和之间所记录的MAC地址不同，此计算机则是受到了ARP欺骗攻击，而此时网关所对应的新的MAC地址，就是发送ARP欺骗的计算机的网卡MAC地址。

（四）ARP欺骗的防范措施

1. 在主机上静态绑定的网关的IP和MAC地址

针对ARP攻击对象为局域网上的计算机的欺骗，可以在用户端的计算机上静态绑定网关MAC，以防止主机刷新ARP缓存。方法如下：建立一个开机自动运行的批处理文件，清空本地ARP列表，并加入这样一条绑定静态ARP表的命令：“arp–s网关的IP地址网关的MAC地址”。例如：

这种做法在ARP缓存表中静态绑定了网关的正确的MAC，使得它不被ARP欺骗包刷新，达到了防制的效果，非常简单易行，一般用户都可以用此方法来解决ARP欺骗的问题。

2. 架设ARP服务器

在局域网内架设ARP服务器的做法是：管理员先记录网络中的网关和所有主机的IP地址以及MAC地址，然后在ARP服务器上预先配置这些IP和MAC的映射关系。当ARP服务器收到ARP请求时就立即发送正确的ARP响应，用来协助主机响应局域网内的所有ARP请求。此外，还可以设置此ARP服务器定时在网络中广播发送正确的ARP响应信息，来保证局域网内的计算机时刻有一个正确的ARP缓存表。让网络设备和主机发送大量的正确A R P信息，和欺骗信息抢夺网络资源。这是一种常见的解决方案，但由于存在无法彻底根除，会造成大量垃圾流量的问题，现已很少使用。

3. 用接入层交换机防止ARP欺骗

许多交换机都有了IP+MAC+端口绑定的功能。在接入层交换机的端口上绑定了主机的IP和MAC对应关系后，仅有正常的数据包可以通过主机所在的端口，仿冒其它设备的ARP欺骗报文则无法通过，也就不能通过MAC地址的替换来达到攻击的目的。

4. 使用安全工具软件

除了以上防止ARP欺骗的方法以外，计算机还应当及时安装具有防止ARP攻击功能的安全工具，例如Anti ARP Sniffer、360安全卫士、瑞星防火墙等，此外还可以利用木马杀客等安全工具查杀ARP木马。

（五）结语

ARP欺骗的存在严重影响了局域网的稳定和安全，虽然在目前的网络中还不能从根本上消除ARP欺骗，但只要能做到经常检查网络状态，对网络进行检测、监控，采取积极主动的防御行动，一定能在很大程度上保证网络的安全和畅通。

摘要：ARP欺骗给当前许多园区网络通信带来了严重影响。文章讨论了ARP的工作原理, 结合分析局域网中计算机通信的具体过程, 阐明了ARP欺骗的原理和对局域网造成的危害。并针对这种攻击原理, 总结了检测以及防范ARP欺骗的若干方法。

关键词：ARP欺骗,ARP欺骗的检测,防范措施

参考文献

[1]杨延朋.校园网络ARP协议欺骗的检测与防御[J].鞍山科技大学学报, 2007, 30 (2) .

欺骗分析 篇2

张志刚

（作者单位：浙江省开化县实验小学 邮编：324300）

摘要：ARP攻击是当前校园网遇到的一个非常典型的安全威胁，受到ARP攻击后轻者校园网会出现大面积掉线，重者会窃取用户密码。目前，网上有关ARP资料较多，但作者发现：网上资料虽多但大多逻辑性和指导性均不强，甚至有一些还自相矛盾，不能自圆其说。该文来自于一线网管员的工作实践，具有较强的针对性和操作性。

关键词：校园网、ARP、原理、方法 正文：

ARP攻击是当前校园网遇到的一个非常典型的安全威胁，受到ARP攻击后校园网内各终端电脑会出现大面积掉线、ARP包爆增、拷贝文件无法完成，出现错误、无法ping通网关，但重启机器后又可恢复上网等情况。欺骗木马发作时还会窃取用户密码，如盗取QQ密码、盗取各种网络游戏密码和账号，盗窃网上银行账号来做非法交易活动等。在08年的暑期,我县的教育城域网就爆发了一次较大的ARP攻击事件，前后持续时间近一个月，给全县教育系统的暑期办公培训及新学期的准备工作带来了较大的影响，攻击源来自于乡下某学校的一台老师忘记关机并感染了ARP病毒的的办公电脑。

作为一名学校的网管员，在与多起ARP欺骗攻击的的斗争过程中，对ARP病毒相关基础知识、危害认识也越来越深刻，对如何在校园网内及时发现、有效防范查杀攻击源的具体处理上也有了一定的心得，现作一整理，供兄弟学校的各网管员们参考借鉴。

1.要了解APR病毒需先掌握的几个概念 1.1：IP地址

IP地址是出现频率非常高的词。它类似于电话通迅中的电话号码，在我们的校园网中，为了区别每一台不同的计算机，我们需要给每一台计算机都配臵一个号码，这个号码我们就将它叫做IP地址，有了这个IP地址我们在利用网络进行上网、传递文件，进行局域网聊天时才不会将发送给A计算机的信息错发到其

它的计算机上。一般情况下，在校园网内一台计算机只分配一个IP地址，IP地址采用十进制数字表示,如192.168.0.25。1.2、MAC地址：

在现实生活中，我们每个人由于工作等原因会经常的搬家，每台计算机的IP地址在使用中就会发生变化。IP地址发生变化了，为什么不会影响我们在网上收发信息呢？这主要是因为我们计算机的网卡MAC地址是不发生变化的。MAC地址也叫物理地址，它类似于我们每个人的身份证，是全球唯一的，只要MAC地址这个计算机的身份证存在，我们在全球庞大的计算机网络中就总能找到自已的这台计算机。MAC地址的长度为48位（6个字节），通常表示为12个16进制数，每2个16进制数之间用冒号隔开，如：00:0F:E2:70:70:BC。XP系统环境下本机的IP与MAC地址信息我们可以执行IPCONFIG –ALL命令进行查询。1.3、ARP（Address Resolution Protocol：地址解析协议）

不管是在校园局域网中还是在广域网中，数据信息要从某种形式的链路上的初始节点出发，从一个节点传递到另一个节点，最终传送到目的节点。如果仅仅依靠IP地址去传递信息是要发生错误的，因为IP地址是要发生变化的，在某些时候我们就需要将IP地址与MAC地址进行捆定，保证网络中信息传递的准确性，完成这个功能的就是ARP地址解析协议。网络中的每台电脑，它都会收集网络上的各台计算机的IP地址与MAC地址信息，将它储存在一个叫“ARP缓存表”的地方，当机器A要向主机B发送报文，会查询本地的ARP缓存表，找到B的IP地址对应的MAC地址后就会进行数据传输。如果未找到，则广播A一个ARP请求报文（携带主机A的IP地址Ia——物理地址Pa），请求IP地址为Ib的主机B回答物理地址Pb。网上所有主机包括B都收到ARP请求，但只有主机B识别自己的IP地址，于是向A主机发回一个ARP响应报文。其中就包含有B的MAC地址，A接收到B的应答后，就会更新本地的ARP缓存。接着使用这个MAC地址发送数据。

2.ARP欺骗的原理分析

为便于阐述，在这我们假设有一个有三台计算机甲、乙、丙组成的局域网，其中甲感染了ARP木马病毒。正常情况下，甲的地址为：IP：192.168.1.1 MAC: AA-AA-AA-AA-AA-AA，乙的地址为：IP：192.168.1.2 MAC: BB-BB-BB-BB-BB-BB，丙的地址为：IP：192.168.1.3 MAC: CC-CC-CC-CC-CC-CC。当计算机甲上运行了

ARP欺骗程序，向乙或丙发送了ARP欺骗包后，基于乙、丙对甲的完全信任关系，乙或丙计算机会自动更新本地的ARP缓存，将错误的IP与MAC地址信息替代了正确的信息对应表，这样当然也就不能保证乙、丙两台计算机能顺畅地对外通讯了。在校园网中，问题会随着ARP欺骗包针对网关而变本加厉，当局域网中一台机器，反复向其他机器，特别是向网关，发送这样无效假冒的ARP应答信息包时，严重的网络堵塞就会开始。由于网关MAC地址错误，所以从网络中计算机发来的数据无法正常发到网关，自然无法正常上网。这就造成了无法访问外网的问题，另外由于很多时候网关还控制着我们的局域网LAN上网，所以这时我们的LAN访问也就出现问题了

3.校园网ARP病毒的预防措施及感染后的分析及处理 3.1、校园网ARP病毒的五条预防措施：

措施

1、及时升级客户端的操作系统和应用程序补丁。措施

2、安装和更新杀毒软件及ARP专用防火墙。

措施

3、如果网络规模较小，尽量使用手动指定IP设臵，而不是使用DHCP来分配IP地址。

措施

4、如果交换机或路由器支持，在交换机或路由器上绑定MAC地址与IP地址。

措施

5、在校园网正常运行时，备份一份网关与知终端的IP地址与MAC地址正常对应表，最好包含计算机名信息。现今学校一般都通过路由器上网，两地址信息均可在路由器的WEB设臵页面中找到，也可以使用网上常见的一些专业MAC地址扫描工具得到正确的地址信息。3.2、ARP病毒感染后的分析及处理

校园网如果还是不幸中招，出现本文第一段所说的那些症状时，我们首先应该判断是否为ARP病毒的原因，点击“开始”按钮->选择“运行”->输入“arp–d”->点击“确定”按钮，然后重新尝试上网，如果能恢复正常，则说明此次掉线可能是受ARP欺骗所致。arp-d命令用于清除并重建本机arp表。arp–d命令并不能抵御ARP欺骗，执行后仍有可能再次遭受ARP攻击。如果计算机安装有ARP防火墙的话，也会在屏幕的右下角跳出报警信息，当确诊为ARP病毒是时，我们可以采取以下方法进行校园网的修复处理。

第一步：首先保证网络正常运行。在桌面上新建一个名为ARP文本文件，用

记事本写下：

@echo off arp-d

arp-s 网关IP MAC地址

保存后将记事本后缀名改名BAT（批处理文件）。将这个批处理文件发送给各计算机端，当遭受ARP攻击时，将它执行一遍，重新绑定网关的IP-MAC地址信息后就OK了。

第二步：找到感染ARP病毒的机器。

第一种判断方法:如果在你的周围有多台电脑均不能正常上网，出现时常掉线的情况，而你的电脑却安然无恙，数据通信正常，请不要沾沾自喜，这说明你的机器已经中了arp病毒，需要及时断网杀毒。

第二种判断方法:使用arp-a命令任意选两台不能上网的主机，在DOS命令窗口下运行arp-a命令。如图1，两台电脑除了网关的IP，MAC地址对应项，都包含了192.168.0.54的这个IP，则可以断定192.168.0.54这台主机就是病毒源。一般情况下，网内的主机只和网关通信。正常情况下，一台主机的ARP缓存中应该只有网关的MAC地址。如果有其他主机的MAC地址，说明本地主机和这台主机最后有过数据通信发生。如果某台主机（例如上面的192.168.0.54）既不是网关也不是服务器，但和网内的其他主机都有通信活动，且此时又是ARP病毒发作时期，那么，病毒源也就是它了。

第三种判断方法:在故障机上使用ARP －a的命令看得到的网关对应的MAC地址是否与网关真实地址相符，如不符，可去查找与该MAC地址对应的电脑。

第四种判断方法:使用ARP防火墙(例如360ARP防火墙)软件，360ARP防火墙拦截到外部ARP攻击后，可通过拦截界面“追踪攻击源IP”来精准定位局域网内攻击源，方便网管及时查询局域网内攻击源，及时解决问题。

第三步：在学校路由器的WEB页面上网过滤功能设臵中暂时停止病毒源主机的上网行为。考虑到校园网的各终端主机来源比较复杂，有一些来自于老师的笔记本电脑，有时根据MAC地址很难确定是某位老师的电脑，我们可以利用路由器 的MAC地址过滤功能暂停该机的上网功能，待确定计算机主人后再通知其使用ARP专杀工具查杀病毒。这样就保证了校园网的健康运行。目前的路由器一般都有“上网黑白名单”的功能设臵，操作也较简单。

以上的分析查杀过程，在配备简陋的学校校园网内均可实现，基本上可以将ARP病毒的危害降至最低。目前市场上很多的路由器厂商专门推出一些具有ARP病毒防护功能的路由器，它可以在路由器端绑定IP与MAC地址正确信息并按一定频率向网络广播，该种路由器再配合客户端的双向绑定，在ARP的防治上效果非常不错，能还你一个波澜不惊、风平浪静的校园网环境，值得一试！但有些ARP防火墙会将路由器的广播视作是ARP攻击。配备一个功能强大的路由器不仅对ARP的防治有较好的效果，网管员们如仔细分析利用好路由器的系统运行信息，对其它网络病毒的防治诊断也有很好的帮助作用。

欺骗别人，别欺骗自己 篇3

难道他是冒牌货

Q：结婚第四年，我才忽然觉得，生活在身边的这个男人，很可能是个“冒牌货”！我们是在工作中认识的，身份证上显示他比我大6岁，能言善谈的他让第一次恋爱的我很着迷。可是，在婚后女儿半岁时，我突闻他之前有段婚姻，还有个18岁的儿子，他在老家用的名字跟和我登记用的名字都不一样。在他们当地公安局查的他妹妹的年龄，都比我大14岁！结婚这么久，他的钱我几乎没见过，除了家庭日常开支，他什么都不让我插手。他的小气不只体现在财务方面，只要是男的给我打电话，他就会莫名其妙地跟我找茬，甚至打我。我是很传统的人，这是我第一次婚姻，眼看女儿要长到三岁了，我很发愁，到底要不要跟他离婚？

紫嫣

A：尽管你是第一次恋爱第一次婚姻，我还是忍不住想问问你，难道结婚之前，你就没有想过了解他吗？难道你的婚姻，只是看看他的身份证便是可以敲定的吗？任何一个婚前的质疑，都可以从他身边人那里获知线索，他的家人、朋友，难道所有人都在瞒着你吗？既然察觉到欺骗，那么，就要去寻找欺骗的根源。如果他前头的婚姻没有断掉，那么，他少不了就是重婚罪。现在，他在自己编织的谎言里生活，所以会容不得别人对他有一丝一毫的欺骗，由此就想通他为什么会小心眼，有疑心病。想退路是好事，即便没有谎言，一个男人总打你，这样的婚姻也是有质量问题的。你可能会顾虑孩子，但是，如果让孩子从小生活在这样的环境里，这样的家庭氛围难道对她的成长有益吗？你大可以从他那里去寻求事情的真相，只是，他如此暴力、疑心，沟通起来恐怕也是难事。所以，你要了解如何去维护自己的合法权益，否则，你将一直生活在谎言里。

他得了乙肝我该分手吗

Q：我们认识三年了，虽说是从相亲网上认识的，但是感情一直不错，还打算今年年底结婚。上个礼拜，他们单位体检，查出来他有严重的乙肝，据说就算治疗了也会遗传下一代。因为他父亲也有乙肝病史，我家里人很怕会传给下一代，现在坚决要我跟他分手。我很舍不得他，可也很担心未来我们的生活应该怎么办？最让我受不了的是，他家里人一直知道他有这个毛病，却不肯说，要不是我无意间看了他的体检报告，可能我会一直被蒙在鼓里。也难怪，他从跟我刚恋爱，就催我去查乙肝疫苗种上了没有。他说他骗了我，如果我无法接受他可以放手。我虽然很生气，却又很心疼，我该怎么办才好？

可乐盖

A：先说一点，乙肝是传染病，不是遗传病，生育下一代的话，完全是可以通过医学手段阻隔母婴传播。当然，遇到重大疾病这种情况，确实有必要仔细权衡一下。

你要是觉得此生非他不嫁了，那也就没什么好说的了。如果你们没有深到即便有这个病也想跟他在一起的程度，那就得仔细揣摩揣摩了。毕竟，未来的小家还要承受疾病带来的经济压力。如果他病情加重，能否好好抚育下一代，这也是你要做好思想准备的。如果家境良好，这些可能就没那么值得焦虑了。再就是，如果他之前就知道自己有这个问题还一直隐瞒你，你就得考虑自己是否有接纳此类谎言的心理承受能力。否则，即便此刻谅解了，在之后的生活里如果不断提及，那就会变成你们婚姻的一颗定时炸弹。想通这些，你就可以做出适合你自己的结论了。这点，你父母考虑得很周全，任何事不能凭借冲动去行事。如果只打算跟着爱情感觉走的话，那么，你就要做好承担苦难辛劳的准备。

纸包不住的火

Q：30岁以前，我任性妄为，因为面容姣好身边不乏追求者，曾经有一段很荒唐的日子。当时我也不太懂得保护自己，发现怀孕后，就自己买了些药处理。慢慢成熟后才转性收敛。

30岁的时候，我认识了老公，没多久就结婚了。因为我们年纪都不小了，婚后就做很多准备生宝宝：吃维生素，做各种有益锻炼。可是，一年过去了，一点怀孕迹象都没有。去医院检查，大夫确诊说我做过太多流产，子宫壁过薄，以后不可能再有小孩了。老公很恼火，我解释好久，他才谅解了我。可是，他明显是不打算过丁克生活的。平静了也就两三年的样子，他就跟单位同事传出了绯闻，最后被我捉奸在床，才收敛了一些。我看他那么胡来，觉得没有小朋友维系感情也不行，就领养了一个出生才两个月就被遗弃的女孩。一开始，老公还热乎了一阵。可是，这温馨持续了不到半年，他又跟一个年轻女孩好上了。我怎么说怎么闹腾他都不听。从感情上来说，我已经没有必要再跟他过下去了。可是，我舍不得这个孩子。因为当时没办手续，现在还是可以把她送回福利院。但是，听到她喊妈妈的声音，我就心疼得揪起来一样。如果不送走，我独立把她养大还是很困难的。老公也说，只要我不管他，日子还可以这样过。你说，我该怎么抉择才好？

茱莉

A：35岁再想要重新改变你的生活，恐怕机会成本和时间成本要增加许多。眼前你应该学会的是如何去整理自己的生活。丁克家庭并不罕见，甚至很多人是主动选择做丁克的。但并不是每个没有孩子的家庭会像你的婚姻这样，搞到一团糟。没有孩子也不应该成为他频繁出轨的理由。如果他只是因为迫切想要孩子，完全可以同你协商。人工授精、试管婴儿，都可以成为你们“要孩子”的解决方式。难道搞暧昧、婚外情就能解决孩子的问题吗？

如果你们足够相爱，完全可以把这个难题解决掉——那么，你现在意识到问题所在了吗？你生活的荒唐之处不在于年轻时多么放纵自己，交结多少男朋友，而是——你现在还过着放纵自己的日子。并不是身体的放纵，而是你根本不清楚自己的生活将来要怎样走。你老公也是，走到哪算哪，看问题只肯看眼前一步，不顺心就出轨。你呢，一见他出轨就去打去闹。可是，你现在也晓得了有的“狐狸精”是闹不走反而伤害自己的。兵家作战还讲究个“知己知彼”呢，这些破坏者跟你老公到底好到什么程度，有哪些“致命伤”，她们会怕什么……这些你都不清楚就过去闹，怎么可能闹得过？而且，收养孩子是很严肃的事情，你到现在都还没办手续，你到底是有多随意？见火就爆炸，见风吹草动就吵闹，你这样对待生活，这样不够淡定和稳重，又怎能维系好你的婚姻，照顾好你的孩子？要知道，没有收养手续的话，你老公完全可以逃避抚养孩子的那份职责的。

现在事情已经这样了，你还是先好好反省一下吧。如果你想离婚，就跟老公好好沟通，毕竟你这样处理他出轨的问题，他也会觉得是受到伤害的，否则就不会跟你打了。尽可能恳切地沟通，说服他帮你一起承担抚养孩子的费用。大家好聚好散。再不然，就把孩子的手续办好，检查自己情感中的缺失，重新修复你们的婚姻。如果他还是很想要自己的后代，那就尝试用其他方式来解决一下。建议是残忍的，可是，你把生活透支得太狠了，到现在还不能够成熟地生活，难道能由着生活来眷顾你么？

上期问题

越管他，他越跟我吵

在一起的这三年，我们有两年半是分居两地的状况。说来也怪，他在外地的时候，不管我们打电话还是发短信，都会觉得很甜蜜。可是这段时间，我们能够更多地见面了，却反而老吵架。可能是时间久了，他没有那么爱我了。也可能是跟我同居，他有些习惯需要跟我磨合。其实，我觉得同居不同居差别真不大。他因为工作的原因经常要出差，常常一个星期就消失两三天。好不容易在一起了，也经常是早出晚归，甚至像很多年的老夫妇那样开始缺少沟通。我要求他每次吃饭都给我打电话，可他总是忘。他的QQ、邮箱密码我都有，本来是告诉自己不要看的，可就是忍不住。最近他开始玩微博，我问他要密码，他说是自动登录的自己也记不得了，搞得我很憋气。我不过是想要知道他的行踪而已，至于这么防着我吗？最近，他老是不按点回家，也不再帮我做家务了。要是我多唠叨两句，他就跟我吵。前阵子，他甚至提出来分手！我不过是为他好，才多多叮嘱他，他至于这样吗？是不是我以后就要依着他，才能顺利地继续这段感情？

蓝色妞

上期最佳解答

被人甩又怎么了？多少明星名人不都被人甩过吗？这样就没面子了？可是看你的意思，你是害怕人家跟你分手吧？真正自信的人，是不会怕被人甩的。而且，真正自信的人，也不会拿着“我为你好”的挡箭牌，一天到晚跟在男人后头看他干什么的。自信的女人，是要男人来担心自己的。无论是要密码还是看他的聊天记录，都是潜意识里的不安全感所致。他天天跟你不怎么见面，不愿意沟通，不想天天等你的电话，这不是已经很明白了吗？这场感情里，你就是处于下风。既然处于下风还想挽回这段感情，就对自己实诚点儿。别那么前后矛盾自己装大尾巴狼了。

两点源角度欺骗干扰性能仿真与分析 篇4

单脉冲雷达具有良好的抗单点源干扰的能力,但当雷达的主波束内出现2个或多个干扰源时,雷达对目标源的跟踪就会受到影响。因此,两点源和多点源干扰就成为对单脉冲雷达和单脉冲导引头进行干扰的有效方法[1] 。

两点源角度欺骗干扰是目前使用最多的一种角度欺骗干扰。其本质是通过同时到达雷达接收天线的2个不同方向的信源,使雷达角度测量出现偏差,进而破坏雷达角度跟踪。广义的两点源干扰样式包括两类,若2个转发式干扰源到达雷达天线口面的信号具有稳定的相位关系(即相位相干),则称为相干干扰;反之,若没有稳定的相对相位关系,则称为非相干干扰。

1 两点源角度欺骗对抗仿真数学建模

为了仿真分析两点源角度欺骗的干扰效能,首先需要对两点源雷达干扰系统进行数学建模。系统主要模型包括:天线方向图模型(方位向两阵元)、目标回波及干扰信号模型、匹配接收模型、检测模型、距离测量模型、单脉冲测角模型(和差波束法)和角度跟踪模型等。

1.1 雷达角度跟踪建模

雷达系统对目标回波信号进行匹配接收,经过和差波束网络得到角度测量值。角跟踪,根据单脉冲角度测量值,采用α-β跟踪滤波模型进行跟踪,并采用两点法进行起始。

1.1.1 单脉冲测角原理

单脉冲测角一般采用和差波束测向技术进行角度测量。2个接收天线等强信号方向为雷达瞄准轴,2个天线的最大波束方向分别向左、向右偏离天线瞄准轴θ0。当空间偏离瞄准轴θ方向有信号为E(t)=Amejωt,则天线1接收到的目标信号E1(t)=AmejωtF(θ+θ0),天线2接收到的目标信号E2(t)=AmejωtF(θ-θ0),其中F(θ)表示天线方向图函数。

天线接收到的信号输出到和差波束网络,形成两路输出,一路输出为和信号EΣ,一路输出为差信号EΔ,表达式分别如下:

EΣ=Amejωt(F(θ+θ0)+F(θ-θ0)),

EΔ=Amejωt(F(θ+θ0)-F(θ-θ0)) , (1)

则可由EΣ/EΔ通过查表或计算斜率的方式得到单脉冲的测角结果θ′。

1.1.2 角度滤波与跟踪模型

以角度跟踪为例,采用α-β跟踪滤波算法:

(1)两点起始

输入:A1、A2为前后2次的角度观测值;

输出:

$\widehat{X}(1)=\left[\begin{array}{c}\widehat{A}(1)\\ \widehat{{\displaystyle V{}_A}}(1)\end{array}\right]$

,

其中,

$\{\begin{array}{c}\widehat{A}(1)=A2‚\\ \widehat{{\displaystyle V{}_A}}(1)=\frac{A2-A1}{{\rm T}}\end{array}\begin{array}{c}\text{即}\text{取}\text{最}\text{新}\text{点}\hfill \\ \begin{array}{c}‚\text{取}\text{两}\text{点}\text{差}\text{分}\text{得}\text{到}\text{速}\text{度}\hfill \end{array}\hfill \end{array}$

。

式中, T为时间间隔。

(2)滤波更新

输入:${\rm Z}(k+1)\begin{array}{cc}& k=1,2,\cdots \end{array}$第k+1次的角度观测值;

处理过程可归结为下面3个核心步骤:

① 预测:

$\widehat{X}(k+1/k)=\left[\begin{array}{cc}1& {\rm T}\\ 0& 1\end{array}\right]\widehat{X}(k)$

,式中,

$\left[\begin{array}{cc}1& {\rm T}\\ 0& 1\end{array}\right]$

称为状态转移矩阵F(k)称为状态转移矩阵F(k);

② 计算新息:

$\nu (k+1)={\rm Z}(k+1)-\left[\begin{array}{cc}1& 0\end{array}\right]\widehat{X}(k+1/k)$,

式中,[1]称为观测矩阵H(k);

③ 状态更新:

$\widehat{X}(k+1/k+1)=\widehat{X}(k+1/k)+{\rm K}(k+1)\nu (k+1),$

式中,

${\rm K}(k+1)=\left[\begin{array}{c}\alpha \\ \beta /{\rm T}\end{array}\right]$

为滤波增益。输出:$\widehat{X}(k+1/k+1)$。

(3)重复进行(2)的过程,不断得到$\widehat{X}(k+1/k+1)k=1,2,\cdots$,其中,

分别为k+1时刻的角度和角速度估计。

1.2 目标回波及干扰信号建模

当目标与雷达站之间有相对运动时,且在当前目标运动的速度范围内,由目标反射的回波信号sr(t)可以近似写成:

sr(t)=Re[ku(t-tr)exp[j(ω0+ωd)(t-tr)] , (2)

式中,u(t)为调制信号的复数包络,k为回波的衰减系数,tr为延迟时间,ωd为多普勒角频率,tr、ωd分别表示为$t{}_r=\frac{2R{}_0}{c+v{}_r}$,$\omega {}_d=\frac{4\text{π}v{}_r}{\lambda }$,其中,R0为t=0时刻目标与雷达站间的距离,c为电磁波传播速度,vr为目标相对雷达站的径向运动速度,λ为工作波长。

转发式干扰信号st(t)的仿真,是在目标回波信号sr(t)的基础上,根据实时雷达干扰系统的实际情况,经过延时等处理产生的。当目标回波信号和干扰信号到达雷达接收端时,空间几何关系模型如图1所示,还需要进行幅度和相位上的调整。

图1中L为两点源发射天线之间的距离,L1为雷达天线两阵元之间的距离,R为目标中心(两干扰源连线中心)距雷达的距离。S1、S2分别为干扰信号到达雷达天线两阵元之间的路程,根据图1所示的空间几何关系,路程差Δr可以表示为:

$\text{Δ}r=S{}_1-S{}_2=\sqrt{(\frac{L+L{}_1}{2}){}^2+R{}^2}-\sqrt{(\frac{L-L{}_1}{2}){}^2+R{}^2},(3)$

由此根据这个路程差可以计算出两雷达天线接收到同一干扰信号的相位差$\text{Δ}\phi =\frac{\omega {}_0\text{Δ}r}{c}$。

图1中γ1、γ2分别为两点源干扰信号到雷达天线的入射角度,利用空间几何关系,γ1、γ2可以表示为:

$\gamma {}_1=\arctan (\frac{L-L{}_1}{2R})\times \frac{180}{pi}$,

$\gamma {}_2=\arctan (\frac{L+L{}_1}{2R})\times \frac{180}{pi}$, (4)

由1.1节中,F(θ+θ0)和F(θ-θ0)分别为雷达天线2个阵元的方向图函数,将γ1、γ2代入即可得到相应的天线增益。

综上,雷达天线的2个阵元接收到的干扰信号可以分别表示为:

SRe1=F(-γ1+θ0)st(t)+F(γ2+θ0)st(t)exp(jΔφ), (5)

SRe2=F(γ1-θ0)st(t)+F(-γ2-θ0)st(t)exp(jΔφ)。 (6)

2 两点源角度欺骗干扰原理

相干两点源干扰原理:由于单脉冲雷达导引头跟踪目标信号波前的法线方向,因此可以利用相干两点源在雷达天线口径内产生相位的不均匀性即畸变的相位波前,诱骗单脉冲雷达跟踪错位的方位。相干两点源干扰的归一化角闪烁线偏差可记为[2](归一化线偏差定义为:垂直于传播方向的偏差与目标扩展几何长度之比):

$\epsilon {}_0=\frac{1-\rho {}^2}{1+\rho {}^2+2\rho \cos \phi }$, (7)

式中,$\phi =\frac{2\text{π}}{\lambda }d\sin q+\delta$,ρ和δ分别为两源的幅度比和初始相位差,λ为波长。

为了验证仿真模型的准确性,对相干两点源干扰进行仿真,归一化线偏差ε0随相对系数幅度ρ和相位φ的变化如图2所示,与式(7)的数学仿真结果一致。

如图2所示,若能够对两点源的相对幅度和相对相位进行精确控制,则产生的线偏差值将非常大,从而达到非常好的干扰效果。但在工程实际中,由于机载平台位置和姿态的快速变化,以及采样、数字处理和时钟同步等原因,使得实现两点源间高精度相位同步比较困难[3] 。到目前为止,两点源干扰效能仍然不能够达到理想的状态。

因此主要立足于两点源相对相位φ随机不可控(或控制精度较差)的情况,提出通过对相对幅度ρ进行控制来获得较大的角度偏差,并通过上述两点源角度欺骗对抗仿真数学模型来仿真分析这种干扰方式所能够达到的干扰效能。

3 基于幅度比控制的角度欺骗干扰

3.1 两点源干扰背景下雷达测角误差统计特性

干扰环境下雷达角度测量偏差的统计特性是两点源角度欺骗干扰设计的基本依据[4] ,考虑到雷达数据处理中会首先进行剔野再进行角度滤波,因此,对两点源干扰信号在不同幅度比情况下的角度测量值进行1 000次蒙特卡洛仿真,在剔除野值后对仿真结果进行均值统计,并对干扰性能进行分析。仿真结果如图3所示,可见随着幅度比的增大,角度测量偏差的均值也呈增大趋势,但趋势渐缓,当幅度达到一定比值后,增量接近于0。

3.2 基于幅度比控制的角度欺骗干扰方法

根据以上的仿真分析,提出通过有规律地改变两干扰源幅度比,使雷达角度跟踪滤波器稳定地朝某一方向偏离,且偏离角度呈增大趋势,当偏离角度超过某个门限后,关闭干扰源并迫使雷达丢失目标。

在这种方式中,促使雷达丢失目标有2个方面的原因:一方面,雷达天线波束指向被引导到偏离目标的方向,目标回波接收功率大大降低;另一方面,由于干扰功率比目标回波功率大,雷达自动增益控制(AGC)被调整到低增益的状态,因此关闭干扰源后目标更难以被检测到[5] 。

仿真中,设定目标中心以0°方位由远及近地沿径向飞向雷达,雷达天线初始指向为0°,采用和差波束法进行角度测量,采用α-β滤波进行角度跟踪。角度欺骗干扰由一对转发式假目标组成,两假目标信号延时相同,且与真目标回波距离(时延)控制在一个距离分辨单元之内,真目标回波经匹配接收后的信噪比设为30 dB。

仿真中,采用常增益滤波器α-β滤波器,其增益为固定值,表示为${\rm K}(\cdot )=[\begin{array}{cc}\alpha & \beta /{\rm T}\end{array}]$',其中,α是角度增益, β/T为角速度增益,α和β分别取0.1和0.01。将图3中角度偏差均值(纵轴)以$\tilde{\theta }{}_{\max }=2°$、$\text{Δ}\tilde{\theta }=0.2°$进行划分,那么由图中的曲线就可以得到所达到的角度偏差相应的幅度比值,将这组幅度比值依次作为干扰参数进行设置。

按照上述方法进行角度拖引干扰角度拖引过程中的雷达角度测量/跟踪结果如图4所示。在去除野值点后的测量值随时间推移而匀速增大(第1 s为同步期,测量值与预测值之差超过2°时用预测值代替测量值进行滤波更新),虽有起伏,但经过滤波器的平滑作用后,角度滤波输出值稳定上升,在第9 s时就已经超过了预定的最大拖引角度$\tilde{\theta }{}_{\max }$,即该次实际拖引时间为9 s。

需要指出的是,在工程应用中,如果雷达采用的是固定增益跟踪滤波器,采用上述匀速拖引的角度拖引干扰较为合适[6] 。但实际上,大多数雷达采用的是变增益跟踪滤波器,在稳定跟踪的情况下,其增益是逐渐收敛的,此时采用匀加速拖引的方式更为合适,并且可以通过对加速度的设定来适应不同的增益收敛速度。

4 结束语

通过对两点源角度欺骗干扰对抗双方建立数学模型,在工程实际中对高精度相位同步不可控的情况下,通过对两点源背景下雷达测角偏差统计特性的仿真分析和研究,并依据雷达角度跟踪滤波器的工作机理,对两点源的幅度比进行参数设计,从而实现了对雷达稳定的拖引欺骗,达到了有效的干扰效果。

摘要：两点源干扰是对单脉冲雷达实施角度欺骗的重要手段,但在实际工程中由于机载平台位置和姿态的快速变化,以及采样、数字处理和时钟同步等原因,使得实现两点源间高精度相位同步比较困难。为了便于工程应用,通过对对抗双方建立数学模型,在对角度测量偏差统计特性分析的基础上,提出基于幅度比控制的两点源角度欺骗干扰方法,并进行仿真验证,仿真结果表明该方法可以实现稳定、有效的干扰效果。

关键词：角度欺骗干扰,角度拖引干扰,两点源,数学建模

参考文献

[1]SKOLNIK M I.雷达手册[M].北京:电子工业出版社,2003.

[2]黄培康,殷红成,许小剑.雷达目标特性[M].北京:电子工业出版社,2006.

[3]王国玉,汪连栋,王国良,等.雷达电子战系统数学仿真与评估[M].北京:国防工业出版社,2004.

[4]丁鹭飞,耿富录.雷达原理[M].西安:西安电子科技大学出版社,2002.

[5]解凯,陈永光,王连栋,等.距离波门拖引方案的分析建模与评估[J].系统工程与电子技术,2006,28(8):1158-1163.

兰花的欺骗艺术 篇5

兰科植物究竟有哪些花招能引诱并迫使昆虫就范，这些传粉昆虫是不长记性的糊涂蛋吗？进行欺骗传粉的揽客植物，难道只是为了少给昆虫一点点口粮？如果，昆虫都不上当，这些欺骗性植物又该如何应对呢？随着研究的深入，这些问题的答案都在慢慢地浮出水面。

食色诱饵

“入芝兰之室，久而不闻其香”，我想这间屋子里摆放的肯定不是蕙兰。那种浓烈的香气不管闻多久，仍旧会重重地撞击你的嗅觉神经。

记得一次同我的导师罗毅波先生出野外去贵州考察时，刚走到一座石山的山脚，他就说，“这山上有蕙兰在开花呢”。可是环顾四周，那里有蕙兰的影子。结果，当我们爬到山顶时，果然有一丛绽放的蕙兰，用香甜的气味牵住我们的鼻子。不过，这种香甜的味道显然不是为取悦人类准备的。蕙兰的香气中包含了乙酸乙酯等花朵香气的常用成分，它们是中华蜜蜂寻找食物的常用路标，只是蕙兰的。在随后的观察中，每每发现受到气味引诱的中华蜜蜂像受到酒香勾引的醉汉一样摇摆着冲向蕙兰的花朵。

不过，香味并不是一个精确的信号，怎样让被引诱的蜜蜂乖乖地上勾呢？蕙兰还伪造了酒店的招牌。就是花瓣上那些栗红色的斑点，在我们看来影响花朵美容的斑点却是蜜蜂等昆虫的最爱，因为它们就代表有食物。

如果你觉得百合花上的斑点有碍纯洁，那就错了，毫不夸张的说，这些斑点的存在才招来了采集花蜜的蜜蜂，完成了传播花粉的过程，促成了百合花的爱情姻缘，这么看来，叫它们爱情斑点也不过分。

于是，这个通用的花蜜标志被蕙兰盗用过来。你可能会想，这样的盗用标识就不会被蜜蜂识破？通常工蜂的生命只有五六个月，每天还要完成高强度的花粉花蜜采集工作，在这种情况下，很难有机会去学会识别复杂的信号。迅速找到食物是蜜蜂生存的根本，连分辨真假的时间都没有，还好大多数植物都会给传粉蜜蜂提供一些花蜜和花粉作为回报。每每看到蜜蜂精准地降落在蕙兰的花瓣上，然后悻悻离去，真是感慨蕙兰手法高明，同情蜜蜂的生活不易。

比起这些简单的食物诱惑，性的诱惑似乎更加强烈，也更专业细致一些，毕竟挑选伴侣要比吃喝更挑剔。眉兰将自己的花朵伪装成雌性胡蜂，连胡蜂身上的根根绒毛都在花瓣上伪装了出来。不仅如此，眉兰还在花上“抹”上雌性胡蜂的体香，更让那些来求爱的家伙神魂颠倒，甚至不惜把精液都贡献在了花瓣上。更绝的是，成功受粉的眉兰直接变了一种让胡蜂不爽的气味，从少女体香变成了老奶奶味道，闭门谢客了。

高风险高收益

跟很多传粉生物学家一样，我经常在想，这些招摇撞骗的兰花究竟能得到什么好处呢？难道仅仅是为了省下生产花蜜所需的能量吗？

在后来的观察中，我逐渐发现“节省”并不是一个解释兰花行骗的好理由，毕竟欺骗也是需要代价的。这完全是个赌徒行为，虫子总归会识别出那些有花蜜的植物。

有的研究人员认为，为了弥补拙劣骗术的不足，欺骗性兰花只能多开花，开大花了。但对植物来说，开花可是要消耗大量养分的，甚至可以说是“伤筋动骨”的活动。反过来看，杓兰为了2%的结实，让其余98%的花朵来陪着走过场，这也过于大手笔了吧。

在广西北部见到带叶兜兰的密集的花朵瀑布之后，更加深了我对“节约资源说”的怀疑。为了节省花蜜，浪费如此数量的花朵，于情于理都说不过去。这些骗子兰花的身后似乎另有隐情。

要知道，2/3的兰科植物还是选择了给传粉者提供好处。

云南石仙桃就是这样的一种兰花，它们与带叶兜兰和纹瓣兰比邻而居，当然，蜜蜂们更喜欢在云南石仙桃上面的活动很长时间，尽可能地吸掉最后一滴花蜜，它们会在一串花上（一个花序）来回寻觅。表面上看起来，“忠诚”（对花蜜的忠诚）忙碌的蜜蜂能更多地为植物传递花粉，传宗接代，云南石仙桃的花蜜也没有白出。然而，事情也并非总是那么愉快。这些在一个花序上来回吮吸的蜜蜂很可能只是把一朵花的花粉从一朵搬到同一花序另一朵上，结果就是造成了石仙桃的“近亲结婚”。如同人类近亲结婚会提高生育畸形后代的风险一样，近亲授粉的花朵产生的后代大多也是孱弱的。而骗子兰花在这点上似乎更加精明。

如果你能仔细观察到一只从带叶兜兰里钻出来的食蚜蝇或者熊蜂只是清理一下翅膀，迅速地逃离这个是非之地了，就能体会到这些兰花比省去花蜜更远大的谋略。那些带着花粉慌张逃离的昆虫恐怕要飞出不短的距离，才能“捂着胸口”安下心来歇歇脚。如果还有下一次被骗的可能，只能把花粉贡献给距离第一次上当很远很远地方的那株兰花了。于是，狡黠的兰花得到了莫大的好处，长距离的远缘杂交获得了高质量后代。虽然，杂交种子的适应性和生活力还有待进一步检验，目前已经有证据显示，同提供好处的兰花相比，欺骗性兰花的种群之间确实存在更强的基因交流，而那些添加了花蜜的欺骗性兰花则面临着更多地同株授粉，这至少可以比那些在一个花序上自交的兰花有更多地组合的机会。更多的组合意味着更多地选择希望。

看到这里，肯定有读者会问，杂交是好，可是面对2%的结实率，骗子兰花也需要有个艰难的抉择吧，稍有闪失不就全军覆没了。为了提高后代的质量而冒断子绝孙的风险，那可就划不来了。

这个不用担心，兰科植物之所以能选择骗术，很重要的一点就是它有特殊的生殖构造，首先是花粉被打包成块，这样被骗的昆虫在花朵上活动的时候，就会带走大量的花粉，里面的精子足够同相当卵子约会。更让人叫绝的是，兰花会利用黏液、粘盘之类的东西把花粉牢牢地固定在传粉昆虫的背上、头上等“无法挠到的后背处”，这些传粉昆虫想打这些花粉的主意根本没门。当然，等待这些精子的是子房中数量相当的胚珠，两者结合自然会产生海量的种子，一般来说每个成熟的兰花果实里都有上万粒种子。看到这，你大概明白了吧了，骗子兰花就是在进行一场场豪赌，这中间失败很多，但是一旦中彩，开出的往往就是“五百万大奖”了。

局域网ARP欺骗的分析和防御 篇6

关键词：局域网,ARP协议,ARP欺骗

随着信息技术的快速发展和日益普及, 信息网络已成为人们学习、生活、工作中的重要组成部分, 在日常业务中发挥着极其重要的作用, 但同时由于网络的开放性、共享性, 网络中存在很多不安全因素, 网络安全问题也越来越引起人们的关注[1,2]。在众多不安全因素中, 基于ARP欺骗的网络木马和病毒对网络的安全影响也越来越大[3]。该文对ARP协议内容、工作原理进行介绍, 对ARP协议漏洞和ARP欺骗原理进行说明, 并对ARP欺骗的日常诊断和预防进行解释。

1 ARP协议

1.1 ARP协议内容

ARP协议是“Address Resolution Protocol” (地址解析协议) 的缩写。在局域网中, 网络中实际传输的是“帧”, 帧里面有目标主机的MAC地址。在以太网中, 一个主机要和另一个主机进行直接通信, 必须要知道目标主机的MAC地址, 其一般通过地址解析协议获得。所谓“地址解析”就是主机在发送帧前将目标IP地址转换成目标MAC地址的过程。ARP协议的基本功能就是通过目标设备的IP地址, 查询目标设备的MAC地址, 以保证通信的顺利进行。

1.2 ARP工作原理

ARP工作分为局域网和跨网段2种, 下面将局域网ARP工作原理 (图1) 介绍如下。

局域网内每台主机会在自己的ARP缓冲区建立1个ARP列表, 以表示IP地址和MAC地址的对应关系, 主机A在传输数据前, 首先要对初始数据进行封存, 在这个过程中, 会把目的主机B的IP地址和MAC地址封存进去, 在通讯最初阶段, 主机A只知道目的主机B的IP地址, 而不知道MAC地址。主机A首先将数据包中的目标IP地址在本地的ARP地址转换表中寻找对应的MAC地址, 如果有对应的地址, 则直接根据找到的MAC地址转发数据包。如果没有, 则通过广播方式发送1个含有目标主机B的IP地址, 被称为ARP请求的以太帧到局域网的其他主机, 请求含有该IP地址的主机回复需要的MAC地址信息数据包。局域网中的目标主机B在收到广播帧后, 就以1个ARP应答包的方式回复主机A, 该应答包中含有IP地址与MAC地址的对应表。主机A在收到应答包后, 就可以根据IP地址与MAC地址的对应表发送数据包。

2 ARP欺骗

2.1 ARP协议漏洞

ARP协议虽然是一个高效的数据链路层协议, 但是由于其设计前提是在网络绝对安全和信任的情况下进行的, 因此ARP协议存在着设计缺陷, 主要表现在以下方面:

(1) 局域网内主机间的通信是相互信任的, 出于传输效率上的考虑, ARP协议无需认证。只要收到局域网内的ARP应答包, 就将其中的MAC/IP协议刷新到本机的高速缓存中, 就被当做可信任的主机, 而没有检验其真实性的机制, 使得几个IP地址可以映射到同一物理地址上, 这是ARP协议的一个安全隐患。

(2) 主机地址映射表是基于高速缓存动态更新的。这是ARP协议的特色之一, 但也是安全问题之一。由于正常的主机间MAC地址刷新都是有时限的, 这样假冒者如果在下次更新前成功地修改了被攻击机器上的地址缓存, 就可以进行假冒或拒绝服务攻击。

(3) ARP请求以广播方式进行。这个问题是不可避免的, 因为正是由于主机不知道通信对方的MAC地址, 才需要进行ARP广播请求。这样, 攻击者就可以伪装ARP应答, 与广播者真正要通信的机器进行竞争, 还可以确定子网内机器什么时候会刷新MAC地址缓存, 以确保最大时间限度地进行假冒。

(4) 任何ARP响应都是合法的, ARP应答无需认证。由于ARP协议是无状态的, ARP协议并未规定主机在未收到查询时就不能发送ARP响应包, 任何主机即使在没有请求的时候也可以做出应答, 而且许多系统都会接受未请求的ARP响应, 并用信息篡改其缓存, 这是ARP协议的另一个隐患。

2.2 ARP欺骗原理

ARP协议是在网络绝对安全和信任的情况下进行工作的, 因此在局域网中, 不存在对ARP报文的真实性校验, 也就无法识别出伪造的ARP报文, 同时由于没有请求的ARP报文同样能被系统所接受, 并刷新目标系统的缓存, 而系统在进行ARP解析之前是以系统缓存不存在为前提的, 当有ARP响应报文不停地刷新缓存的时候, 系统就不会主动地发出ARP请求, 这就使得对ARP缓冲区进行欺骗成为一种可能。

ARP欺骗就是利用ARP协议的设计缺陷向目标主机发送伪造ARP响应报文, 目标主机接收伪造报文后更新系统ARP缓存, 在以后的地址解析中就落入预先设计好的陷阱。

ARP欺骗过程 (图2) 如下: (1) C发送ARP询问报文获取A的MAC地址, 向A发送内容包括B的IP地址、C的MAC地址的伪造响应ARP报文, C为了保证伪造报文的有效性, 每隔一段时间就发送一次伪造响应ARP报文。 (2) A根据C发送的伪造ARP报文更新自己的ARP缓冲区, 由于C发送伪造响应ARP报文的周期性使A一直处于被欺骗状态, 这样就成功实现了C对A的ARP欺骗。以后A发送给B的数据包全部被C获得, C同时为了隐蔽自己, 再将这些数据包转发给B, 这对A和B看来通信正常, 但数据包却被C非法获得。

注:1.A和B通信正常;2.发送伪造ARP响应报文;3.通过ARP欺骗窃取A发给B的数据包;4.为了隐蔽自己将数据包再转发给B。

3 检测和防御

3.1 ARP欺骗的检测

由于ARP欺骗的隐蔽性在局域网中很难被发现, 对网络安全构成严重危害, 因此在网络日常维护中有必要采取一些主动检测功能, 以保障整个网络的畅通。

(1) 作为网络管理员, 可以定期手动地发出ARP请求, 然后利用应答和缓存中的物理地址进行真实性校验;或者定期轮询, 检查主机上的ARP缓存, 看其中的记录变化, 从而得到可疑的ARP条目, 进行确定检测。

(2) 由于ARP缓冲区有效时间的限制, ARP欺骗报文必须不停地重复发送, 通过监听网络中的报文, 从大量的无请求ARP应答报文中, 可以检测出ARP欺骗的存在。

(3) 在交换机上检测IP地址、MAC地址和端口对应关系的变化, 从而得到伪造源地址的信息。

(4) 在Windows系统上, 最有效的是基于主机的SNMP TRAY报文的防护。因为Windows系统对于ARP表是通过内建的SNMP来进行管理的, 所以不管SNMP服务是否开启, 都可以很容易的通过SNMP TRAY达到ARP主动变化通知的目的。

3.2 ARP欺骗的防御

对于ARP欺骗的防御, 应该在日常工作中加强网络安全意识的同时以预防为主, 可以采取一些具体措施来防止ARP欺骗的发生。

(1) 用户端绑定或安装防御软件。 (1) 在用户端计算机上绑定交换机网关的IP地址和MAC地址, 首先, 用户在安全、信任的网络环境中在DOS提示符下用arp-a命令显示交换机的IP地址和MAC地址。其次, 用户用arp-s命令绑定交换机的IP地址和MAC地址。 (2) 在用户端计算机上安装360安全卫士、Anti ARP Sniffer、瑞星杀毒等防御软件。

(2) 交换机端绑定。在核心交换机上绑定用户主机的IP地址和网卡的MAC地址, 同时在网管交换机上将用户主机网卡的MAC地址和交换机端口绑定的双重安全绑定方式[4]。 (1) IP地址和MAC地址绑定。在核心交换机上将局域网内用户的IP地址和其网卡MAC地址一一对应进行全部绑定, 这样可以极大程度的避免非法用户使用ARP攻击或盗用合法用户的IP地址进行流量的盗取。 (2) MAC地址和交换机端口的绑定。根据局域网用户所在区域、房间、楼体的不同, 将用户计算机的网卡MAC地址和交换机端口进行绑定, 可以防止非法用户随意接入网络。

(3) 采用VLAN技术隔离端口。局域网的网络管理员可根据本单位网络的拓扑结构, 具体规划出若干个VLAN, 当发现有非法用户在恶意利用ARP攻击网络, 或因合法用户受ARP病毒而影响网速时, 网络管理员可利用技术手段查找该用户所在的交换机端口, 然后将该用户与其它用户进行物理隔离, 以避免对其他用户的影响, 从而达到安全防范的目的。

(4) 设置ARP服务器。指定局域网内的一台计算机作为ARP服务器, 专门保存并且维护可信范围内的所有主机和IP地址与MAC地址映射记录, 该服务器通过查询自己的ARP缓存的静态记录并以被查询主机的名义响应局域网内部的ARP请求, 同时设置局域网内部的其他主机只使用来自ARP服务器的ARP响应。

4 小结

在计算机网络盛行的今天, 网络已经成为政治、经济、军事、文化和生活中不可缺少的重要组成部分, 在给人们带来方便和机遇的同时, 由于网络自身的设计缺陷和木马病毒等不安全因素, 网络安全问题变的越来越重要, 也越来越引起人们的关注, 如何在保证自身安全的情况下充分利用网络已经成为人们研究的课题。

参考文献

[1]沈继锋, 刘同明.一种交换式网络内的ARP欺骗的解决方案[J].现代计算机, 2006 (1) :39-41.

[2]李海鹰, 程灏, 吕志强, 等.针对ARP攻击的网络防御模式设计与实现[J].计算机工程, 2005 (5) :170-171.

[3]任侠, 吕述望.ARP协议欺骗原理分析与抵御方法[J].计算机工程, 2003 (9) :127-128, 182.

公共图书馆ARP欺骗分析与防范 篇7

1 局域网ARP攻击的原理

1.1 ARP协议运行原理

ARP地址解析协议是一个基于链路层的网络协议, 负责将某个IP地址解析成对应的MAC地址。协议运行在OSI模型的第二层, 在该层和硬件设备接口间进行数据交换, 由于处在第二层的以太网交换设备并不能有效识别局域网内的IP地址, 因此IP地址与局域网终端设备的MAC地址之间就必须存在一条可以进行数据交换的“通道”, ARP协议就是用来维持这个“通道”畅通的物质。ARP协议进行数据交换时, 它首先请求主机发送出一条含有本机希望访问的终端设备的IP地址数据条目, 而后根据终端设备回复的一条含有IP和MAC地址相对应的数据包来回复局域网主机, 这样局域网内的主机就获得了需要数据交换设备的IP地址对应的MAC地址, 与此同时局域网内的主机将这个IP—MAC地址相对应的数据放入自己的ARP表缓存起来, 以节约ARP通信信道占用率, 提高数据交换效率。局域网内主机都拥有一个ARP缓存池, 这个缓存池存放了自主机启动以来所有的本局域网内终端设备的IP地址与MAC地址之间的映射记录。主机每隔一定的时间或者当收到终端设备ARP应答, 都会用最新采集到的IP—MAC地址对应信息来对ARP缓存池进行数据更新。ARP协议就是通过目标设备的IP地址, 查询该设备的MAC地址, 以保证局域网内设备间的数据通信的畅通。ARP地址欺骗就是通过伪造IP地址和MAC地址之间的对应关系, 制作虚假的数据信息并在局域网内产生大量的ARP通信量, 占用大量网络资源, 造成网络阻塞, 从而影响网络的安全。

1.2 ARP协议自身存在的弊端

ARP协议是一个高效的数据链路层协议, 作为一个局域网协议它自身也存在着弊端, 由于协议的基础是建立在各主机之间的相互信任, 且其本身不具备认证功能, 换句话说就是本局域网内终端设备的IP地址与MAC地址之间的映射记录必须是真实有效的, 然而ARP缓存池所接收到的ARP协议包是不定期进行数据更新的, 局域网内任意一台主机即使在没有ARP请求下也可以做出应答, 只要接收到的协议包是完整有效的, 局域网内的主机就会根据最新采集到的IP—MAC地址对应信息来对ARP缓存池进行存储数据更新。这一过程中主机并不检验这条协议包的真实性。这样局域网内的攻击者就可以随时上传虚假的地址映射信息来进行网络攻击了。

1.3 ARP协议攻击方式

常见的局域网ARP攻击方式有两种:断网服务和ARP地址欺骗。

1.3.1 断网服务

断网服务攻击是通过外部网络向局域网内路由主机提供大量的虚假ARP协议数据包, 这些虚假的ARP协议数据包所含的IP—MAC地址对应信息来都是错误的, 从而导致通信失败, 并大量占用网络带宽资源, 使得整个图书馆局域网性能显著下降或网络瘫痪,

1.3.2 ARP地址欺骗

ARP地址欺骗技术在现如今的以太网中, 并没有对报文信息进行真实性校验, ARP协议包数据也不例外, 图书馆内的主服务器也无法识别出伪造的ARP协议数据包, 当不段的有新的IP—MAC地址对应信息来对ARP缓存池进行存储数据更新的时候, 局域网主机就处于被动接收协议状态, 不会主动地发出ARP地址协议的请求。ARP地址欺骗的核心就是修改每个局域网系统ARP缓冲池中缓存的MAC地址与IP地址映射表数据。最终ARP地址欺骗攻击的重要手段就是是发送错误的ARP广播数据消息给局域网主机或者路由器, 这些错误的ARP协议信息诱骗本地局域网或路由器转发到不正确的交换端口, 这样就造成了局域网的故障, 其中大部分的木马或病毒使用ARP地址欺骗攻击也是为了达到这个目的, 这种现象主要发生在图书馆局域网中的电子阅览室和办公网络内, 我们需要严加防范。

2 ARP攻击现象及处理方法

2.1 ARP攻击具体现象

公共图书馆一般都由几组局域网, 几百台计算机组成。有一次办公室计算机突然出现IP地址冲突提示, 而且点击“确定”之后更改新的IP地址重启后又再出现同样的对话框内容, 局域网连接出现时断时续并且网速较慢等现象, 重启后恢复正常, 但是10分钟左右又重复出现问题。所有和办公室同处在一个局域网网段的计算机都发生了这一故障。通过运行相关的软件分析数据包内容, 发现该局域网中有大量的ARP协议数据包在不断的发送, 发送量远远超过正常水平, 启动ARP专用检测工具发现有几台计算机的网卡处于混杂模式 (prorruscuoas) , 显示被ARP病毒感染。

2.2 ARP病毒的处理

首先我们要在局域网中运行一些ARP病毒检测工具来查找到病毒主机, 列如:“360安全卫士”下的ARP检测工具:ARP Checker此检测工具可以对近期流行的局域网ARP地址欺骗病毒进行有效的定位, 快速查找到病毒主机。也可以使用ARP专用检测工具通过主动定位方式进行查找, 处于ARP攻击源的终端设备网卡会处于混杂模式, 可以通过ARPKiler专用工具扫描局域网内的每台计算机的网卡是否处于混杂模式来判断这台设备是不是“伪主机”。找到受病毒感染设备后要断开染毒设备的网络连接, 运行ARP专杀工具来进行病毒的查杀, 或者重新更新这台设备的操作系统, 运行相关的杀毒软件和ARP检测工具软件, 确认病毒完全处理完毕, 才可以恢复网络连接。

3 ARP地址欺骗攻击的防范措施

ARP地址欺骗是利用了网络协议固有的设计缺陷进行攻击的, 因此防御这类病毒比较困难。如果我们对网络协议进行较大的修改就会破坏它与局域网内TCP/IP协议的兼容性, 造成局域网连接状态的不稳定。ARP地址欺骗类的病毒还是很容易复发, 一般我们在查杀病毒后的一周左右还会有病毒出现, 这样就给在图书馆内学习的读者和我们的工作人员带来了很大的困扰。ARP欺骗类病毒之所以会反复发作, 其中最重要的因素就是这类病毒广泛存在于互联网中, 它们通过微软的系统漏洞进入系统里面, 如果局域网内的设备没有打好系统补丁, 就很容易再次受到病毒攻击, 只要做好下面几个安全防范措施, 就可以有效的防范ARP欺骗类病毒的攻击了。

(1) 在图书馆的各组局域网内做好设备的IP-MAC地址的绑定工作 (即将系统分配的IP地址与终端设备网卡的MAC地址绑定) , 同时在核心交换机设备和客户端都要绑定, 这样就可以使各组局域网免受ARP病毒的攻击了。 (2) 使用相对比较安全的网络拓扑结构。及将整改图书馆网络分为不同的网络段, 在通过核心交换设备连接, 每一个网段仅由能互相信任的计算机或职能相近的计算机组成。这样每个网段的ARP请求只能在一个网段里传送, 这在一定程度上增加了ARP地址欺骗攻击的复杂程度, 笔者目前就采取了这种方法。 (3) 提高安全意识, 养成良好的安全习惯, 全网所有电脑都打齐系统补丁并且禁用系统默认的的自动播放功能, 防止病毒从移动硬盘、U盘等移动存储设备进人计算机。发现染毒计算机后对该机器进行深度处理, 进行全盘杀毒或重新安装操作系统, 每台设备都安装杀毒软件并保持更新到最新版本, 部署具有全网监控功能的杀毒软件或者硬件监控设备。

4 结语

欺骗分析 篇8

ARP欺骗具有隐蔽性、随机性的特点, 在Internet上随处可下载的ARP欺骗工具使ARP欺骗更加普遍。目前利用ARP欺骗的木马病毒在局域网中广泛传播, 给网络安全运行带来巨大隐患, 是局域网安全的首要威胁。有时会出现网络设备完好, 运转正常的情况下, 局域网内用户上网速度缓慢甚至完全阻塞的情况, 这种现象往往是由于局域网内遭到ARP攻击引起的, 一些带有ARP欺骗功能的木马病毒, 利用ARP协议的缺陷, 像大规模爆发的流行性感冒一样, 造成网络时断时续, 无法正常上网。同时清理和防范都比较困难, 给不少的网络管理员造成了很多的困扰。

二、ARP协议概述

ARP协议全称为Address Resolution Protocol, 即地址解析协议, 是TCP/IP协议栈中的基础协议之一, 它工作于OSI模型的第二层, 在本层和硬件接口间进行联系, 同时为上层 (网络层) 提供服务。是将IP地址与网络物理地址一一对应的协议, 负责IP地址和网卡实际地址 (MAC) 之间的转换。也就是将网络层地址解析为数据链路层的M A C地址。在以太网中, 一个网络设备要和另一个网络设备进行直接的通信, 除了知道目标设备的I P地址外, 还要知道目标设备的M A C地址。A R P协议的基本功能就是通过目标设备的IP地址, 查询目标设备的MAC地址, 以保证通讯的顺利进行。当一个网络设备需要和另一个网络设备通信时, 它首先把目标设备的I P地址与自己子网掩码进行“与”操作, 以判断目标设备与自己是否位于同一网段内, 如果目标设备与源设备在同一网段内, 则源设备以第二层广播的形式 (目标MAC地址全为1) 发送ARP请求报文, 在ARP请求报文中包含了源设备与目标设备的IP地址。如果目标设备与源设备不在同一网段, 则源设备首先把IP分组发向自己的缺省网关, 由缺省网关对该分组进行转发。

三、ARP协议的缺陷

1. 主机ARP列表是基于高速缓存动态更新的。

由于正常的主机间的MAC地址刷新都是有时限的, 这样恶意用户如果在下次交换之前成功地修改了被欺骗机器上的地址缓存, 就可以进行假冒或拒绝服务攻击。

2. 可以随意发送ARP应答分组。

由于ARP协议是无状态的, 任何主机即使在没有请求的时候也可以做出应答。因此任何时候发送ARP应答。只要应答分组是有效的, 接收到ARP应答分组的主机就无条件地根据应答分组的内容刷新本机高速缓存。

四、ARP的主要攻击类型

ARP期骗是指利用ARP协议的漏洞, 通过向目标设备主机发送虚假的ARP报文, 达到监听或者截获目标主机数据的攻击手段。主要攻击类型:冒充主机欺骗网关 (对路由器ARP表的欺骗) 、冒充网关欺骗主机 (对内网P C的网关欺骗) 。

1. 冒充主机欺骗网关

攻击主机C发出一个报文, 其中源MAC地址为MAC C, 源IP地址为IP A。这样任何发往主机A的报文都会被发往攻击主机C。网关无法与真实主机A直接通信。假如攻击主机不断地利用自己的真实MAC地址和其他主机的IP地址作为源地址发送ARP包, 则网关无法与网段内的任何主机 (攻击主机C除外) , 进行直接通信。然而, 这种情况下, 交换机是不会产生任何报警日志的, 原因在于, 多个IP地址对应一个MAC地址在交换机看来是正常的, 不会影响其通过IP所对应的MAC来交付报文。

如果攻击者将网关ARP缓存中的MAC地址全部改为根本就不存在的地址, 那么网关向外发送的所有以太网数据帧会丢失, 使得上层应用忙于处理这种异常而无法响应外来请求, 也就导致网关产生拒绝服务 (不能响应外界请求, 不能对外提供服务) 。

2. 冒充网关欺骗主机

(1) 在主动攻击中, 攻击者C主动向A发送ARP应答数据包, 告诉A, B (网关) 的IP地址所对应的MAC地址是CC-CC-CC-CC-CC-CC, 从而使得A修改自己的ARP列表, 把B的IP地址对应的M A C地址修改为攻击者C的M A C地址。

(2) 同时, 攻击者C也主动向B发送ARP应答数据包, 告诉B, A的IP地址所对应的MAC地址是CC-CC-CC-CC-CC-CC, 从而使得B修改自己的ARP列表, 把A的IP地址对应的MAC地址修改为攻击者C的MAC地址。

(3) 从而使得A←→B之间的通信形式变成A←→C←→B, 实现了中间人攻击。

在被动攻击中, 攻击者C只在A或者B发送ARP请求数据包时, 延时一段时间发送应答数据包, 使得自己的应答包在正确的应答包之后到达, 防止自己修改的相应主机的ARP列表被正确的应答包再次修改。

那么主机A发往网关B的报文都会被发往攻击主机C, 造成主机A突然断网。如果攻击主机向网关B转发了来自主机A的报文, 那么主机A能通过攻击主机C继续上网, 但其上网质量完全取决于攻击主机C, 通常表现为时断时续。

例如, 网络上有3台主机, 有如下的信息:

主机名IP地址硬件地址

A 202.206.208.1 AA:AA

B 202.206.208.2 BB:BB

C 202.206.208.3 CC:CC

这三台主机中, C是一台被入侵者控制了的主机, 而A信任B, 入侵者的目的就是要伪装成B获得A的信任, 以便获得一些无法直接获得的信息等。

四、ARP欺骗防范和解决方案

1.手动防御

防御A R P欺骗的简单方法是网络管理员分别在主机和路由器上静态绑定地址映射。这种方法非常有效, 但仅适用于小规模的局域网, 而且这种方法不适用于DHCP自动分配地址的情况, 也不能适应网络的动态变化。对于大型动态IP的网络, 建立DHCP服务器 (建议建在网关上) 。所有客户机的IP地址及其相应主机信息, 只能由网关这里取得, 网关开通DHCP服务, 保持网内的机器IP/MAC一一对应的关系。在由DHCP服务器构成的动态分配主机IP的环境中, 主机申请IP时的MAC地址和IP地址是一一配对的, 也是唯一的, 上述的攻击主机C也不能例外, 不可能利用一个MAC地址申请到多个IP地址, 更不可能申请到网关地址。同时, 网关机器关闭ARP动态刷新的过程, 使用静态路由, 这样的话, 即使犯罪嫌疑人使用ARP欺骗攻击网关的话, 这样对网关也是没有用的, 确保主机安全, 即可防御冒充主机欺骗网关的ARP欺骗。

另一方面通过arp-s命令, 在PC上绑定网关的MAC和IP地址, 这样可以防御冒充网关欺骗主机的A R P欺骗。

另一种有效的手动防御方法是在局域网中增加VLAN的数目, 减少V L A N中的主机数量。局域网管理员可以根据本单位的网络拓扑结构划分若干个VLAN, 这样既能够在发生ARP攻击时减少所影响的网络范围, 又能够在发生ARP攻击时便于定位出现的网段和具体的主机。缺点同样是增加了网络维护的复杂度, 也无法自动适应网络的动态变化。

2.使用ARP服务器

在局域网内部的设置一台机器作为ASP服务器, 专门保存并且维护网络内的所有主机的IP地址与MAC地址映射记录, 使其他计算机的ARP配置只接受来自ARP服务器的ARP响应。当有ARP请求时该服务器通过查阅自己缓存的静态记录并以被查询主机的名义响应ARP局域网内部的请求, 从而防止了ARP欺骗攻击的发生。但是这个方法也有不足, 首先要保证ARP服务器不被攻击, 确保ARP服务器的安全;其次要保证主机只接受指定ARP服务器的ARP响应报文。如何做到这一点, 目前还是比较困难的。

3. ARP欺骗的解决措施

以上只是对A R P欺骗的防御手段, 但对于局域网中已经有机器中了A R P欺骗木马, 伪造网关, 则可采用以下方法解决。

判断攻击机的IP地址

某计算机所处网段的路由IP地址为xx.xx.xx.1, 本机地址为xx.xx.xx.8, 在计算机上DOS命令行中运行arp-a后输出如下:

C:Documents and SettingsAdministrator>arp-a

Interface:xx.xx.xx.8---0x10003

Internet Address Physical Address Type

xx.xx.xx.1 00-01-02-03-04-05 dynamic

其中, 00-01-02-03-04-05就是路由器xx.xx.xx.1对应的MAC地址, 类型为动态, 因此可被改变。正常情况下, xx.xx.xx.1和00-01-02-03-04-05始终对应。被攻击后, 重复使用该命令查看, 就会发现该MAC已经被替换成攻击机器的MAC, 而且攻击机器的M A C地址和真正的网关M A C地址会出现交替现象, 如

C:Documents and SettingsAdministrator>arp-a

Interface:xx.xx.xx.8---0x10003

Internet Address Physical Address Type

xx.xx.xx.1 00-01-02-03-04-05 dynamic

xx.xx.xx.6 00-01-02-03-04-05 dynamic

由此可判断xx.xx.xx.6的计算机就是攻击机, 接下来就要判断攻击机的MAC地址并对连接该主机端口进行定位, 定位操作主要通过S N M P协议完成。最后关闭交换机上受病毒感染的端口并对通过端口查出的相应用户进行彻底查杀。当然也可以直接下载ARP欺骗检测工具, 如ARP Checker可以有效的定位到发起ARP欺骗的主机。

五、结论

通过以上几种方法来解决A R P病毒对于局域网的欺骗攻击是比较有效果的。但是由于ARP病毒版本在不断更新升级中, 所以仍会给局域网用户带来新的冲击与危害。因此有必要提前做好局域网ARP病毒的防范工作, 使得ARP病毒的危害减少到最小程度。当然, 在网络安全领域, 没有任何一种技术手段可以解决所有的问题, 对于各种类型的网络攻击, 经常查看当前的网络状态, 对网络活动进行分析、监控、采取积极、主动的防御行动是保证网络安全和畅通的重要方法。网络管理员应当密切检查网络, 不断提高自身的技术水平, 确保网络安全的正常运行。

参考文献

[1]张胜伟:基于DAI的ARP欺骗深度防御[J].计算机安全, 2009, (01)

[2]李新:ARP欺骗防御技术的研究[J].商场现代化, 2008 (36)

欺骗分析 篇9

关键词：ARP,机房,防御

1 ARP原理

ARP地址解析协议，是TCP/IP协议栈的一个协议，工作在OSI参考模型的第二层，对第三层提供服务。在局域网中，由于IP数据报文无法在数据链路层直接传送，源主机需要把网络层的IP数据报文封装成帧。帧里面包含目的主机的MAC地址，MAC地址是网卡物理地址。ARP协议负责找到目的主机IP地址对应的MAC地址，建立IP地址与MAC地址之间的映射关系，把其保存在ARP缓存中。用arp-a命令可以查看ARP缓存中IP地址与MAC地址的映射关系。

ARP数据包分为广播包和非广播包两种。广播包是发送给局域网内所有主机的ARP数据包;非广播包是发给局域网内特定主机的ARP数据包。

局域网中的2台主机H1和H2,IP地址分别为P1和P2，对应的MAC地址分别为M1和M2。主机H1需要与主机H2进行通信，首先查找自己的ARP缓存，有没有主机H2的MAC地址。如果有，那么主机H1直接与主机H2进行通信;如果没有，那么H1向局域网内发送一个MAC地址为“FF-FF-FF-FF-FF-FF”广播报文，询问所有主机“IP地址为P2的主机的MAC地址是多少?”。此时，局域网内的所有主机都会检查自己IP地址，如果发现不是发给自己的消息就丢弃这个数据包。主机H2发现P2正是本机的IP地址，在自己的ARP缓存中保存P1和M1的记录，然后给主机H1回复消息“IP地址为P2的主机的MAC地址是M2”，当H1收到H2的回复消息，也把P2与M2的映射关系保存在自己ARP缓存中记录，然后双方就可以进行通信。

2 ARP欺骗原理和种类

为了快速查询，ARP缓存中只保存少量IP地址与MAC地址的映射记录，删除最近不使用的纪录，保持记录动态更新。由于ARP设计原因，存在以下缺陷：对于数据接受者来说，即使在没有发出ARP请求的情况下，主机仍然无条件地被动接受数据包，并不验证对方数据包的真实性，就进行ARP缓存动态更新;另外，对于发送数据者来说，主机可以随意发送伪造的ARP数据。由于ARP协议是无状态的，没有连接的，可信任的，没有安全机制的协议，这给计算机系统埋下了安全隐患。以下举例说明一个ARP欺骗过程。

局域网中的3台主机HA、HD和HS，对应的IP地址和MAC地址分别为IPA、IPD、IPS和MA、MD和MS。此时，主机HS需要与主机HD通信，在HS的ARP缓存中没有主机HD的MAC地址。那么主机HS就向局域网内发送一个广播信息“我是主机HS,IP地址为IPS,MAC地址为MS，需要知道IP地址为IPD的主机的MAC地址”。按照正常状态下，只有主机HD会答复这个广播请求，告诉主机HS，其IP地址是IPD,MAC地址是MD。但是同时，攻击者主机HA发送了虚假信息，不停地告诉HS“他的IP地址是IP,MAC地址是MA”。导致主机HA错认为IP地址为IPD主机MAC地址是MA，这样主机HA就完成了一个对主机HS的IP欺骗过程。以下是两类ARP欺骗的表现形式。

(1)ARP中间人攻击。攻击者主机隐藏在其它主机之间，成为“中间人”。如有三台主机：A、D和S。主机S与主机D进行通信，主机A是攻击者。主机A分别向主机S和主机D发送虚假的ARP数据包，使他们分别相信:主机A就是他们需要进行通信的主机S或主机D。当主机S和主机D进行通信的时候，主机A在他们之间建立了一种桥梁关系，即把S-D的通信方式变成为S-A-D。这样主机A成了他们的“中间人”，可以进行数据窃取等行为。

(2)拒绝服务攻击(DoS)。攻击者主机不断地发送大量无用的ARP数据包，迫使目标主机忙于响应异常请求，从而导致目标主机资源耗尽，无法对外提供正常服务。如果目标是网站服务器，那么可能造成客户机无法访问网页。

3 解决问题办法

3.1 日常管理和系统维护

规范学生上机行为,提高学生防病毒意识,教育引导安全使用计算机或网络。如使用存储设备前先查杀病毒,不随意点击陌生的网络链接,不打开有潜在危险的文件,不运行不安全的程序。

系统维护方面。安装并及时更新网络防火墙和杀毒软件;及时安装计算机操作系统补丁，关闭不必要的端口和共享服务;设置复杂的密码并定期更改;关闭不经常使用的账号。

3.2 静态绑定IP地址和MAC地址

由于ARP缓存动态更新，但是无法确定更新后的IP地址和MAC地址映射是否正确。静态绑定IP和MAC地址后，当某台主机需要查找其它主机的MAC地址时，不用发送广播数据包，直接可以在本机ARP缓存中找到正确的MAC地址。所以采用静态绑定IP和MAC地址的办法可以防止ARP欺骗发生。优点：操作简单，效果好;缺点：当需要绑定局域网内大量主机MAC地址时,虽然可以通过批处理程序减轻工作量，但是遇到经常更换IP或加入新主机时，工作仍然十分繁琐。

3.3 ARP服务器

由于静态绑定IP地址和MAC地址工作量大，所以可以通过设置ARP代理服务器来减轻工作量。ARP代理服务保存网内所有主机的IP地址和MAC地址正确映射关系。网内主机需要通信时，向ARP代理服务器发送请求，然后代理服务查询数据库中信息，反馈给主机MAC地址。这样即使遇到IP地址更换等情况，只要在代理服务器中修改相关记录。缺点：目前技术手段还不够成熟。

3.4 其它技术手段

采用VLAN技术，缩小广播域范围，阻断ARP欺骗扩散到整个网络;ARP欺骗检测，采用软件方式主动检测ARP数据包，预测分析ARP欺骗;使用加密技术，对信息进行加密，保证通信安全;使用第三层交换方式。

4 结束语

由于ARP协议设计缺陷，目前没有十分有效办法防治ARP欺骗。所以只有针对不同情况，采用灵活手段，才能做好ARP病毒的防范工作。

参考文献

[1]王燕,张新刚.基于ARP协议的攻击及其防御办法分析[J].北京:微计算机信息,2007,23(12-3).

[2]王小军.公共机房针对ARP欺骗的诊断分析与防御[J].上海:实验室研究与探索,2009(8).

明码实价欺骗你 篇10

缺少资金是无数中小企业必须面对的难题，狡猾的骗子正是利用了这一点，让本来就捉襟见肘的小老板们更是雪上加霜。

2008年2月的一天，站在北京大康大厦楼下，江西来的程木根异常兴奋。冬日的阳光不算灿烂，却照得他的脸微微发烫。

在大厦大厅的指示栏里，他很快找到了美国斯威克投资集团北京代表处(以下简称“斯威克代表处”)的名字。与其同一楼层的，也都是些来头不小的公司，至少从它们的名字上看来如此。

轻轻按下按钮，电梯扶摇直上，程木根兴奋地攥紧了口袋里那张从江西到北京的火车票，仿佛攥紧了自己的梦想——他有专利却缺少启动资金，而斯威克代表处恰好在此刻“及时”地出现了……

程木根的梦

程木根小心翼翼地推开斯威克代表处的大门，一个西装笔挺、笑容可掬的年轻人迎上前来。

热情地握手后，年轻人拿出名片，双手奉上。程木根诚惶诚恐地接过来，上面印着年轻人的名字叫陈真，职务是业务代表。

随即，程木根被请进一间接待室中。过程和他之前想象的一样美好，他兴致勃勃地重复两次介绍了自己的专利，而陈真始终耐心地听着，显得兴趣十足。

“我们想直接购买您的专利，但到底值多少钱呢?”陈真后来的话却把程木根问住了。

陈真随即又微微一笑，说道：“价格您说了不算，我们说了也不算，应该由有资质的评估公司做出价值评估。”停顿了下，他看了程木根一眼，“我们可以给您推荐一家北京著名的评估公司，但按规定，费用由您自己支付。”

“2万元!”当程木根来到斯威克代表处指定的评估公司咨询时，评估公司工作人员迅速报出了价格。这对他来说不是一笔小数目。

“我们最多可以给您支付其中的10％，这已经是破例了。”就在程木根为了这2万元的评估费犹豫不决的时候，陈真的电话来了。

“他们会不会串通好了骗我?”这个念头从程木根脑中一闪而过，可很快被他坚定地否决了。来北京之前，性格小心谨慎的他早从网上查询了斯威克代表处，工商部门确有相关登记；而且在重庆某区政府网站上，还有斯威克代表处负责人与北京某政府官员一起去当地考察投资的报道。这使他对斯威克代表处的真实性和实力充满信心。

特别是他来到北京后，亲眼见到斯威克代表处身处首都高档写字楼里，办公条件和工作人员素质都很高，更让他深信不疑。

很快，程木根支付了18000元的评估费。评估报告出来后，他再一次赶到北京与斯威克代表处签订了购买意向书，陈真抬着他的肩膀说：“过一个月后来拿钱吧。”

当天夜里，程木根一晚上都在做着融资成功的美梦。

程木根的梦醒了

在程木根与斯威克代表处的接洽过程中，代表处搬过一次家：从大康大厦到汉威大厦。

对于搬家的原因，程木根不疑有他，因为“写字楼更豪华，办公条件更好了”。

在北京，这样的高档写字楼有很多，而由此便认定其租赁者“非富即贵”的不在少数。来自广州的何戎就是其中之一，他和程木根一样来到京城找投资，他遇到的投资公司也是美国的，名字是美国亚斯本财务集团公司北京代表处。

何戎在广州有一家自己的公司，为了扩大规模，急需资金注入。于是他通过报纸上刊登的广告，给亚斯本代表处打去了电话。

对方回电说何戎的公司规模太小无法进行股权融资，但看中了他的发展前景，表示可以成立项目公司，借钱给他，双方还商定了利息。

不久，由何戎提供差旅费用，亚斯本代表处派人到何戎公司进行了调查。半个月后，其工作人员打来电话说投资计划已被美国总部通过，但要求出具律师调查法律意见书，亚斯本代表处指定了北京某律所做这项工作，费用由何戎承担。

该律所张口便是5万元，一番讨价还价后降到4万元。在先支付了70％的费用后，该律所派人去了何戎的公司。可来人简单粗糙的调查过程，终于让何戎开始怀疑起来，他到首都律师网上一查，该人并不是律师!而此时，网上也开始出现关于亚斯本代表处是骗子的言论。

“糟了!可能被骗了!”何戎马上买了录音笔等工具，准备收集证据。可没过几天，亚斯本代表处就人去楼空，电话停机。无奈之下，何戎以律所参与行骗向北京律协进行了投诉。

而那边厢的程木根，过了一个月后，也并没有等到一分钱。

当时，陈真在电话里说：“资金总部批下来了，但不是购买专利，而是合作，合作的前提是做一个商业计划书。按照规定，制作单位我们指定，钱您出。”

这回，程木根拒绝了。陈真锲而不舍地说：“可以不要商业计划书，但审慎调查报告不能少，中英文的。”同样的按照规定，制作单位他们指定，钱程木根出。

对方三番五次无休止地要钱，终于令程木根意识到斯威克代表处就是个骗子公司。为此，“我和80岁的老母亲，先后两次到北京，找到他们跟他们闹!”

结果是，斯威克代表处又“搬家”了，但这一回，他们没有告诉程木根去处，彻底消失在了他眼前。

连律师都是一伙的?

然而，程木根和何戎的故事，只是众多遭受投资诈骗的受害者中较为典型的案例而已。一份来自民间的调查数据显示，网友投诉的2000多家投资公司中绝大多数是骗子公司。

记者随机挑选了其中几家公司，但当赶到它们所在地时，绝大多数公司已大门紧闭，无人办公——跑了。

北京市宏方曌律师事务所彭剑律师曾为很多真正的投资方做过律师尽职调查报告，即《法律意见书》，也为一些融资方做过牵线搭桥的工作。但他仍然认为，北京的很多所谓投资公司，十有八九是没有投资实力甚至没有投资资历的，说白了，就是骗子公司。

早在2000年，就有人找到他，想和他所在的律师事务所合作，由律所对其推荐的融资方制作法律意见书，每份价格低至5000元，高可数万，五五分账。彭剑断然拒绝。

数年后，彭剑发现这样的投资公司居然越来越多，当初他断然拒绝的事，他的很多同行却欣然接受了。他的朋友——河北省某县招商局负责人的话让他更为震惊：“做了十多年招商引资，与各式各样的投资公司打过交道，从来没有结果。”

实际上，与投资公司合作已变成律师业内潜规则。

过去，“搭伙人”多是评估公司或咨询公司，在评估费上大作文章，这样的案例层出不穷。但随着受害人的增多，骗局的披露，需求资金的引资人逐渐警觉，投资公司和评估公司骗到评估费越来越难。于是现在，骗子又将“橄榄枝”抛向了律师事务所。

有知情人透露说，骗子投资公司在和引资方签订《投资意向书》后，会要求引资方到指定的律师事务所出具一份《法律意见书》，律所会向引资方收取高额的委托费用，当一本精美的《法律意见书》出炉后，投资方总会根据此意见书找到拒绝投资的借口。事后，投资方会和律师事务所瓜分委托费，现在圈内这个分成的比例是投资方七成，律所三成。

这种新的趋势让引资人防不胜防，一位向记者倾诉自己遭遇的受害人向某律所交付10万元委托费后，得到了一本装订印刷精美的《法律意见书》和投资方冷冰冰的拒绝投资答复。发觉上当的受害人远赴外地跑到该律所索要委托费，钱没’要到，却要到了这样的答复：“我们已经完成了我们调查、出具法律意见的工作，投资方投不投钱与我们无关。”受害人气愤地说：“你们和投资商是一伙的!”该律所主任回答：“这么说毫无根据，你要是不满可以去告我们，退费不可能!”

连代表正义和法律的律师都是骗子一伙的，谁还能防得住?多数被骗走的钱已经很难要回。

居然只是违法而不犯罪?

在斯威克代表处“消失”后，程木根和他的老母亲先后两次来到北京，向相关部门寻求帮助。

然而，具有讽刺意义的是：公安部门说，这个事只违法不犯罪，应当找工商部门；工商部门却说，这种行为涉嫌诈骗，应当去找公安。程木根无奈两头跑，除了认识了更多相同经历的受害者外，投诉本身没有太大进展。

在了解了程木根等人的经历后，一位工商人员表示：“投融资是有风险的，花钱进行评估后，投资方不再投资，这是一种正常现象。但如果某一个‘受害者’举报了类似美国某投资集团北京代表处，工商部门据此调查，可能对其进行两方面处罚——一是按照我国法律法规，代表处不能从事经营活动，不能直接签订合同；二是变更经营场所要及时办理变更登记。”

“可这样的处罚太轻，对受害者挽回损失而言没有实际意义。”