当前位置：文档库 › DHCP欺骗的防范原理及实现(一)

DHCP欺骗的防范原理及实现(一)

ＤＨＣＰ欺骗的防范原理及实现(一)

摘要]本文先介绍了DHCP及DHCP欺骗的工作原理，然后给出了防范DHCP欺骗的原理、实现的方法和实现的例子。

关键词]DHCP欺骗DHCPSNOOPING防范

在TCP/IP网络中，每台计算机要与其他计算机通信，都必须进行基本的网络配置（IP地址、子网掩码、缺省网关、DNS等）。对于小型网络，为每台计算机一一配置这样的属性也许还可以承受，由于网络应用的发展，特别是电子商务、电子政务、办公自动化等新的网络应用的出现，网络的规模也逐渐扩大，这样对于一个有几百、上千台的网络，基本的网络配置工作虽然简单，但配置的工作量相当大，而且对以后的维护带来不便。为了便于统一规划和管理网络中的IP地址，DHCP(DynamicHostConfigureProtocol，动态主机配置协议)应运而生了。这种网络服务有利于网络中的客户机自动进行网络配置，而不需要一个一个手动指定，但DHCP服务在设计时，没有过多的考虑安全问题，因此，这种服务在为网络配置提供方便的时候，又带来了问题。

一、DHCP工作原理

DHCP服务分为两个部分：服务器端和客户端。所有的IP网络配置资料都由服务器集中管理，并负责处理客户端的DHCP要求；而客户端则会使用从服务器分配下来的网络配置数据进行网络配置。这种网络配置数据的分配是动态的，是会变化的，称为“租约”分配。

“租约”的形成有4个阶段：

发现阶段:客户端寻找服务器的阶段。客户端开始时并不知道服务器的IP地址，因此，它会向本地网络广播发送DISCOVER发现信息来寻找服务器，本地网络中的所有计算机都会接收到这种广播，但只有DHCP服务器才会做出响应。

提供阶段:服务器向客户端提供网络配置参数的阶段。在网络中接收到客户端DISCOVER发现信息的DHCP服务器都会做出响应，它们会从尚未出租的IP地址中挑选一个，向客户端发送包含预备出租的IP地址和其他设置的OFFER提供信息。

选择阶段:客户端选择某台服务器提供的网络配置参数的阶段。如果网络中存在多台DHCP 服务器,它们都会向客户端发送OFFER信息,客户端可能会收到多台DHCP服务器发送的OFFER信息,但它只选择接收到的第一个OFFER信息，然后它就以广播形式发送一个REQUEST 请求信息，该信息中包含向它所选定的第一个OFFER信息中的网络配置参数和它选择的DHCP服务器的信息。

确认阶段:DHCP服务器确认所提供的网络配置参数。在网络中接收到客户端REQUEST请求信息的对应DHCP服务器会做出响应，如果服务器能满足客户端的请求,它便会向客户端发送一个包含网络配置参数的ACK确认信息,告诉客户端可以使用它所提供的服务,客户端根据该NAK信息来配置其网络参数，否则,它便会向客户端发送一个不能满足请求的NAK信息，并且收回OFFER信息中欲分配给客户端的地址,客户端会回到第一步,重新发起DISCOVER信息。而其他DHCP服务器不会对请求做出应答，一定时间后,那些发送了OFFER信息的DHCP服务器,如果没有收到响应的REQUEST信息,则会收回OFFER信息中欲分配给客户端的地址。“租约”形成后，DHCP服务发挥作用，在不同的“租用期限”将会经历以下几个阶段：

重新登录:它将尝试更新上次关机时拥有的IP租用，即客户端直接发REQUEST请求信息，该REQUEST信息和第一次的REQUEST信息不同之处在于没有DHCP服务器的信息,所有的DHCP 服务器都会收到该信息。如果先收到ACK信息，则继续使用现有IP地址，并更新其租期；如果先收到NAK信息，则发送DISCOVER信息，开始新一轮的IP租用过程；如果未收到任何服务器的ACK或NAK信息，客户机将尝试联系现有IP租用中列出的缺省网关，如果联系成功且租用尚未到期，客户机则认为自己仍然位于与它得现有IP租用时相同的子网上（没有被移走）继续使用现有IP地址。如果未能与缺省网关联系成功，客户机则认为自己已经

被移到不同的子网上，将会开始新一轮的IP租用过程。

更新租约阶段:任何租约都有一个租借期限，期满后，DHCP服务器便会收回出租的网络配置参数。如果要延长其IP租约，则必须更新其租约。系统约定，客户端IP租约过半时，客户端会自动发送更新租约的REQUEST信息（该信息是一个单播信息，即直接向租用网络参数的服务器发送）。如果服务器是可用的，通常回送一个ACK信息，同意客户端的请求，客户端继续使用现有IP地址，并更新其租期;如果服务器是不可用的，通常回送一个NAK信息，客户端可以继续使用现有IP地址，但不更新其租期。

重新捆绑阶段:如果客户端在租用期达到出租时间的50%时，更新租约不成功，当租用期达到出租时间的近87.5％以上时，客户端会再次试图更新租用期。如果服务器是可用的，通常回送一个ACK信息，同意客户端的请求，客户端继续使用现有IP地址，并更新其租期；如果服务器是不可用的，通常回送一个NAK信息，客户端可以继续使用现有IP地址，但不更新其租期，直到客户端租约已满，然后一切从头开始。

非法DHCP服务器攻击的防御

非法DHCP服务器攻击的防御现今校园网络DHCP服务是一种非常常见的服务，该服务简化了海量学生PC、教室PC、服务器的地址配置工作。然而有些校园网用户会产生非法DHCP服务器的攻击行为，这种行为可能是一种恶意操作，也可能是一种无意无操作，比如安装Windows 2000 server的客户端，不小心启用DHCP服务。这种操作无论哪种原因产生的，都会对校园网的运行产生负面影响。第一正常用户从非法DHCP获得非法IP地址，就无法获取正确的网关和DNS等信息；第二有些客户从非法DHCP获得的地址会和其他正常用户产生地址冲突，可能刚好和某些重要校园服务器地址冲突，会影响校园网关键应用的运行。非法DHCP服务器攻击原理在某些情况下，入侵者可以将一个DHCP 服务器加入网络，令其“冒充”这个网段的DHCP 服务器。这让入侵者可以为缺省的网关和域名服务器（DNS 和WINS）提供错误的DHCP 信息，从而将客户端指向黑客的主机。这种误导让黑客获得其他用户对保密信息的访问权限，例如用户名和密码，而其他用户对攻击一无所知。过程如下：用户发出DHCP Request 攻击者将自己的服务器设置成DHCP Server并发出错误的DHCP Offer 用户采用第一个响应其请求的DHCP Server，得到错的DHCP信息正确的DHCP Server发出DHCP Offer，用户不采用如何防范非法DHCP服务器攻击－DHCP Snooping 非信任端口

如前所述DHCP Snooping能够过滤来自网络中主机或其他设备的非信任DHCP报文，其中包括对应交换机上不信任的端口的客户端IP地址、MAC地址、端口号、VLAN编号、租用和绑定类型等消息。交换机支持在每个VLAN基础上启用DHCP Snooping特性。因此，通过使用DHCP Snooping 特性中的端口信任特性来防止用户私自设置DHCP server。一旦在设备上指定专门的DHCP server服务器的接入端口则其他端口的DHCP server的报文将被全部丢弃。启动DHCP Snooping，将合法DHCP Server的端口设为信任端口，其他端口默认情况下均为非信任端口用户发出DHCP Request 攻击者将自己的服务器设置成DHCP Server并发出错误的DHCP Offer 交换机自动丢弃所有非信任端口发出的DHCP Offer 用户采用正确的DHCP Server发出DHCP Offer DHCP Snooping 非信任端口是DHCP Snooping的子集。通常在校园网部署时建议将接入交换机的下行端口（用户接口）设置为DHCP Snooping untrust，将上行端口（连向核心网和汇聚网）设置为DHCP Snooping trust。H3C E328/E352 E126A/E152产品支持DHCP Snooping 非信任端口，可以有效防控校园网内部的非法DHCP服务器攻击发生。

ARP欺骗 -攻击原理和防范

ARP欺骗/ MITM(Man-In-The-Middle)攻击原理和防范一、MITM(Man-In-The-Middle) 攻击原理按照 ARP 协议的设计，为了减少网络上过多的 ARP 数据通信，一个主机，即使收到的 ARP 应答并非自己请求得到的，它也会将其插入到自己的 ARP 缓存表中，这样，就造成了“ ARP 欺骗”的可能。如果黑客想探听同一网络中两台主机之间的通信（即使是通过交换机相连），他会分别给这两台主机发送一个 ARP 应答包，让两台主机都“误”认为对方的 MAC 地址是第三方的黑客所在的主机，这样，双方看似“直接”的通信连接，实际上都是通过黑客所在的主机间接进行的。黑客一方面得到了想要的通信内容，另一方面，只需要更改数据包中的一些信息，成功地做好转发工作即可。在这种嗅探方式中，黑客所在主机是不需要设置网卡的混杂模式的，因为通信双方的数据包在物理上都是发送给黑客所在的中转主机的。这里举个例子，假定同一个局域网内，有 3 台主机通过交换机相连： A 主机： IP 地址为 192.168.0.1 ， MAC 地址为 01:01:01:01:01:01 ； B 主机： IP 地址为 192.168.0.2 ， MA C 地址为 02:02:02:02:02:02 ； C 主机： IP 地址为 192.168.0.3 ， MAC 地址为 03:03:03:03:03:03 。 B 主机对 A 和 C 进行欺骗的前奏就是发送假的 ARP 应答包，如图所示在收到 B主机发来的ARP应答后，A主机应知道：到 192.168.0.3 的数据包应该发到 MAC 地址为 020********* 的主机； C 主机也知道：到 192.168.0.1 的数据包应该发到 MAC 地址为 020********* 的主机。这样， A 和 C 都认为对方的 MAC 地址是 020********* ，实际上这就是 B 主机所需得到的结果。当然，因为 ARP 缓存表项是动态更新的，其中动态生成的映射有个生命期，一般是两分钟，如果再没有新的信息更新， ARP 映射项会自动去除。所以， B 还有一个“任务”，那就是一直连续不断地向 A 和 C 发送这种虚假的 ARP 响应包，让其 ARP缓存中一直保持被毒害了的映射表项。现在，如果 A 和 C 要进行通信，实际上彼此发送的数据包都会先到达 B 主机，这时，如果 B 不做进一步处理， A 和 C 之间的通信就无法正常建立， B 也就达不到“嗅探”通信内容的目的，因此， B 要对“错误”收到的数据包进行一番修改，然后转发到正确的目的地，而修改的内容，无非是将目的 MAC 和源MAC 地址进行替换。如此一来，在 A 和 C 看来，彼此发送的数据包都是直接到达对方的，但在 B 来看，自己担当的就是“第三者”的角色。这种嗅探方法，

强制性使用DHCP获取ip地址

限制用户使用静态IP，只能通过DHCP获取地址的方法 L3（dhcp server/93 1/0/0）------(0/0/3)L2(33 0/0/1口)-----pc（4487-fc43-2dea）需求:要求L3作dhcp server，仅为某一些mac分配固定的ip，其他未明示的mac不允许获得ip，同时已经明示的mac只能使用指定的ip，不能私自修改ip. 1、在dhcp server组里做静态的ip和mac绑定，使ip分配正确。 2、在dhcp server全局再单独做ip和mac的静态表，并在接口开启ip check/arp check,使用户私改ip无法上网，同时也不会产生arp冲突。 3、在L2上作静态表，只写mac，然后在接口开启ip检查，或者在vlan开启ip检查. L2配置： !Software Version V100R005C01SPC100 sysnameQuidway # vlan batch 10 # user-bind static mac-address 4487-fc43-2dea--------允许pc mac通过，不能写ip，因为dhcp discover交互的报文没有ip。 user-bind static mac-address 0018-82b3-c6ff--------允许服务器的mac。 # undo http server enable # drop illegal-mac alarm # vlan 10 ip source check user-bind enable-------------------在vlan里开启ip检查。 ip sour # L3配置： [Quidway]dis cu # !Software Version V100R003C00SPC200 sysnameQuidway # vlan batch 1 6 10 20 # dhcp enable

ARP欺骗在网络中的应用及防范

ARP欺骗在网络中的应用及防范一、ARP协议的内容和工作原理地址解析协议（Address Resolution Protocol,ARP）是在只知道主机IP地址时确定其物理地址的一种协议。因IPv4、IPv6和以太网的广泛应用，其主要用于将IP地址翻译为以太网的MAC地址，但其也能在ATM和FDDI IP网络中使用。从IP地址到物理地址的映射有两种方式：表格方式和非表格方式。ARP具体说来就是将网络层（IP层，也就是相当于OSI的第三层）地址解析为数据连接层（MAC 层，也就是相当于OSI的第二层）的MAC地址。首先，每台主机都会在自己的ARP缓冲区中建立一个ARP映射表，以表示IP地址和MAC地址的对应关系。当源主机需要将一个数据包要发送到目的主机时，会首先检查自己ARP列表中是否存在该IP地址对应的MAC地址，如果有，就直接将数据包发送到这个MAC地址；如果没有，就向本地网段发起一个ARP 请求的广播包，查询此目的主机对应的MAC地址。此ARP请求数据包里面包括源主机的IP地址、源主机的MAC地址以及目的主机的IP地址、目的MAC地址。同一网段中所有的主机收到这个ARP请求后，会检查数据包中的目的IP是否和自己的IP地址一致。如果不相同就丢弃此数据包；如果相同，该主机首先将发送端的MAC地址和IP地址添加到自己的ARP映射表中，如果ARP映射表中已经存在该IP的信息，则将其覆盖，然后以单播的形式给源主机发送一个ARP响应数据包，告诉对方自己是它需要查找的MAC地址；源主机收到这个ARP响应数据包后，将得到目的主机的IP地址和MAC地址并添加到自己的ARP映射表中，并利用此信息开始数据的传输。如果源主机一直没有收到ARP响应数据包，表示ARP查询失败。二、ARP协议存在的安全漏洞 ARP协议是建立在信任局域网内所有节点的基础上的，它很高效，但却不安全。其主要漏洞有以下三点：１、主机地址映射表是基于高速缓存、动态更新的，ARP将保存在高速缓存中的每一个映射地址项目都设置了生存时间，它只保存最近的地址对应关系。这样恶意的用户如果在下次交换前修改了被欺骗机器上的地址缓存，就可以进行假冒或拒绝服务攻击。 2、由于ARP是无状态的协议，即使没有发送ARP请求报文，主机也可以接收ARP应答，只要接收到ARP应答分组的主机就无条件地根据应答分组的内容刷新本机的高速缓存。这就为ARP欺骗提供了可能，恶意节点可以发布虚假的ARP 报文从而影响网内节点的通信，甚至可以做“中间人”。３、任何ARP应答都是合法的，ARP应答无须认证，只要是局域网内的ARP 应答分组，不管是否是合法的应答，主机都会接受ARP应答，并用其IP-MAC信息篡改其缓存。这就是ARP的另一个隐患。三、ARP欺骗攻击的实现过程 3.1 网段内的ARP欺骗攻击 ARP欺骗攻击的最基本手段就是向目标主机发送伪造的ARP应答，并使目标主机接收应答中伪造的IP与MAC间的映射表，并以此更新目标主机缓存。设在

Cisco解决在DHCP环境下私自指定IP和私自搭建DHCP服务器的方法

Cisco解决在DHCP环境下私自指定IP和私自搭建DHCP服务器的方法网络管理员:现在用户真是不省心，自己改个IP地址;私接AP、忘关DHCP，还有的下个小黑客程序，就想在你内网里试试。单靠交换机能管吗, 测试工程师:能～很多交换机上的小功能都可帮大忙。测试实况: IP与MAC绑定思科的Catalyst 3560交换机支持DHCPSnooping功能，交换机会监听DHCP的过程，交换机会生成一个IP和MAC地址对应表。思科的交换机更进一步的支持IP sourceguard和Dynamic ARP Inspection功能，这两个功能任启一个都可以自动的根据DHCPSnooping监听获得的IP和MAC地址对应表，进行绑定，防止私自更改地址。 Dynamic ARP Inspection功能还有一个好处是可以防范在2层网络的中间人攻击(见图4)。思科在DHCP Snooping上还做了一些非常有益的扩展功能，比如Catalyst3560交换机可以限制端口通过的DHCP数据包的速率，粒度是pps，这样可以防止对DHCP服务器的进行地址请求的DoS攻击。另外Catalyst3560交换机还支持DHCPTracker，在DHCP请求中插入交换机端口的ID，从而限制每个端口申请的IP 地址数目，防止黑客程序对DHCP服务器进行目的为耗尽IP地址池的攻击。华硕虽然不能调整速率，但是也会限制DHCP请求的数量。 DHCP(动态主机配置协议)是一种简化主机IP地址配置管理的TCP/IP标准。该标准为DHCP服务器的使用提供了一种有效的方法:即管理网络中客户机IP地址的动态分配以及启用网络上DHCP客户机的其它相关配置信息。

如何解决局域网非法DHCP服务器问题

如何解决局域网非法DHCP服务器问题? 最近公司里部分计算机频繁出现不能上网的问题，这些计算机都是自动获得IP的，但经过检查我发现他们获得的网关地址是错误的，按照常理DHCP不会把错误的网关发送给客户端计算机的。后来我使用ipconfig /release释放获得的网络参数后，用ipconfig /renew可以获得真实的网关地址，而大部分获得的仍然是错误的数据。所以我断言局域网中肯定存在其他的DHCP服务器，也叫做非法DHCP服务器。为什么真正的DHCP服务器分配的网络参数无法正确传输到客户机上呢？首先来了解下DHCP的服务机制：一般公司内部都会有一个DHCP服务器来给客户端计算机提供必要的网络参数信息的，例如IP地址，子网掩码，网关，DNS等地址，很多情况路由器就可以担当此重任。每次客户端计算机启动后都会向网络中发送广播包寻找DHCP服务器（前提是该计算机被设置为自动获得IP地址），广播包随机发送到网络中，当有一台DHCP服务器收到这个广播包后就会向该包源MAC地址的计算机发送一个应答信息，同时从自己的地址池中抽取一个IP地址分配给该计算机。为什么非法DHCP会被客户端计算机认为是合法的？根据DHCP的服务机制，客户端计算机启动后发送的广播

包会发向网络中的所有设备，究竟是合法DHCP服务器还是非法DHCP服务器先应答是没有任何规律的，客户端计算机也没有区分合法和非法的能力。这样网络就被彻底扰乱了，原本可以正常上网的机器再也不能连接到intelnet。解决方法： 1、ipconfig /release 和ipconfig /renew 我们可以通过多次尝试广播包的发送来临时解决这个问题，直到客户机可以得到真实的地址为止。即先使用ipconfig /release释放非法网络数据，然后使用ipconfig /renew尝试获得网络参数，如果还是获得错误信息则再次尝试/release与/renew直到得到正确信息。提醒：这种方法治标不治本，反复尝试的次数没有保证，另外当DHCP租约到期后客户端计算机需要再次寻找DHCP服务器获得信息，故障仍然会出现。 2、通过“域”的方式对非法DHCP服务器进行过滤将合法的DHCP服务器添加到活动目录（Active Directory）中，通过这种认证方式就可以有效的制止非法DHCP服务器了。原理就是没有加入域中的DHCP Server在相应请求前，会向网络中的其他DHCP Server发送DHCPINFORM 查询包，如果其他DHCP Server有响应，那么这个DHCP Server就不能对客户的要求作相应，也就是说网络中加入域的DHCP服务器的优先级比没有加入域的DHCP服务器

ARP攻击和防范原理及示例

本科生毕业论文（设计）题目：ARP攻击和防范原理及示例专业：计算机网络（本科）考生姓名：********** 准考证号：************ 指导教师：****** 二〇一五年十月

学术诚信声明本人所呈交的毕业论文，是在导师的指导下，独立进行研究工作所取得的成果，所有数据、图片资料均真实可靠。除文中已经注明引用的内容外，本论文不包含任何其他人或集体已经发表或撰写过的作品或成果。对本论文的研究作出重要贡献的个人和集体，均已在文中以明确的方式标明。本毕业论文的知识产权归属于培养单位。本人完全意识到本声明的法律结果由本人承担。本人签名：日期：2015-10-12

摘要 ARP攻击是指攻击者利用ARP协议本身的缺陷，在区域内一台终端或服务器上发布欺骗ARP广播包以达到盗取用户帐号、篡改网站内容、嵌入恶意代码、发布不良信息、监听传输数据等非法活动的目的。 ARP的攻击方式是ARP欺骗，ARP欺骗在过去常被运用到简单的拒绝服务攻击中。然而，随着大量缺乏管理且流动性较大的网吧以及其他公共上网环境的普及，互联网上开始出现许多由ARP基本攻击与侦听、网页篡改等黑客技术相互结合的攻击方式。这种ARP攻击之所以能在各类公共上网设施内迅速蔓延是因为在拥有上千台机器的公众上网环境或对外服务的IDC托管机房中，同一网段中往往有来自不同单位或不同人群使用的各类终端与服务器，由于其中各类系统的安全责任点归属复杂、使用人员流动性大，造成环境内安全管理漏洞较多，从而使新一代以ARP欺骗为基础的网页挂码或重定向攻击得以滋生。目前，很多研究者已经给出了针对ARP欺骗攻击的防治方法，在一定程度上减少了ARP问题的发生，这类方法主要是通过保护ARP高速缓存等方法来实现，它们不能从根本上解决ARP欺骗问题，因为ARP欺骗是利用ARP协议本身存在在的漏洞，本文将从技术层面入手，分析解决该类问题。关键词：ARP攻击、ARP协议、ARP欺骗、ARP安全防护

Arp攻击原理及防范

Arp攻击原理及防范 1．ARP协议简介在局域网中，一台主机要和另一台主机进行通信，必须要知道另一台主机的IP地址，但是最终负责在局域网中传送数据的网卡等物理设备是不识别IP地址的，只能识别其MAC地址。MAC地址是48位的，通常表示为12个16进制数，每2个16进制数之间用“-”或者冒号隔开，如：FF-FF-FF-FF-FF-FF就是一个MAC地址。每一块网卡都有其全球唯一的MAC地址，网卡之间发送数据，只能根据对方网卡的MAC地址进行发送，这时就需要一个将数据包中的IP地址转换成MAC地址的协议，而这个重要的任务将由ARP协议完成。 ARP全称为Address Resolution Protocol，即地址解析协议。所谓“地址解析”就是主机在发送数据包前将目标主机IP地址转换成目标主机MAC地址的过程。ARP协议的基本功能就是通过目标设备的IP地址，查询目标设备的MAC地址，以保证通信的顺利进行。这时就涉及到一个问题，一个局域网中的电脑少则几台，多则上百台，这么多的电脑之间，如何能准确的记住对方电脑网卡的MAC地址，以便数据的发送呢？这就涉及到了另外一个概念，ARP 缓存表。在局域网的任何一台主机中，都有一个ARP缓存表，该表中保存这网络中各个电脑的IP地址和MAC地址的对照关系。当这台主机向同局域网中另外的主机发送数据的时候，会根据ARP缓存表里的对应关系进行发送。下面，我们用一个模拟的局域网环境，来说明ARP欺骗的过程。 2．ARP欺骗过程：如图（1）所示（在相册）局域网中有三台主机与交换机相连接，主机名分别为A、B、C，交换机为网关命名为S，IP如图所示。现在A与C进行通信，正常情况下通信过程如下：A 将自身的数据打包目地IP为C的IP，因为不知道C的MAC，所以A向全网发出ARP请求要求得到C的MAC，C收到广播报文后将自身的MAC地址发送给A，A得到C的MAC后将数据打包，封装目的为C的IP和MAC，然后将数据包发送给S；S收到该包后拆包得到C的MAC，然后再对照自身的ARP缓存表，将数据包发送给C，一次通信完成。这样的机制看上去很完美，似乎整个局域网也天下太平，相安无事。但是，上述数据发送机制有一个致命的缺陷，即它是建立在对局域网中电脑全部信任的基础上的，也就是说它的假设前提是：无论局域网中那台电脑，其发送的ARP数据包都是正确的。那么这样就很危险了！因为局域网中并非所有的电脑都安分守己，往往有非法者的存在。此时A想得到C 的MAC向全网发送广播，C将自己的MAC发给A，而此时一直沉默的B也向全网发出广播报文，说自已的IP为192.168.0.4MAC为B的MAC即MAC_b，原本A得到的C的MAC是正确的，由于B不停的发送广播报文，但A不知道B的MAC是伪造的，导致A重新动态更新自己的ARP缓存表，此时A的ARP缓存表里记录了一条错误的记录，这就导致了A以后要发送给C的数据全部发给了B。这就是ARP欺骗中冒充主机的方式。如果B冒充网关又会是什么情况呢？大家知道局域网中所有电脑上网都要通过网关转发数据才能登陆互联网。此时如果B向全网发送广播说我的IP为192.168.0.1 MAC为MAC_b 即B自己的MAC，由于局域网通信的前提条件是信任任何电脑发送的ARP广播包。这样局域网中的其它电脑都会更新自身的ARP缓存表，记录下192.168.0.1－MAC_b这样的记录，这样，当它们发送给网关，也就是IP地址为192.168.0.1这台电脑的数据，结果都会发送到MAC_b这台电脑中！这样，B就将会监听整个局域网发送给互联网的数据包！ ARP病毒新的表现形式由于现在的网络游戏数据包在发送过程中，均已采用了强悍的加密算法，因此这类ARP病毒在解密数据包的时候遇到了很大的难度。现在又新出现了一种ARP病毒，与以前的一样的是，该类ARP病毒也是向全网发送伪造的ARP欺骗广播，自身伪装成网关。但区别是，

ARP欺骗原理与解决办法

ARP欺骗原理与解决办法 2009-03-26 18:18 【故障原理】要了解故障原理，我们先来了解一下ARP协议。在局域网中，通过ARP协议来完成IP地址转换为第二层物理地址（即MAC地址）的。ARP 协议对网络安全具有重要的意义。通过伪造IP地址和MAC地址实现ARP欺骗，能够在网络中产生大量的ARP通信量使网络阻塞。 ARP协议是“Address Resolution Protocol”（地址解析协议）的缩写。在局域网中，网络中实际传输的是“帧”，帧里面是有目标主机的MAC地址的。在以太网中，一个主机要和另一个主机进行直接通信，必须要知道目标主机的MAC地址。但这个目标MAC地址是如何获得的呢？它就是通过地址解析协议获得的。所谓“地址解析”就是主机在发送帧前将目标IP地址转换成目标MAC地址的过程。ARP协议的基本功能就是通过目标设备的IP地址，查询目标设备的MAC地址，以保证通信的顺利进行。每台安装有TCP/IP协议的电脑里都有一个ARP缓存表，表里的IP地址与MAC地址是一一对应的，如下所示。主机IP地址MAC地址 A 192.168.16.1 aa-aa-aa-aa-aa-aa B 192.168.16.2 bb-bb-bb-bb-bb-bb C 192.168.16.3 cc-cc-cc-cc-cc-cc D 192.168.16.4 dd-dd-dd-dd-dd-dd 我们以主机A（192.168.16.1）向主机B（192.168.16.2）发送数据为例。当发送数据时，主机A会在自己的ARP缓存表中寻找是否有目标IP地址。如果找到了，也就知道了目标MAC地址，直接把目标MAC地址写入帧里面发送就可以了；如果在ARP缓存表中没有找到相对应的IP地址，主机A就会在网络上发送一个广播，目标MAC地址是“FF.FF.FF.FF.FF.FF”，这表示向同一网段内的所有主机发出这样的询问：“192.168.16.2的MAC地址是什么？”网络上其他主机并不响应ARP询问，只有主机B接收到这个帧时，才向主机A做出这样的回应：“192.168.16.2的MAC地址是bb-bb-bb-bb-bb-bb”。这样，主机A就知道了主机B的MAC地址，它就可以向主机B发送信息了。同时它还更新了自己的ARP缓存表，下次再向主机B 发送信息时，直接从ARP缓存表里查找就可以了。ARP缓存表采用了老化机制，在一段时间内如果表中的某一行没有使用，就会被删除，这样可以大大减少ARP缓存表的长度，加快查询速度。从上面可以看出，ARP协议的基础就是信任局域网内所有的人，那么就很容易实现在以太网上的ARP欺骗。对目标A进行欺骗，A去Ping主机C却发送到了DD-DD-DD-DD-DD-DD 这个地址上。如果进行欺骗的时候，把C的MAC地址骗为DD-DD-DD-DD-DD-DD，于是A 发送到C上的数据包都变成发送给D的了。这不正好是D能够接收到A发送的数据包了么，

解决局域网中干扰DHCP服务器的办法

解决局域网中干扰DHCP服务器的办法~[复制链接]发表于 2010-10-8 10:45 |来自51CTO网页 [只看他]楼主一般在局域网环境下，如果是规模比较大的工厂或者宿舍，如果是相对简单的局域网架构的话，很容易受到非法DHCP设备的干扰。比如说，IP地址是172.16.xx.xx是合法的地址，DHCP地址池比如172.16.0.1~172.16.1.254 是合法的。一般情况下，桌面级网络设备，我们会使用八口或者16口的交换机。但遇到管理不严格的单位会有些人在办公室私接共享用的小宽带路由器，或者是无线宽带路由器。而这些设备的DHCP又是默认开启的，一般不熟悉网络的人，不会去关闭。于是就会造成一个局域网中有两个DHCP服务器，一个是合法的，一个是非法的。前提是所有的交换机都是智能可管理的，而且最好是对新技术支持比较好的例如我用的H3C 的1626交换机。首先，我把H3C 1626的DHCP-SNOOPING功能开启。这样交换机可以自动监视DHCP的请求和应答信息，并记录这些信息来自的以太端口和IP >system #dhcp-snooping 然后将交换机的上联口和下联口都设置为信任端口，这样交换机可以接收到上级交换机传下来的DHCP信息，也可以将这个DHCP信息传递到下级交换机。但是到终端电脑的其他端口都设置为非信任端口。（注意，默认所有的交换机端口都是信任端口） int eth 0/x dhcp-snooping trust 设置为信任端口 undo dhcp-snoop trust 设置为非信任端口这样可以防止掉非法的DHCP信息怎样找出那个非法源呢？可以查看DHCP-SNOOPING记录的表 dis dhcp-snooping 找到非法的DHCP源IP地址条目后，将该条目相应的以太网口down掉。

DHCP多作用域

DHCP及DHCP多作用域服务器工作原理 2007-11-18 20:39:02 标签：DHCP职场休闲多作用域服务器一、DHCP服务是什么 DHCP称为动态主机配置协议。DHCP服务允许工作站连接到网络并且自动获取一个IP地址。配置DHCP服务的服务器可以为每一个网络客户提供一个IP地址、子网掩码、缺省网关、一个WINS服务器的IP地址，以及一个DNS服务器的IP地址。二、DHCP服务在实际应用中的常见问题 1、在一个子网内是否可以存在多台DHCP服务器，如果存在的话，那么该子网中的客户机能否正确获取地址，将会获取哪个DHCP服务器所分配的地址，是否能控制客户机器能从管理人员所设置的DHCP服务器中获取地址而不会从一些非法用户自建的DHCP服务器中取得非法得IP？ 2、如果网络中存在多个子网，而子网的客户机需要DHCP服务器提供地址配置，那么是采取在各个子网都安装一台DHCP服务器，还是只在某一个子网中安装DHCP服务器，让它为多个子网的客户机分配IP地址，应该如何实现？ 3、如果采取在一个子网中安装DHCP服务器，让它为多个子网的客户机分配IP地址，那么应该需要在一台DHCP服务器中创建多个不同范围的作用域，而我们如何可以准确地保证相应范围的地址峙涓嘤ψ油刂骰兀? 4、如果客户机器无法从DHCP服务器中获取IP地址，那么Windows2000客户机器将会如何处理自己的TCP/IP

设置？三、DHCP的工作原理要解析第二点中所提的问题，首先要搞清楚DHCP的实际的工作过程及原理，下面就对此做简单介绍：DHCP 是一个基于广播的协议，它的操作可以归结为四个阶段，这些阶段是IP租用请求、IP租用提供、IP租用选择、IP租用确认。 1. 寻找Server。当DHCP客户端第一次登录网路的时候﹐也就是客户发现本机上没有任何IP资料设定﹐它会向网路发出一个DHCPDISCOVER封包。因为客户端还不知道自己属于哪一个网路﹐所以封包的来源地址会为0.0.0.0﹐而目的地址则为255.255.255.255﹐然后再附上DHCPdiscover的信息﹐向网路进行广播。网络上每一台安装了TCP/IP协议的主机都会接收到这种广播信息，但只有DHCP服务器才会做出响应.DHCPdiscover的等待时间预设为1秒也就是当客户端将第一个DHCPdiscover封包送出去之后在1秒之内没有得到回应的话就会进行第二次DHCPdiscover广播。在得不到回应的情况下客户端一共会有四次DHCPdiscover广播(包括第一次在内)除了第一次会等待1秒之外其余三次的等待时间分别是9 13 16秒。如果都没有得到DHCP服务器的回应客户端则会显示错误信息宣告DHCPdiscover的失败。之后基于使用者的选择系统会继续在5分钟之后再重一次DHCPdiscover的要求。 2. 提供IP租用位址。当DHCP服务器监听到客户端发出的DHCPdiscover广播后﹐它会从那些还没有租出的位址范围内﹐选择最前面的的空置IP，连同其它TCP/IP设定，回应给客户端一个DHCPOFFER封包。由于客户端在开始的时候还没有IP位址﹐所以在其DHCPdiscover封包内会带有其MAC位址信息﹐并

简要回答arp欺骗的工作原理及如何防范

1．arp欺骗的原理以太网设备（比如网卡）都有自己全球唯一的MAC地址，它们是以MAC地址来传输以太网数据包的，但是以太网设备却识别不了IP数据包中的IP地址，所以要在以太网中进行IP通信，就需要一个协议来建立IP地址与MAC地址的对应关系，使IP数据包能够发送到一个确定的主机上。这种功能是由arp （AddressResolution Protocol）来完成的。 arp被设计成用来实现IP地址到MAC地址的映射。arp使用一个被称为arp高速缓存的表来存储这种映射关系，arp高速缓存用来存储临时数据（IP地址与MAC地址的映射关系），存储在arp高速缓存中的数据在几分钟没被使用，会被自动删除。 arp协议不管是否发送了arp请求，都会根据收到的任何arp应答数据包对本地的arp高速缓存进行更新，将应答数据包中的IP地址和MAC地址存储在arp高速缓存中。这正是实现arp欺骗的关键。可以通过编程的方式构建arp应答数据包，然后发送给被欺骗者，用假的IP地址与MAC地址的映射来更新被欺骗者的arp高速缓存，实现对被欺骗者的arp欺骗。有两种arp欺骗：一种是对路由器arp高速缓存的欺骗；另一种是对内网电脑arp高速缓存的欺骗。2．arp欺骗攻击的防范（1）在客户端使用arp命令绑定网关的IP/MAC（例如arp 00-e0-eb-81-81-85）。（2）在交换机上做端口与MAC地址的静态绑定。（3）在路由器上做IP/MAC地址的静态绑定。（4）使用arp服务器定时广播网段内所有主机的正确IP/MAC映射表。（5）及时升级客户端的操作系统和应用程序补丁。（6）升级杀毒软件及其病毒库。

网络安全方面题目

第一章 1、端口号的分类范围 ●Well-known 端口0-1023：一般固定分配给一些服务 ●注册端口：1024-49151：它们被LANA分配给每个专用程序 ●动态或私有端口：49152-65535: 2、OSI7层物理层（最底层、第一层），这一层的数据叫比特；数据链路层，交换机，这一层的数据叫帧；网络层，路由器，这一层的数据叫数据包；传输层，定义了一些传输数据的协议和端口号（WWW端口80等；工作在传输层的一种服务是T C P / I P 协议套中的T C P （传输控制协议），另一项传输层服务是I P X / S P X 协议集的S P X （序列包交换）。这一层数据叫段；会话层，通过传输层（端口号：传输端口与接收端口）建立数据传输的通路；表示层，表示层管理数据的解密与加密，如系统口令的处理；表示层协议还对图片和文件格式信息进行解码和编码；应用层，终端应用；文件传输、文件管理及电子邮件的信息处理。 3、常见端口号 ●21端口分配给FTP(文件传输协议)服务 ●25端口分配给SMTP（简单邮件传输协议）服务， ●80端口分配给HTTP服务， ●135端口分配给RPC（远程过程调用）服务等等。 4、危险的端口号，是什么服务：135；端口：135 服务：Location Service 说明：Microsoft在这个端口运行DCE RPC end-point mapper为它的DCOM服务。这与UNIX 111端口的功能很相似。使用DCOM和RPC的服务利用计算机上的end-point mapper注册它们的位置。远端客户连接到计算机时，它们查找end-point mapper找到服务的位置。HACKER扫描计算机的这个端口是为了找到这个计算机上运行Exchange Server吗？什么版本？还有些DOS攻击直接针对这个端口。 5、137端口号，主要作用是什么，IP地址查询；138，136，139 端口：137、138、139 ，服务：NETBIOS Name Service 说明：其中137、138是UDP端口，当通过网上邻居传输文件时用这个端口。而139端口：通过这个端口进入的连接试图获得NetBIOS/SMB服务。这个协议被用于windows 文件和打印机共享和SAMBA。还有WINS Regisrtation也用它。 6、TCP三次握手，四次挥手连接断开第二章 1、什么是对称加密，什么是非对称加密，意义在哪里，区别在哪里，要理解掌握 2、公钥(非对称加密)跟私钥（对称加密）要理解，相关关系要明白。 3、流密码和分组密码都属于对称密钥算法。流密码的基本思想是利用密钥产生一个密钥流，并通过相应的规则对明文串进行寄卖合计没处理。而分组密码是将明文分为固定长度的分组，然后通过若干轮函数的迭代操作来产生密文。函数由于在每一轮的操作中都是用，所以称为轮函数，其本轮的输入时上一轮的输出加上密钥。 4、流密码有：基于移位寄存器及硬件实现的A5/1算法；基于软件实现的流密码RC4算法。 5、分组加密有：DES、3DES、AES、IDEA、RC5/RC6，TEA。 6、非对称加密算法：RSA，DH算法，椭圆曲线算法 7、Des加密算法（大题），流程图，怎么实现这个加密，要看懂

dhcp服务器无法绑定到udp端口号67

竭诚为您提供优质文档/双击可除dhcp服务器无法绑定到udp端口号67 篇一：无法启用Dhcp 如上图所示，在启用深度网吧ghosT辅助工具Dhcp时失败，提示：引用内容 couldnotbindsocket.Addressandportarealreadyinuse. 原因是服务需要的端口被其他应用程序占用了，那问题是本服务需要使用哪个端口？该端口又被哪个应用程序占用了呢？如果能回答这两个问题，那问题也就解决了。解决步骤 ①.在另一台机子上安装深度网吧ghosT辅助工具，启用Dhcp服务后查看其使用的端口：从上图得知，Dhcp 服务是使用 uDp的67和69端口。 ②.在服务器上查看uDp的67和69端口都被谁占用了：

检查发现uDp67端口是辅助工具自己使用，而uDp69端口被其他应用程序占用了：好了，将3cTFTps.exe 关闭后深度网吧ghosT辅助工具Dhcp服务就能启用了查看进程占用的端口号和ID：netstat–ano 篇二：Dhcp服务器的配置实验报告(1) 云南师范大学信息学院实验报告 1 2 3 4 5 篇三：如何解决局域网非法Dhcp服务器问题如何解决局域网非法Dhcp服务器问题? 最近公司里部分计算机频繁出现不能上网的问题，这些计算机都是自动获得Ip的，但经过检查我发现他们获得的网关地址是错误的，按照常理Dhcp不会把错误的网关发送给客户端计算机的。后来我使用ipconfig/release释放获得的网络参数后，用ipconfig/renew可以获得真实的网关地址，而大部分获得的仍然是错误的数据。所以我断言局域网中肯定存在其他的Dhcp服务器，也叫做非法Dhcp服务器。

ARP攻击与防范”课程实验设计

Computer Knowledge and Technology 电脑知识与技术网络通讯及安全本栏目责任编辑：冯蕾第6卷第3期(2010年1月)“ARP 攻击与防范”课程实验设计宋星月（辽宁金融职业学院信息技术系，辽宁沈阳110122）摘要：针对“ARP 攻击与防范”课程教学，分析了ARP 协议及ARP 攻击的工作原理，提出了一种更好理解“ARP 攻击与防范”的课程实验设计方案。关键词：ARP 协议；ARP 攻击；ARP 防范；实验设计中图分类号：TP393文献标识码：A 文章编号：1009-3044(2010)03-611-02 Experimental Design of Courses Based on the ARP Attack and Prevention SONG Xing-yue (Department of Information Technology,Liaoning Finance Vocatinal College,Shenyang 110122,China) Abstract:Based on ARP attack and prevention courses teaching,analyzed the principle of ARP protocol and ARP attacks.A advanced experiment method about the ARP attack and prevention is introduced,and it is helpful for students to study ARP attack and prevention.Key words:ARP protocol;ARP attack;ARP prevention;experiment design 互联网是一个面向大众的开放系统，设计初衷是信息共享、开放、灵活和快速，对于信息的保密措施和系统的安全性考虑得并不完备，这些特性不可避免地引发一些网络安全问题，而且，这些问题随着信息技术的发展也就日益严重，如何有效地防范各种攻击，增强网络安全性，是一项重要的课题。网络协议安全是网络安全中的重要领域，研究ARP 协议及其在网络攻防中的应用具有积极的意义。但ARP 攻击方式在不断变换，就连一些资深的网络管理员也为此感到十分头疼。更何况学校里没有实际工作经验的学生。基于此，本文设计了一套ARP 攻击与防范实验方案，增强学生对ARP 协议、ARP 攻击原理的理解，并提高对网络实际操作和故障解决的能力。 1ARP 协议工作原理 ARP 协议，全称Address Resolution Protocol ，中文名是地址解析协议，它工作在OSI 模型的数据链路层，用于将IP 地址转化为网络接口的硬件地址(MAC 地址)。无论是任何高层协议的通信，最终都将转换为数据链路层硬件地址的通讯。当网络中一台主机要向另一台主机或者路由器发送数据时，会首先检查自己ARP 列表中是否存在该IP 地址对应的MAC 地址，如有，就直接将数据包发送到该MAC 地址；如无，就向本地网段发起一个ARP 请求的广播包，查询此目的主机对应的MAC 地址，此ARP 请求数据包里包括源主机的IP 地址、硬件地址、以及目的主机的IP 地址。网络中所有的主机收到该ARP 请求后，会检查数据包中的目的IP 是否和自己的IP 地址一致。如果不相同就忽略此数据包；如果相同，该主机首先将发送端的MAC 地址和IP 地址添加到自己的ARP 列表中，如果ARP 表中已经存在该IP 的信息，则将其覆盖，然后给源主机发送一个ARP 响应数据包，告诉对方自己是它需要查找的MAC 地址；源主机收到这个ARP 响应数据包后，将得到的目的主机的IP 地址和MAC 地址添加到自己的ARP 列表中，并以超时则删除的策略加以维护。 ARP 协议是建立在信任局域网内所有结点的基础上的，它很高效，但却不安全。它不会检查自己是否发过请求包，也不管（其实也不知道）是否是合法的应答，只要收到目标MAC 是自己的ARP Reply 包或ARP 广播包都会接受并缓存，这就为欺骗提供了可能。 2ARP 攻击原理 ARP 欺骗的核心思想是向目标主机发送伪造的ARP 应答，并使目标主机接收应答中伪造的IP 地址与MAC 地址之间的映射对，以此更新目标主机ARP 缓存。2.1ARP 攻击过程设在同一网段的三台主机：A 、B 、C 。其IP 地址和MAC 地址映射关系如表1 所示。假设A 与B 是信任关系，A 欲向B 发送数据包。攻击方C 通过前期准备，收集信息，发现B 的漏洞，使B 暂时无法工作。然后C 发送一个源IP 地址为192.168.0.3源MAC 地址为BB:BB:BB;BB:BB:BB 的包给A 。由于大多数的操作系统在接收到ARP 应答后会及时更新ARP 缓存，而不考虑是否发出过真实的ARP 请求，所以A 接收到应答后，就更新它的ARP 缓存，建立新的IP/MAC 地址映射对，即192.168.0.2→CC:CC:CC:CC:CC:CC 。这样，A 就将发往B 的数据包发向了C ，这就是典型的ARP 欺骗过程。收稿日期：2009-11-19 作者简介：宋星月（1978-），女，内蒙古人，讲师，东北大学硕士研究生，研究方向为计算机网络技术。表1同网段主机IP/MAC 对应表ISSN 1009-3044Computer Knowledge and Technology 电脑知识与技术Vol.6,No.3,January 2010,pp.611-612E-mail:info@https://www.wendangku.net/doc/f110361190.html, https://www.wendangku.net/doc/f110361190.html, Tel:+86-551-56909635690964611

ARP攻击原理简析及防御措施

ARP攻击原理简析及防御措施网络欺骗攻击作为一种非常专业化的攻击手段，给网络安全管理者，带来严峻的考验。网络安全的战场已经从互联网蔓延到用户内部的网络，特别是局域网。目前利用ARP欺骗的木马病毒在局域网中广泛传播，导致网络随机掉线甚至整体瘫痪，通讯被窃听，信息被篡改等严重后果。 0x1 简介网络欺骗攻击作为一种非常专业化的攻击手段，给网络安全管理者，带来严峻的考验。网络安全的战场已经从互联网蔓延到用户内部的网络，特别是局域网。目前利用ARP欺骗的木马病毒在局域网中广泛传播，导致网络随机掉线甚至整体瘫痪，通讯被窃听，信息被篡改等严重后果。 0x2 ARP协议概述 ARP协议（address resolution protocol）地址解析协议一台主机和另一台主机通信，要知道目标的IP地址，但是在局域网中传输数据的网卡却不能直接识别IP地址，所以用ARP解析协议将IP地址解析成MAC 地址。ARP协议的基本功能就是通过目标设备的IP地址，来查询目标设备的mac地址。在局域网的任意一台主机中，都有一个ARP缓存表，里面保存本机已知的此局域网中各主机和路由器的IP地址和MAC地址的对照关系。ARP缓存表的生命周期是有时限的（一般不超过20分钟）。举个例子：假设局域网中有四台主机

主机A想和主机B通信主机A会先查询自己的ARP缓存表里有没有B的联系方式，有的话，就将mac-b 地址封装到数据包外面，发送出去。没有的话，A会向全网络发送一个ARP广播包，大声询问：我的IP地址是192.168.0.2，硬件地址是mac-a，我想知道IP地址是192.168.0.3的硬件地址是多少？此时，局域网内所有主机都收到了，B收到后会单独私密回应：我是192.168.0.3，我的硬件地址是mac-b，其他主机不会理A的此时A知道了B的信息，同时也会动态的更新自身的缓存表 0x3 ARP协议的缺陷 ARP协议是建立在信任局域网内所有节点的基础上的，他的效率很高。但是不安全。它是无状态的协议。他不会检查自己是否发过请求包，也不知道自己是否发过请求包。他也不管是否合法的应答，只要收到目标mac地址是自己的ARP reply或者ARP广播包（包括ARP reply和ARP request），都会接受并缓存。 0x4 ARP攻击原理