在某台感染ARP木马的Windows主机中运行“arp -a”命令,系统显示的信息如图6-4所示。         图6-4中可能被ARP木马修改过的参数是(69)。

admin2013-02-02  49

问题 在某台感染ARP木马的Windows主机中运行“arp -a”命令,系统显示的信息如图6-4所示。        

图6-4中可能被ARP木马修改过的参数是(69)。

选项 A、172.30.0.1
B、172.30.1.13
C、0x30002
D、00-10-db-92-00-31

答案D

解析 TCP/IP协议簇维护着一个ARP Cache表,在构造网络数据包时,首先从ARP表中找目标p对应的MAC地址,如果找不到,刚发一个ARP Request广播包,请求具有该IP地址的主机报告它的MAC地址,当收到目标IP所有者的ARP Reply后,更新ARPCache.表。ARP缓存表采用了老化机制,在一段时间内如果表中的某一行没有使用(Windows系统这个时间为2分钟,而Cisco路由器的这个时间为5分钟),就会被删除。假设某局域网中存在着主机A(172.30.1.13)、主机B(p地址为172.30.1.15,MAC地址为 00-10-db-92-00-31)、网关C(IP地址为172.30.0.1,MAC地址为00-10-db-92-aa-30)和主机D(10.1.1.2)。由于计算机在实现ARP缓存表的机制中存在着不完善的地方,当主机收到一个ARP的应答包后,它并不会去验证自己是否发送过这个ARP请求,而是直接将应答包里的MAC地址与IP对应的关系替换掉原有的ARP缓存表里的相应信息,因此将导致主机B截取主机A与主机D之间的数据通信成为可能。首先主机B向主机A发送一个ARP应答包,告知网关C(172.30.0.1)的MAC地址是00-10-db-92-00-31,主机A收到该应答包后并没有去验证包的真实性而是直接将自己ARP列表中的172.30.0.1对应的MAC地址替换成00-10-db-92-00-31。同时主机B向网关C发送一个ARP响应包,告知172.30.1.13的MAC地址是00-10-db-92-00-31,同样,网关C也没有去验证该应答包的真实性就将自己ARP表中的172.30.1.13对应的MAC地址替换成00-10-db-92-00-31。当主机A想要与主机D通信时,它直接把发送给网关 172.30.0.1的数据包发送到MAC地址为00-10-db-92-00-31的主机B,主机B在收到该数据包后经过修改再转发给真正的网关C。当从主机D返回的数据包到达网关C后,网关C通常查找自己的ARP表,将发往IP地址为172.30.1.13的数据发往MAC地址为00-10-db-92-00-31的主机B。主机B在收到该数据包后经过修改再转发给主机A,以完成一次完整的数据通信,这样就成功实现了一次ARP欺骗攻击。当网络感染ARP木马时,由如图6-4所示的信息可知,IP地址为172.30.0.1的主机或网关所对应的 MAC地址被修改为“00-10-db-92-00-31”。
转载请注明原文地址:https://jikaoti.com/ti/MXL7FFFM
0

最新回复(0)