在某台感染ARP木马的Windows主机中运行“arp-a”命令,系统显示的信息如图3-5所示。 图3-5中可能被ARP木马修改过的参数是(36)。

admin2010-01-29  33

问题 在某台感染ARP木马的Windows主机中运行“arp-a”命令,系统显示的信息如图3-5所示。

图3-5中可能被ARP木马修改过的参数是(36)。

选项 A、10.3.12.254
B、10.3.12.109
C、0x3
D、00-00-5e-00-01-1b

答案D

解析 TCP/IP协议簇维护着一个ARP Cache表,在构造网络数据包时,首先从ARP表中找目标IP对应的MAC地址,如果找不到,就发一个ARP Request广播包,请求具有该IP地址的主机报告它的MAC地址,当收到目标IP所有者的ARPReply后,将更新ARP Cache表。ARP缓存表采用了老化机制,在一段时间内如果表中的某一行没有使用(Windows系统:为2分钟,Cisco路由器:5分钟),就会被删除。
   假设某局域网中存在着主机A(10.3.12.109)、主机B(IP地址:10.3.12.110,MAC地址:00-00-5e-00-01- 1b)、网关C(IP地址:10.3.12.254,MAC地址:00-10-db-92-aa-30)和主机D(10.1.1.2)。由于计算机在实现ARP缓存表的机制中存在着不完善的地方,当主机收到一个ARP的应答包后,它并不会去验证自己是否发送过这个ARP请求,而是直接将应答包里的MAC地址与IP对应的关系替换掉原有的ARP缓存表里的相应信息,因此将导致主机B截取主机A与主机D之间的数据通信成为可能。
   首先主机B向主机A发送一个ARP应答包,告知网关C(10.3.12.254)的MAC地址是00-00-5e-00-01- 1b,主机A收到该应答包后并没有去验证包的真实性而是直接将自己ARP列表中的10.3.12.254对应的 MAC地址替换成00-00-5e-00-01-比。同时主机B向网关C发送一个ARP响应包,告知10.3.12.109的MAC地址是00-00-5e-00-01-1b,同样,网关C也没有去验证该应答包的真实性就将自己ARP表中的10.3.12.109对应的MAC地址替换成00-00-5e-00-01-1b。当主机A想要与主机D通信时,它直接把发送给网关 10.3.12.254的数据包发送到MAC地址为00-00-5e-00-01-1b的主机B,主机B在收到该数据包后经过修改再转发给真正的网关C。当从主机D返回的数据包到达网关C后,网关C通常查找自己的ARP表,将发往IP地址为10.3.12.109的数据发往MAC地址为00-00-5e-00-01-1b的主机B。主机B在收到该数据包后经过修改再转发给主机A,以完成一次完整的数据通信,这样就成功实现了一次ARP欺骗攻击。
   当网络感染ARP木马时,由图3-5所显示的信息可知,IP地址为10.3.12.254的主机或网关所对应的 MAC地址被修改为“00-00-5e-00-01-1b”。
转载请注明原文地址:https://jikaoti.com/ti/Yy67FFFM
0

最新回复(0)