攻击范文10篇

（一）黑客常用手段

1、网络扫描--在Internet上进行广泛搜索，以找出特定计算机或软件中的弱点。

2、网络嗅探程序--偷偷查看通过Internet的数据包，以捕获口令或全部内容。通过安装侦听器程序来监视网络数据流，从而获取连接网络系统时用户键入的用户名和口令。

3、拒绝服务-通过反复向某个Web站点的设备发送过多的信息请求，黑客可以有效地堵塞该站点上的系统，导致无法完成应有的网络服务项目(例如电子邮件系统或联机功能)，称为“拒绝服务”问题。

4、欺骗用户--伪造电子邮件地址或Web页地址，从用户处骗得口令、信用卡号码等。欺骗是用来骗取目标系统，使之认为信息是来自或发向其所相信的人的过程。欺骗可在IP层及之上发生（地址解析欺骗、IP源地址欺骗、电子邮件欺骗等）。当一台主机的IP地址假定为有效，并为Tcp和Udp服务所相信。利用IP地址的源路由，一个攻击者的主机可以被伪装成一个被信任的主机或客户。

5、特洛伊木马--一种用户察觉不到的程序，其中含有可利用一些软件中已知弱点的指令。

[摘要]随着计算机技术的不断发展，网络安全问题变得越来越受人关注。而了解网络攻击的方法和技术对于维护网络安全有着重要的意义。本文对网络攻击的一般步骤做一个总结和提炼，针对各个步骤提出了相关检测的方法。

[关键词]扫描权限后门

信息网络和安全体系是信息化健康发展的基础和保障。但是，随着信息化应用的深入、认识的提高和技术的发展，现有信息网络系统的安全性建设已提上工作日程。

入侵攻击有关方法，主要有完成攻击前的信息收集、完成主要的权限提升完成主要的后门留置等，下面仅就包括笔者根据近年来在网络管理中有关知识和经验，就入侵攻击的对策及检测情况做一阐述。

对入侵攻击来说，扫描是信息收集的主要手段，所以通过对各种扫描原理进行分析后，我们可以找到在攻击发生时数据流所具有的特征。

一、利用数据流特征来检测攻击的思路

摘要：采用确定的有限状态自动机理论对复杂的网络攻击行为进行形式化描述，建立了SYN－Flooding等典型攻击的自动机识别模型。通过这些模型的组合可以表示更为复杂的网络攻击行为，从而为研究网络入侵过程提供了一种更为直观的形式化手段。

关键词：计算机网络；有限状态自动机；网络攻击

0引言

随着计算机网络的普及应用，网络安全技术显得越来越重要。入侵检测是继防火墙技术之后用来解决网络安全问题的一门重要技术。该技术用来确定是否存在试图破坏系统网络资源的完整性、保密性和可用性的行为。这些行为被称之为入侵。随着入侵行为的不断演变，入侵正朝着大规模、协同化方向发展。面对这些日趋复杂的网络入侵行为，采用什么方法对入侵过程进行描述以便更为直观地研究入侵过程所体现出的行为特征已成为入侵检测技术所要研究的重要内容。显然，可以采用自然语言来描述入侵过程。该方法虽然直观，但存在语义不确切、不便于计算机处理等缺点。Tidwell提出利用攻击树来对大规模入侵建模，但攻击树及其描述语言均以攻击事件为主体元素，对系统状态变化描述能力有限[1，2]。随着系统的运行，系统从一个状态转换为另一个状态；不同的系统状态代表不同的含义，这些状态可能为正常状态，也可能为异常状态。但某一时刻，均存在某种确定的状态与系统相对应。而系统无论如何运行最终均将处于一种终止状态（正常结束或出现故障等），即系统的状态是有限的。系统状态的转换过程可以用确定的有限状态自动机（DeterministicFiniteAutomation，DFA）进行描述。这种自动机的图形描述（即状态转换图）使得入侵过程更为直观，能更为方便地研究入侵过程所体现出的行为特征。下面就采用自动机理论来研究入侵过程的形式化描述方法。

1有限状态自动机理论

有限状态自动机M是一种自动识别装置，它可以表示为一个五元组：

背景：本研究寻求评估精神科门诊患者愤怒和攻击的水平，并确定愤怒是否象抑郁和焦虑一样，是这些患者突出的一种情感状态。我们也寻求确定哪一种轴Ⅰ和轴Ⅱ障碍与主观愤怒和攻击行为的增加有关。

方法：对1300例精神科门诊患者进行半定式访谈，评估目前DSM-Ⅳ轴Ⅰ（N=1300）和轴Ⅱ障碍（N=687）。评估最近一周内每一个患者的愤怒和攻击水平，计算每一种障碍的比数比（Oddsratios）。采用多元回归分析确定哪一种精神障碍是患者愤怒和攻击行为的独立影响因素。

结果：大约一半的样本报告目前有中度至重度的愤怒，大约四分之一在最近一周内有攻击行为。愤怒的水平与患者报告的抑郁心境和精神焦虑的水平相当。重性抑郁障碍、双相Ⅰ型障碍、间歇性冲动障碍和B族人格障碍是愤怒和攻击的独立影响因素。“公务员之家有”版权所

结论：精神科门诊患者有突出的愤怒和攻击，其水平与抑郁和焦虑相当；这样，常规检查这些症状对于临床医生来说就很重要。

摘要：要保护好自己的网络不受攻击，就必须对攻击方法、攻击原理、攻击过程有深入的、详细的了解，只有这样才能更有效、更具有针对性的进行主动防护。下面就对攻击方法的特征进行分析，来研究如何对攻击行为进行检测与防御。

关键词：网络攻击防御入侵检测系统

反攻击技术的核心问题是如何截获所有的网络信息。目前主要是通过两种途径来获取信息，一种是通过网络侦听的途径来获取所有的网络信息，这既是进行攻击的必然途径，也是进行反攻击的必要途径；另一种是通过对操作系统和应用程序的系统日志进行分析，来发现入侵行为和系统潜在的安全漏洞。

一、攻击的主要方式

对网络的攻击方式是多种多样的，一般来讲，攻击总是利用“系统配置的缺陷”，“操作系统的安全漏洞”或“通信协议的安全漏洞”来进行的。到目前为止，已经发现的攻击方式超过2000种，其中对绝大部分攻击手段已经有相应的解决方法，这些攻击大概可以划分为以下几类：

(一)拒绝服务攻击：一般情况下，拒绝服务攻击是通过使被攻击对象(通常是工作站或重要服务器)的系统关键资源过载，从而使被攻击对象停止部分或全部服务。目前已知的拒绝服务攻击就有几百种，它是最基本的入侵攻击手段，也是最难对付的入侵攻击之一，典型示例有SYNFlood攻击、PingFlood攻击、Land攻击、WinNuke攻击等。

“与那些血腥的杀人武器和手段相比，网络武器似乎是‘无害’的。即便是一场全面的网络攻击也不可能造成像一次常规武器空袭或地面入侵一样的伤害，所以说网络战争是没有硝烟的战争。……但是，网络战争带来的损害是巨大的。一旦全面展开，遭受攻击的一方可能面临军事安全或国民经济全面崩溃的危险。”［1］(P198)在这种情况下，我们实在无法要求受害国在受到这类网络武力攻击时依然保持无动于衷而不行使自卫权。1945年《联合国宪章》第2条第4款以及第51条为国家行使自卫权提供了国际法的依据和基础，特别是第51条规定:“联合国任何会员国受武力攻击时，在安全理事会采取必要办法，以维持国际和平及安全以前，本宪章不得认为禁止行使单独或集体自卫之自然权利。会员国因行使此项自卫权而采取之办法，应立向安全理事会报告，此项办法于任何方面不得影响该会按照本宪章随时采取其所认为必要行动之权责，以维持或恢复国际和平及安全。”然而，比较棘手的问题是，面对来自于网络这种特定类型的武力攻击，国家到底应如何合法和适当地行使国际法所赋予的自卫权?对于这个问题，事实上，我们并不能轻松自如地进行回答。在这里，依据宪章第51条的规定，有5个与自卫权行使有关的条件特别需要进行讨论。

一、网络攻击构成武力攻击需要满足的条件

使用武力和武力攻击是两个不同的法律概念，分别出现在宪章第2条第4款和第51条之中。很显然，就行使自卫权而言，使用武力不等同于武力攻击。这意味着，并非所有非法使用武力的形式都可视为武力攻击，或者换句话说，并非所有非法武力行为都可以自卫的武力来抵制。［2］(P21)然而，不幸的是，现有国际法并没有对基于网络攻击行为是否可以认定为传统意义上的“武力攻击”作出明确的规定。《联合国宪章》第51条的规定只是提到了“武力攻击”一词，没有对什么是“武力攻击”以及构成“武力攻击”的条件包括哪些等问题进行回答。不过，1977年《日内瓦公约第一附加议定书》第49条对于武力攻击的定义和适用范围作出了规定:“一、‘攻击’是指不论在进攻或防御中对敌人的暴力行为。二、本议定书关于攻击的规定，适用于不论在什么领土内的一切攻击，包括在属于冲突一方但在敌方控制领土内的攻击。”可见，基于人道保护的考虑，上述议定书对于什么是武力攻击的行为的要求标准显得比较宽松和包容，只是简单地将“在进攻或防御中对敌人的暴力行为”都视为是武力攻击的行为，而且主要是指在战争中爆发的武力攻击行为，因而一般不能以此作为判断网络攻击是否构成武力攻击的标准。在和平时期，网络攻击构成武力攻击的标准显然要严格得多，因为普通的网络攻击并不能当然地视为武力攻击。但当今时代网络发展的两个特点使得我们不能排除网络攻击构成武力攻击的可能性，这主要因为:一是在现代战争中，各国武器系统的各类平台越来越多地依赖于软件、计算机硬件和战场网络，因而也易受到来自网络的攻击。虽然这些武器系统的安全措施也在随着网络技术的发展和使用而不断加强，但它们受到网络攻击的可能性也越来越大，一旦遭受网络攻击，其后果将会变得不可预测。二是当今的网络系统日益发达，互联互通已经变得相当普遍，民用网络基础设施系统和军用网络设施系统的界限也变得日益模糊，在这种情况下，基于网络攻击导致的破坏性同样难以预知。有学者认为，电脑攻击作为一种“武力攻击”，它的密度和后果在严重性上应当同传统武力攻击造成的后果相同。也就是说，外国发动的、一时扰乱另一国家当地电话公司，造成一小部分人不能使用电话服务的活动不能和“武装进攻”相提并论。相反，故意更改化学或生物公司的控制系统，从而导致大量有毒气体扩散到人口稠密区的电脑攻击，很可能被认为与武装进攻相同。［3］(P863)自卫权是由武力攻击而非使用武力所引起的这一事实清楚说明，达到武力攻击门槛的使用武力应当具有最严重的性质，如造成人员伤亡或重大财产损失，只有具有最严重性质的使用武力才构成武力攻击，反之则不能视为武力攻击。［2］(P22)1986年国际法院在“尼加拉瓜一案”中指出，武力攻击不仅包括一国的正规部队越过国际边界的直接攻击行为，而且，还包括一国派遣或代表该国派遣武装团队或雇佣兵到另一国的间接攻击，如果他们在另一国内进行武力行为的严重性等同于正规部队进行的实际武力攻击的话。［4］(PP103－104)因此，如果一个网络攻击为一个国家的政府部门或军方直接或间接所为，并且是一种非常严重的使用武力行为，同时导致了有关国家人员和财产大规模伤亡或巨大伤害，则该网络攻击行为应该视为武力攻击。

二、网络武力攻击的实施者一般应是国家

2011年5月16日，美国政府公布了一份题为《网络空间国际战略》的文件。这份文件称美国将通过多边和双边合作确立新的国际行为准则，加强网络防御的能力，减少针对美国政府、企业，尤其是对军方网络的入侵。在这份文件中，美国高调宣布“网络攻击就是战争”，并且，美国还表示，如果网络攻击威胁到美国国家安全，将不惜动用军事力量。然而，在实践中，“网络攻击就是战争”的结论并不能轻易地做出。如何区分来自政府和普通黑客的网络攻击?如果处理不当，将导致自卫权行使的无针对性，进而导致防卫对象错误，由此将引发严重后果。如一国军方黑客调用他国导弹程序攻击第三国，在这种情况下责任如何分担?自卫权具体如何行使?一般地，在一个国家行驶自卫权之前必须弄清楚攻击的来源或确定实施攻击行为的主体。对于一个国家军方网站或政府网站受到网络攻击的问题，我们如何能确定到底是谁施加了这样一个“攻击行为”?是某个国家的军方人士?还是一个恶作剧的黑客?或者是一个普通的网民?抑或是一个恐怖主义团体?非常明显的一个事实是，依据《联合国宪章》的有关规定，在国际法上行使自卫权的主体应是国家而非个人。因而个人实施的网络攻击行为一般不能构成国家行使自卫权的理由，这就需要着重考虑某个网络攻击行为是由单个黑客所为，还是犯罪团伙或者政府的故意操纵行为。当然，如果有充分的证据表明，黑客或其它个人对他国网络实施的攻击行为是由政府或军方幕后指使做出的，这种个人实施的一般性网络攻击行为就可以归因于国家行为，从而也可能引发受害国行使自卫权。然而，棘手的问题是，在实践中要分析和确认网络中袭击者的具体身份到底是个人还是国家是非常困难的，因为大量案例表明，大规模网络攻击大多是借助成千上万的“跳板机”①经过多次跳转最终实现攻击的，而跳板机可能遍布世界各地。因此，要想确定攻击源头是政府、军方还是普通民间黑客组织所实施的网络攻击行为实际是非常困难的。

三、联合国任何会员国受武力攻击时

攻击特征自动提取定义与分类

攻击特征自动提取分为攻击发现和提取特征两个基本步骤。因此，与入侵检测系统可以分为网络IDS（NIDS）和主机IDS（HIDS）类似，根据发现攻击的位置不同，攻击特征自动提取也可以分为基于网络和基于主机的两大类，分别简记为NSG（network－basedsignaturesgeneration）和HSG（host－basedsignaturesgeneration）。1）NSG主要是通过分析网络上的可疑数据来提取字符型的特征。字符型的特征是指通过字符串（二进制串）的组成、分布或频率来描述攻击。NSG系统一般通过数据流分类器或Honeypot系统来发现网络数据中可疑的攻击行为，并获得可能包括了攻击样本的可疑网络数据；然后将其分成两个部分，一部分NSG系统［8～9］对这些可疑数据进行聚类，使得来自同一攻击的数据聚为一类，再对每一类提取出攻击特征，另一部分NSG系统则没有聚类过程，而是直接分析混合了多个攻击样本的数据，提取可以检测多个攻击的特征。最终NSG系统将提取出的攻击特征转化为检测规则，应用于IDS系统的检测。2）HSG主要是指检测主机的异常并利用在主机上采集的信息来提取攻击特征。根据获得主机信息的多少，HSG又可以进一步分为白盒HSG方法、灰盒HSG方法和黑盒HSG方法三类。白盒HSG方法需要程序源代码，通过监视程序执行发现攻击行为的发生，进而对照源程序提取出攻击特征；灰盒HSG方法不需要程序源代码，但是必须密切地监视程序的执行情况，当发现攻击后通过对进程上下文现场的分析提取攻击特征；黑盒HSG方法最近才提出，它既不需要程序源代码也不需要监视程序的执行，而是通过自己产生的“测试攻击数据”对程序进行攻击，如果攻击成功，表明“测试数据”有效，并以该“测试数据”提取出攻击的特征。

基于网络的攻击特征自动提取技术

下面介绍几种NSG方法。基于最长公共子串方法早期的NSG系统［10～11］大多采用提取“最长公共子串”（LCS）的方法，即在可疑数据流中查找最长的公共子字符串。虽然基于后缀树计算两个序列的LCS可在线性时间内完成［12］，但是LCS方法仅仅提取单个最长的特征片段，并不足以准确描述攻击。基于固定长度负载出现频率方法Autograph［13］按照不同的方法将可疑数据流划分为固定长度的分片，然后基于Rabinfingerprints算法［14］计算分片在所有可疑数据流中出现的频繁度，最后将频繁度高的分片输出为攻击特征。该方法存在的问题是难以选取固定长度的大小、计算开销和存储开销大、没有考虑攻击变形情况。YongTang等人将可疑数据流中含有多个特征片段的固定长度部分定义为“关键区域”，并利用Expectation－Maximization（EM）［15］和GibbsSampling［16］这两种迭代计算算法查找关键区域。但是“关键区域"长度选取困难、算法不能确保收敛限制了该方法的有效性。基于可变长度负载出现频率基于可变长度负载出现频率的方法是当前比较有效的特征提取方法，由Newsome等人在本世纪初Polygraph［17］的研究中首次提出。可变长度负载出现频率是指长度大于1的在可疑数据流中频繁出现的字符串，可变长度负载出现频率长度不固定，每一个可变长度负载出现频率可能对应于攻击中的一个特征片段。因此，基于可变长度负载出现频率的方法的核心是提取出数据流中频繁度大于一定阀值的所有可变长度负载出现频率，一般都采用遍历前缀树的算法［18～19］。以可变长度负载出现频率为核心，Poly－graph输出三类攻击特征：1）可变长度负载出现频率组成的集合，称为ConjunctionSignature；2）可变长度负载出现频率组成的序列，称为Token－subsequenceSignature；3）可变长度负载出现频率附加贝叶斯概率值，称为BayesSigna－ture。Polygraph在设计时考虑了攻击变形的情况，并且首次引入聚类过程，因此大大提高了提取特征的准确性。基于有限状态自动机Vinod等人提出的有限状态自动机［20］首先对可疑数据流进行聚类，然后对每一类中的数据流应用sk－strings［21］算法生成一个有限状态自动机，最后将有限状态自动机转化为攻击特征。有限状态自动机的主要创新是在特征提取过程中考虑了网络协议的语义，因而可以在网络层和会话层分别提取特征。然而因为需要协议的语义，所以有限状态自动机只对特定的几种协议有效，而通用性较差。

基于主机的特征自动提取技术

HSG的研究也是目前研究比较多的技术，经过几年的发展也取得了很好的进展，产生了一些重要的研究成果。下面针对三类方法分别进行介绍。白盒方法因为需要程序源代码，适用性较差，所以基于白盒方法的HSG系统较少。一种典型的技术是指令集随机化（ISR）技术［22］，这种技术主要原理是可以将程序的二进制代码随机打乱，使得攻击者实施缓冲区攻击后极有可能导致程序崩溃并产生异常。指令集随机化技术是一种新型的保护系统免遭任何类型注入码攻击的通用方法。对系统指令集经过特殊的随机处理，就可以在该系统上运行具有潜在漏洞的软件。任何注入代码攻击成功利用的前提是攻击者了解并熟悉被攻击系统的语言，如果攻击者对这种语言无法理解则很难进行攻击，攻击者在不知道随机化算法密钥的情况下，注入的指令是无法正确执行的。FLIPS［23］是一个基于ISR技术构建的HSG系统，当攻击导致程序崩溃后，FLIPS对于此相关的网络输入数据用LCS算法提取出攻击片段由于ISR技术要求具有程序的源代码，所以FLIP是一种白盒方法。白盒方法需要了解源程序代码，这在很多场是不可能的事情，因此需要一种不需要了解源程序代码的方法，这种情况下黑盒方法面世。HACQIT［24］是最早的一个黑盒方法。当受保护程序发生意外崩溃后，通过将可疑的网络请求重新发往该程序并判断是否再次导致程序崩溃，HAC－QIT检测出那些被称为“bad－request”的请求。然而，HACQIT没有进一步区分“bad－request”中哪些部分才是真正的攻击特征。因为一个进程的虚拟地址空间范围是有限的，缓冲区溢出攻击成功后必然立刻执行一个跳转指令，而该跳转指令的目标地址一定位于虚拟地址空间范围内。如果将该跳转目标地址改变，将很可能造成攻击的溢出失败并导致程序崩溃。WANGX等基于这样的思想提出了一个黑盒HSG系统PacketVaccine［25］：将可疑报文中那些类似跳转目标地址（其值属于虚拟地址空间范围内）的字节进行随机改变，构造出新报文，称为“报文疫苗”（packvaccine），然后将“报文疫苗”输入给受保护程序如果程序崩溃，则说明之前改变的字节就是攻击溢出后的跳转地址，可以作为攻击特征。随着现代技术的不断推进，黑盒方面和白盒方法都只能应用于特征提取中的一些环节，一种新兴技术介于两种技术之间，而且还可以得到很好的应用，因此，灰盒技术应运而生。灰盒方法是指通过紧密跟踪程序的执行从而发现攻击并提取特征。因为灰盒方法并不需要程序的源代码，所以适用于各种商业软件。其分析的结果也比较准确，目前大多数HSG系统属于这类方法。灰盒方法有以下几种具体实现方式。1）基于动态数据流跟踪TaintCheck［26］和Vigilante［27］都使用动态数据流跟踪（taintanalysis）来检测缓冲区溢出攻击。其基本思想是：认为来自网络上的数据是不可信的，因此跟踪它们在内存中的传播（称为“污染”）情况如果函数指针或返回地址等被“受污染”的数据所覆盖，则说明发生了攻击；此后，从该“受污染”的数据开始，反向查询“污染”的传播过程，直到定位到作为“污染源”的具体的网络输入。不同的是TaintCheck选取3byte，而Vigilante选取偏移量作为输出特征。2）基于地址空间随机化（ASR）技术［28～29］是将进程的一些地址（如跳转地址、函数返回地址、指针变量地址等）随机化，使得攻击者难以知道溢出目标的准确位置。使用ASR技术后，攻击者将难以对程序成功实施缓冲区溢出攻击，而溢出失败后会导致程序崩溃及产生异常。与ISR技术相比，ASR技术的优点是不需要源代码。

一、电子商务

电子商务(EC)是英文“ElectronicCommerce”的中译文。电子商务指的是通过简单、快捷、低成本的电子通信方式,买卖双方不谋面地进行的各种商务活动。由于电子商务拥有巨大的商机,从传统产业到专业网站都对开展电子商务有着十分浓厚的兴趣,电子商务热潮已经在全世界范围内兴起。电子商务内容包括两个方面:一是电子方式。不仅指互联网,还包括其他各种电子工具。二是商务活动。主要指的是产品及服务的销售、贸易和交易活动;电子化的对象是针对整个商务的交易过程,涉及信息流、商流、资金流和物流四个方面。

二、电子商务网络攻击的主要形式

1.截获或窃取信息

攻击者通过互联网、公共电话网、搭线、电磁波辐射范围内安装截收装置或在数据包通过网关和路由器时截获数据等方式,获取传输的机密信息,或通过对信息流量和流向、通信频度和长度等参数的分析,推出诸如消费者的银行账号、密码,以及企业的商业机密等有用信息。

2.违反授权原则

摘要：从高职网络攻防竞赛入手，详细介绍了攻防竞赛中常用的3种攻击手段：弱口令、后门端口、Web攻击，针对不同的手段给出了相应的防范方法：提高口令的复杂度、利用防火墙限制端口、对网站Web代码进行审计等。实践表明，这样的攻击和防范方法对提高高职院校学生网络攻防水平有着一定的帮助。

关键词：高职；网络攻防

目前各级各类的网络攻防竞赛正在高职院校间如火如荼地开展，在攻防竞赛中所有参赛队伍都被分配若干靶机，这些靶机都存在着漏洞，在规定时间内参赛队伍要尽力加固自己的靶机，并利用漏洞攻击对方靶机以获得flag（flag是靶机root目录下flagvalue.txt文件的内容），具有很强的对抗性。通过参与网络对攻竞赛，学生的网络技术水平得到了提高，网络安全意识得到了培养，也为今后成为一名合格的“网络强国”技能人才打下良好的基础。目前高职网络攻防竞赛中网络靶机的漏洞大致分为3类：弱口令、后门、Web漏洞。

1弱口令攻击

1.1弱口令攻击的表现

高职攻防竞赛中弱口令攻击是最为常见和直接的攻击形式，靶机系统一般开放SSH、Telnet、VNC等远程登录服务，攻防中利用已知的用户名和破解出的口令便能渗透进对方系统。实际对战中爆破口令的方式有多种，如利用渗透机kali中的相关工具hydra、medusa、sparta、msf等；利用Python脚本进行口令爆破，破解SSH登录口令代码如下:此外，由于攻防时间有限，人工猜测口令也较为常见，如123456、root、admin等。当利用已知的用户和猜测的口令进入靶机系统后，往往需要对用户进行提权才能查看root目录下的flag值，常见的提取方式如sudo提权即给定的用户如ad-min，在/etc/sudoers文件中已经写入了adminALL=（ALL：ALL）ALL，此时用户admin执行root指令时，只需在执行的指令前加入sudo即可；find提权即利用find文件拥有的suid权限，普通用户执行指令如find/usr/bin/find-execcat/etc/shadow，即可看到只有root用户才能看到的shadow文件；脏牛提权，Linux靶机往往存在着系统内核漏洞如2.6.22到3.9之间的Linux，利用脏牛exp就能在该系统生成一个后门用户fireflat（权限与root一致），密码可自定；隐藏用户提权，/etc/pass-wd、/etc/shadow是两个Linux存放用户名、密码的文件，如果给定用户有权限查看这两个文件，便可以利用工具如ophcrack、john等破解root口令或隐藏用户的口令，隐藏用户往往具有root一样的权限。

摘要文章介绍了ARP地址解析协议的含义和工作原理，分析了ARP协议所存在的安全漏洞，给出了网段内和跨网段ARP欺骗的实现过程。最后，结合网络管理的实际工作，重点介绍了IP地址和MAC地址绑定、交换机端口和MAC地址绑定、VLAN隔离等技术等几种能够有效防御ARP欺骗攻击的安全防范策略，并通过实验验证了该安全策略的有效性。

关健词ARP协议ARP欺骗MAC地址IP地址网络安全

1ARP协议简介

ARP(AddressResolutionProtocol)即地址解析协议，该协议将网络层的IP地址转换为数据链路层地址。TCPIP协议中规定，IP地址为32位，由网络号和网络内的主机号构成，每一台接入局域网或者Internet的主机都要配置一个IP地址。在以太网中，源主机和目的主机通信时，源主机不仅要知道目的主机的IP地址，还要知道目的主机的数据链路层地址，即网卡的MAC地址，同时规定MAC地址为48位。ARP协议所做的工作就是查询目的主机的IP地址所对应的MAC地址，并实现双方通信。

2ARP协议的工作原理

源主机在传输数据前，首先要对初始数据进行封装，在该过程中会把目的主机的IP地址和MAC地址封装进去。在通信的最初阶段，我们能够知道目的主机的IP地址，而MAC地址却是未知的。这时如果目的主机和源主机在同一个网段内，源主机会以第二层广播的方式发送ARP请求报文。ARP请求报文中含有源主机的IP地址和MAC地址，以及目的主机的IP地址。当该报文通过广播方式到达目的主机时，目的主机会响应该请求，并返回ARP响应报文，从而源主机可以获取目的主机的MAC地址，同样目的主机也能够获得源主机的MAC地址。如果目的主机和源主机地址不在同一个网段内，源主机发出的IP数据包会送到交换机的默认网关，而默认网关的MAC地址同样可以通过ARP协议获取。经过ARP协议解析IP地址之后，主机会在缓存中保存IP地址和MAC地址的映射条目，此后再进行数据交换时只要从缓存中读取映射条目即可。ARP协议工作原理详见图1和图2。