2007年春,ARP木马大范围流行。木马发作时,计算机网络连接正常却无法打网页。由于ARP木马发出大量欺骗数据包,导致网络用户上网不稳定,甚至网络短时瘫痪。
在以太网中,源主机以 (1) 方式向网络发送含有目的主机IP地址的ARP请求包;目的主机或另一个代表该主机的系统,以 (2) 方式返回一个含有目的主机IP地址及其MAC地址对的应答包。源主机将这个地址对缓存起来,以节约不必要的ARP通信开销。ARP协议 (3) 必须在接收到ARP请求后才可以发送应答包。
ARP木马利用感染主机向网络发送大量虚假ARP报文,主机 (4) 导致网络访问不稳定。例如,向被攻击主机发送的虚假ARP报文中,目的IP地址为 (5) ,目的MAC地址为感染木马的主机MAC地址,这样会将同网段内其他主机发往网关的数据引向发送虚假ARP报文的机器,并抓包截取用户口令信息。
备选答案:
(1)
- A) 单播
- B) 多播
- C) 广播
- D) 任意播
(2)A) 单播B) 多播C) 广播D) 任意播
(3)A) 规定B) 没有规定
(4)A) 只有感染ARP木马时才会B) 没有感染ARP木马时也有可能C) 感染ARP木马时一定会D) 感染ARP木马时一定不会
(5)A) 网关TP地址B) 感染木马的主机IP地址C) 网络广播IP地址D) 被攻击主机II)地址
参考答案:(1)C
(2)A
(3)B
(4)B
(5)A
解析:
ARP工作时,送出一个含有所希望的IP地址的以太网广播数据包。目的主机或另一个代表该主机的系统,以一个含有IP和以太网地址的数据包作为应答,但协议规定应答包不一定以请求包为前提。发送者将这个地址高速缓存起米,以节约不必要的ARP通信。
如果有一个不被信任的节点对本地网络具有写访问许可权,那么也会有某种风险。这样一台机器可以通过在报文中构造网关和自己的MAC地址向目标机器发布虚假的ARP报文,将所有通信都转向制造虚假ARP包的主机,然后它就可以扮演某些机器,或者顺便对数据流进行简单的修改。这时主机虽然没有感染ARP木马,但大量的虚假ARP请求的进入同样会导致网络的拥塞。