软考中级
● 下面关于ARP 木马的描述中,错误的是 (49) 。(49)A. ARP 木马利用ARP 协议漏洞实施破坏B. ARP 木马发作时可导致网络不稳定甚至瘫痪C. ARP 木马破坏网络的物理连接D. ARP 木马把虚假的网关MAC 地址发送给受害主机
题目
● 下面关于ARP 木马的描述中,错误的是 (49) 。
(49)
A. ARP 木马利用ARP 协议漏洞实施破坏
B. ARP 木马发作时可导致网络不稳定甚至瘫痪
C. ARP 木马破坏网络的物理连接
D. ARP 木马把虚假的网关MAC 地址发送给受害主机
相似问题和答案
第1题:
● ARP 攻击造成网络无法跨网段通信的原因是 (52) 。可以使用 (53) 命令清
除受攻击影响的ARP缓存。
(52)
A. 发送大量ARP报文造成网络拥塞
B. 伪造网关ARP报文使得数据包无法发送到网关
C. ARP攻击破坏了网络的物理连通性
D. ARP攻击破坏了网关设备
(53)
A. arp -s
B. arp -d
C. arp -all
D. arp -a
第2题:
A.安装防病毒软件和ARP防火墙,可以查杀ARP病毒,拦截ARP攻击
B.在网关上设置MAC地址绑定,合理划分VLAN,无法放置IP地址盗用
C.伪造IP地址和MAC地址映射关系来实现ARP欺骗
D.ARP协议是无状态的不经验证把IP地址和MAC地址映射写入缓存
第3题:
A.ARP报文封装在IP数据报中传送
B.ARP协议实现域名到IP地址的转换
C.ARP协议根据IP地址获取相应的MAC地址
D.ARP协议是一种路由协议
第4题:
下面关于ARP木马的描述中,错误的是( )。
A.ARP木马利用ARP协议漏洞实施破坏
B.ARP木马发作时可导致网络不稳定甚至瘫痪
C.ARP木马破坏网络的物理连接
D.ARP木马把虚假的网关MAc地址发送给受害主机
解析:ARP攻击就是通过伪造IP地址和MAC地址实现ARP欺骗,能够在网络中产生大量的ARP通信量使网络阻塞,攻击者只要持续不断地发出伪造的ARF。响应包就能更改目标主机ARP缓存中的IP-MAC条目,造成网络中断或中间人攻击。ARP攻击主要是存在于局域网网络中,局域网中若有一台计算机感染ARP木马,则感染该ARP木马的系统将会试图通过“ARP欺骗”手段截获所在网络内其他计算机的通信信息,并因此造成网内其他计算机的通信故障。
第5题:
下面关于ARP协议的描述中,正确的是
A.ARP报文封装在IP数据报中传送B.ARP协议实现从域名到IP地址的转换C.ARP根据IP地址获取对应的MAC地址D.ARP协议是一种路由协议
ARP(Address Resolution Protocol,地址解析协议)是一个位于TCP/IP协议簇中的低层协议,它负责将某个IP地址解析成对应的MAC地址。当一个基于TCP/IP协议的应用程序需要从一台主机发送数据给另一台主机时,它首先会把信息分割并封装成包,附上目的主机的IP地址,然后寻找IP地址到实际MAC地址的映射,这需要发送ARP广播消息。当ARP协议找到了目的主机的MAC地址后,就可以形成待发送帧的完整以太网帧头。最后,协议栈将IP包封装到以太网帧中进行传送。
第6题:
A.ARP木马利用ARP协议漏洞实施破坏
B.ARP木马发作时可导致网络不稳定甚至瘫痪
C.ARP木马把虚假的网关MAC地址发给受害主机
D.ARP木马破坏网络的物理连接
E.ARP木马发作时会损坏硬件设备
第7题:
在某台感染ARP木马的Windows主机中运行“arp -a”命令,系统显示的信息如图6-4所示。
图6-4中可能被ARP木马修改过的参数是(69)。
A.172.30.0.1
B.172.30.1.13
C.0x30002
D.00-10-db-92-00-31
解析:TCP/IP协议簇维护着一个ARPCache表,在构造网络数据包时,首先从ARP表中找目标p对应的MAC地址,如果找不到,刚发一个ARPRequest广播包,请求具有该IP地址的主机报告它的MAC地址,当收到目标IP所有者的ARPReply后,更新ARPCache.表。ARP缓存表采用了老化机制,在一段时间内如果表中的某一行没有使用(Windows系统这个时间为2分钟,而Cisco路由器的这个时间为5分钟),就会被删除。假设某局域网中存在着主机A(172.30.1.13)、主机B(p地址为172.30.1.15,MAC地址为00-10-db-92-00-31)、网关C(IP地址为172.30.0.1,MAC地址为00-10-db-92-aa-30)和主机D(10.1.1.2)。由于计算机在实现ARP缓存表的机制中存在着不完善的地方,当主机收到一个ARP的应答包后,它并不会去验证自己是否发送过这个ARP请求,而是直接将应答包里的MAC地址与IP对应的关系替换掉原有的ARP缓存表里的相应信息,因此将导致主机B截取主机A与主机D之间的数据通信成为可能。首先主机B向主机A发送一个ARP应答包,告知网关C(172.30.0.1)的MAC地址是00-10-db-92-00-31,主机A收到该应答包后并没有去验证包的真实性而是直接将自己ARP列表中的172.30.0.1对应的MAC地址替换成00-10-db-92-00-31。同时主机B向网关C发送一个ARP响应包,告知172.30.1.13的MAC地址是00-10-db-92-00-31,同样,网关C也没有去验证该应答包的真实性就将自己ARP表中的172.30.1.13对应的MAC地址替换成00-10-db-92-00-31。当主机A想要与主机D通信时,它直接把发送给网关172.30.0.1的数据包发送到MAC地址为00-10-db-92-00-31的主机B,主机B在收到该数据包后经过修改再转发给真正的网关C。当从主机D返回的数据包到达网关C后,网关C通常查找自己的ARP表,将发往IP地址为172.30.1.13的数据发往MAC地址为00-10-db-92-00-31的主机B。主机B在收到该数据包后经过修改再转发给主机A,以完成一次完整的数据通信,这样就成功实现了一次ARP欺骗攻击。当网络感染ARP木马时,由如图6-4所示的信息可知,IP地址为172.30.0.1的主机或网关所对应的MAC地址被修改为“00-10-db-92-00-31”。
第8题:
在某台感染ARP木马的Windows主机中运行“arp-a”命令,系统显示的信息如图3-5所示。
图3-5中可能被ARP木马修改过的参数是(36)。
A.10.3.12.254
B.10.3.12.109
C.0x3
D.00-00-5e-00-01-1b
解析:TCP/IP协议簇维护着一个ARP Cache表,在构造网络数据包时,首先从ARP表中找目标IP对应的MAC地址,如果找不到,就发一个ARP Request广播包,请求具有该IP地址的主机报告它的MAC地址,当收到目标IP所有者的ARPReply后,将更新ARP Cache表。ARP缓存表采用了老化机制,在一段时间内如果表中的某一行没有使用(Windows系统:为2分钟,Cisco路由器:5分钟),就会被删除。
假设某局域网中存在着主机A(10.3.12.109)、主机B(IP地址:10.3.12.110,MAC地址:00-00-5e-00-01- 1b)、网关C(IP地址:10.3.12.254,MAC地址:00-10-db-92-aa-30)和主机D(10.1.1.2)。由于计算机在实现ARP缓存表的机制中存在着不完善的地方,当主机收到一个ARP的应答包后,它并不会去验证自己是否发送过这个ARP请求,而是直接将应答包里的MAC地址与IP对应的关系替换掉原有的ARP缓存表里的相应信息,因此将导致主机B截取主机A与主机D之间的数据通信成为可能。
首先主机B向主机A发送一个ARP应答包,告知网关C(10.3.12.254)的MAC地址是00-00-5e-00-01- 1b,主机A收到该应答包后并没有去验证包的真实性而是直接将自己ARP列表中的10.3.12.254对应的 MAC地址替换成00-00-5e-00-01-比。同时主机B向网关C发送一个ARP响应包,告知10.3.12.109的MAC地址是00-00-5e-00-01-1b,同样,网关C也没有去验证该应答包的真实性就将自己ARP表中的10.3.12.109对应的MAC地址替换成00-00-5e-00-01-1b。当主机A想要与主机D通信时,它直接把发送给网关 10.3.12.254的数据包发送到MAC地址为00-00-5e-00-01-1b的主机B,主机B在收到该数据包后经过修改再转发给真正的网关C。当从主机D返回的数据包到达网关C后,网关C通常查找自己的ARP表,将发往IP地址为10.3.12.109的数据发往MAC地址为00-00-5e-00-01-1b的主机B。主机B在收到该数据包后经过修改再转发给主机A,以完成一次完整的数据通信,这样就成功实现了一次ARP欺骗攻击。
当网络感染ARP木马时,由图3-5所显示的信息可知,IP地址为10.3.12.254的主机或网关所对应的 MAC地址被修改为“00-00-5e-00-01-1b”。
第9题:
关于ARP攻击,以下描述错误的是(52)。
A.在遭受ARP攻击时,用户上网会时断时续
B.利用ARP攻击可以盗取用户的QQ密码或网络游戏密码和账号
C.利用ARP攻击可以对外网服务器发起入侵攻击
D.利用ARP防火墙可以防止ARP攻击
ARP攻击是局域网中常见的攻击手段,可以利用ARP防火墙可以防止ARP攻击。遭受ARP攻击的主机有可能不能正常上网,用户上网会时断时续,由于ARP攻击主机可以以ARP欺骗的方式向被攻击主机宣告自己是网关的角色,被攻击的主机流量会流经ARP攻击主机后再访问Internet,最终可以盗取用户的QQ密码或网络游戏密码和账号。但ARP攻击不可以对外网的服务器发起入侵攻击。
第10题:
下面关于ARP协议的描述中,正确的是(63)。
A.ARP报文封装在IP数据报中传送
B.ARP协议实现域名到IP地址的转换
C.ARP协议根据IP地址获取对应的MAC地址
D.ARP协议是一种路由协议
解析:ARP协议的作用是由目标的IP地址发现对应的MAC地址。如果源站要和一个新的目标通信,首先由源站发出ARP请求广播包,其中包含目标的IP地址,然后目标返回 ARP响应包,其中包含了自己的MAC地址。这时,源站一方面把目标的MAC地址装入要发送的数据帧中,一方面把得到的MAC地址添加到自己的ARP表中。当一个站与多个目标进行了通信后,在其ARP表中就积累了多个表项,每一项都是Ⅳ地址与MAC地址的映射关系。ARP报文封装在以太帧中传送。