常見網絡攻擊方式介紹

1、常見網絡攻擊方式介紹、 TCP SYN 拒絕服務攻擊 一般情況下，一個 TCP 連接的建立需要經過三次握手的過程，即：1、建立發(fā)起者向目標計算機發(fā)送一個TCP SYN 報文；2、目標計算機收到這個 SYN 報文后，在內存中創(chuàng)建 TCP 連接控制塊 （TCB ），然后向發(fā)起者回送一個 TCP ACK 報文，等待發(fā)起者的回應；3、發(fā)起者收到 TCP ACK 報文后，再回應一個 ACK 報文，這樣 TCP 連接就建立起來了。利用這個過程，一些惡意的攻擊者可以進行所謂的 TCP SYN 拒絕服務攻擊：1、攻擊者向目標計算機發(fā)送一個TCP SYN 報文；2、 目標計算機收到這個報文后，建立TCP連接控制

2、結構（TCB）,并回應一個ACK，等待發(fā)起者的回應；3、 而發(fā)起者則不向目標計算機回應ACK 報文，這樣導致目標計算機一致處于等待狀態(tài)?？梢钥闯?，目標計算機如果接收到大量的 TCP SYN 報文，而沒有收到發(fā)起者的第三次 ACK 回應，會一直 等待，處于這樣尷尬狀態(tài)的半連接如果很多，則會把目標計算機的資源（TCB控制結構，TCB，一般情況下是有限的）耗盡，而不能響應正常的 TCP 連接請求。二、ICMP 洪水正常情況下，為了對網絡進行診斷，一些診斷程序，比如 PING 等，會發(fā)出 ICMP 響應請求報文（ ICMP ECHO） ，接收計算機接收到 ICMP ECHO 后，會回應一個 ICMP

3、ECHO Reply 報文。而這個過程是需要 CPU 處理的，有的情況下還可能消耗掉大量的資源，比如處理分片的時候。這樣如果攻擊者向目標計算機 發(fā)送大量的 ICMP ECHO 報文（產生 ICMP 洪水），則目標計算機會忙于處理這些 ECHO 報文，而無法繼 續(xù)處理其它的網絡數據報文，這也是一種拒絕服務攻擊（ DOS）。三、UDP 洪水原理與 ICMP 洪水類似，攻擊者通過發(fā)送大量的 UDP 報文給目標計算機，導致目標計算機忙于處理這些 UDP 報文而無法繼續(xù)處理正常的報文。四、端口掃描 根據 TCP 協議規(guī)范，當一臺計算機收到一個 TCP 連接建立請求報文（ TCP SYN ）的時候，做這樣

4、的處理：1、如果請求的 TCP 端口是開放的，則回應一個 TCP ACK 報文，并建立 TCP 連接控制結構（ TCB）；2、如果請求的 TCP 端口沒有開放，則回應一個 TCP RST （TCP 頭部中的 RST 標志設為 1 ）報文，告訴 發(fā)起計算機，該端口沒有開放。相應地，如果 IP 協議棧收到一個 UDP 報文，做如下處理：1、如果該報文的目標端口開放，則把該 UDP 報文送上層協議（ UDP ）處理，不回應任何報文（上層協議 根據處理結果而回應的報文例外） ；2 、如果該報文的目標端口沒有開放，則向發(fā)起者回應一個 ICMP 不可達報文，告訴發(fā)起者計算機該 UDP 報文的端口不可達。利

5、用這個原理，攻擊者計算機便可以通過發(fā)送合適的報文，判斷目標計算機哪些 TCP 或 UDP 端口是開放 的，過程如下：1、發(fā)出端口號從 0 開始依次遞增的 TCP SYN 或 UDP 報文（端口號是一個 16 比特的數字，這樣最大為 65535 ，數量很有限） ；2 、如果收到了針對這個 TCP 報文的 RST 報文，或針對這個 UDP 報文的 ICMP 不可達報文，則說明這個 端口沒有開放；3、相反，如果收到了針對這個 TCP SYN 報文的 ACK 報文，或者沒有接收到任何針對該 UDP 報文的 ICMP 報文，則說明該 TCP 端口是開放的， UDP 端口可能開放（因為有的實現中可能不回應

6、 ICMP 不可達報文， 即使該 UDP 端口沒有開放） 。這樣繼續(xù)下去，便可以很容易的判斷出目標計算機開放了哪些 TCP 或 UDP 端口，然后針對端口的具體數 字，進行下一步攻擊，這就是所謂的端口掃描攻擊。五、分片 IP 報文攻擊為了傳送一個大的 IP 報文， IP 協議棧需要根據鏈路接口的 MTU 對該 IP 報文進行分片，通過填充適當的IP 頭中的分片指示字段，接收計算機可以很容易的把這些 IP 分片報文組裝起來。目標計算機在處理這些分片報文的時候，會把先到的分片報文緩存起來，然后一直等待后續(xù)的分片報文， 這個過程會消耗掉一部分內存， 以及一些 IP 協議棧的數據結構。 如果攻擊者給目

7、標計算機只發(fā)送一片分片 報文，而不發(fā)送所有的分片報文，這樣攻擊者計算機便會一直等待（直到一個內部計時器到時） ，如果攻擊 者發(fā)送了大量的分片報文，就會消耗掉目標計算機的資源，而導致不能相應正常的 IP 報文，這也是一種 DOS 攻擊。六、SYN 比特和 FIN 比特同時設置在 TCP 報文的報頭中，有幾個標志字段：1、 SYN :連接建立標志，TCP SYN報文就是把這個標志設置為 1，來請求建立連接；2、 ACK :回應標志，在一個 TCP連接中，除了第一個報文（TCP SYN ）夕卜，所有報文都設置該字段，作 為對上一個報文的相應；3 、 FIN :結束標志，當一臺計算機接收到一個設置了

8、FIN 標志的 TCP 報文后，會拆除這個 TCP 連接；4、 RST :復位標志，當IP協議棧接收到一個目標端口不存在的TCP報文的時候，會回應一個 RST標志 設置的報文；5、PSH :通知協議棧盡快把 TCP 數據提交給上層程序處理。正常情況下， SYN 標志（連接請求標志）和 FIN 標志（連接拆除標志）是不能同時出現在一個 TCP 報文 中的。而且 RFC 也沒有規(guī)定 IP 協議棧如何處理這樣的畸形報文，因此，各個操作系統的協議棧在收到這 樣的報文后的處理方式也不同，攻擊者就可以利用這個特征，通過發(fā)送SYN 和 FIN 同時設置的報文，來判斷操作系統的類型，然后針對該操作系統，進行進

9、一步的攻擊。七、沒有設置任何標志的 TCP 報文攻擊正常情況下，任何 TCP 報文都會設置 SYN， FIN ， ACK， RST， PSH 五個標志中的至少一個標志，第一 個 TCP 報文（ TCP 連接請求報文）設置 SYN 標志，后續(xù)報文都設置 ACK 標志。有的協議棧基于這樣的 假設，沒有針對不設置任何標志的 TCP 報文的處理過程，因此，這樣的協議棧如果收到了這樣的報文，可 能會崩潰。攻擊者利用了這個特點，對目標計算機進行攻擊。八、設置了 FIN 標志卻沒有設置 ACK 標志的 TCP 報文攻擊正常情況下， ACK 標志在除了第一個報文（ SYN 報文）夕，所有的報文都設置，包括 T

10、CP 連接拆除報文 （FIN 標志設置的報文） 。但有的攻擊者卻可能向目標計算機發(fā)送設置了 FIN 標志卻沒有設置 ACK 標志的 TCP 報文，這樣可能導致目標計算機崩潰。九、死亡之 PINGTCP/IP規(guī)范要求IP報文的長度在一定范圍內（比如，0 64K ），但有的攻擊計算機可能向目標計算機發(fā)出大于 64K 長度的 PING 報文，導致目標計算機 IP 協議棧崩潰。十、地址猜測攻擊ICMP ECHO 報文，來判斷目標計算機是否跟端口掃描攻擊類似，攻擊者通過發(fā)送目標地址變化的大量的 存在。如果收到了對應的 ECMP ECHO REPLY 報文，則說明目標計算機是存在的，便可以針對該計算機 進

11、行下一步的攻擊。十一、淚滴攻擊對于一些大的 IP 包，需要對其進行分片傳送，這是為了迎合鏈路層的 MTU （最大傳輸單元）的要求。比 如，一個 4500 字節(jié)的 IP 包，在 MTU 為 1500 的鏈路上傳輸的時候，就需要分成三個 IP 包。在 IP 報頭中有一個偏移字段和一個分片標志（ MF ），如果 MF 標志設置為 1，則表面這個 IP 包是一個大 IP 包的片斷，其中偏移字段指出了這個片斷在整個 IP 包中的位置。例如，對一個 4500 字節(jié)的 IP 包進行 分片（ MTU 為1500 ），則三個片斷中偏移字段的值依次為： 0 ，1500 ，3000 。這樣接收端就可以根據這 些信息

12、成功的組裝該 IP 包。如果一個攻擊者打破這種正常情況，把偏移字段設置成不正確的值，即可能出現重合或斷開的情況，就可 能導致目標操作系統崩潰。比如，把上述偏移設置為0，1300 ， 3000 。這就是所謂的淚滴攻擊。十二、帶源路由選項的 IP 報文為了實現一些附加功能， IP 協議規(guī)范在 IP 報頭中增加了選項字段，這個字段可以有選擇的攜帶一些數據， 以指明中間設備（路由器）或最終目標計算機對這些 IP 報文進行額外的處理。源路由選項便是其中一個，從名字中就可以看出，源路由選項的目的，是指導中間設備（路由器）如何轉 發(fā)該數據報文的，即明確指明了報文的傳輸路徑。比如，讓一個 IP 報文明確的經過

13、三臺路由器 R1 ，R2， R3 ，則可以在源路由選項中明確指明這三個路由器的接口地址，這樣不論三臺路由器上的路由表如何，這 個 IP 報文就會依次經過 R1，R2，R3 。而且這些帶源路由選項的 IP 報文在傳輸的過程中，其源地址不斷 改變，目標地址也不斷改變，因此，通過合適的設置源路由選項，攻擊者便可以偽造一些合法的 IP 地址， 而蒙混進入網絡。十三、帶記錄路由選項的 IP 報文記錄路由選項也是一個 IP 選項，攜帶了該選項的 IP 報文，每經過一臺路由器，該路由器便把自己的接口 地址填在選項字段里面。這樣這些報文在到達目的地的時候，選項數據里面便記錄了該報文經過的整個路 徑。通過這樣的

14、報文可以很容易的判斷該報文經過的路徑，從而使攻擊者可以很容易的尋找其中的攻擊弱點。十四、未知協議字段的 IP 報文在 IP 報文頭中， 有一個協議字段， 這個字段指明了該 IP 報文承載了何種協議 ，比如，如果該字段值為 1 ， 則表明該 IP 報文承載了 ICMP 報文，如果為 6，則是 TCP ，等等。目前情況下，已經分配的該字段的值都 是小于 100 的，因此，一個帶大于 100 的協議字段的 IP 報文，可能就是不合法的，這樣的報文可能對一 些計算機操作系統的協議棧進行破壞。十五、 IP 地址欺騙一般情況下，路由器在轉發(fā)報文的時候，只根據報文的目的地址查路由表，而不管報文的源地址是什么

15、， 因此， 這樣就 可能面臨一種危險： 如果一個攻擊者向一臺目標計算機發(fā)出一個報文， 而把報文的源地址填 寫為第三方的一個 IP 地址，這樣這個報文在到達目標計算機后， 目標計算機便可能向毫無知覺的第三方計 算機回應。這便是所謂的 IP 地址欺騙攻擊。比較著名的 SQL Server 蠕蟲病毒，就是采用了這種原理。該病毒（可以理解為一個攻擊者）向一臺運行SQL Server 解析服務的服務器發(fā)送一個解析服務的 UDP 報文，該報文的源地址填寫為另外一臺運行 SQL Server 解析程序（ SQL Server 2000以后版本）的服務器，這樣由于 SQL Server 解析服務的一個漏洞，就

16、可能使得該 UDP 報文在這兩臺服務器之間往復，最終導致服務器或網絡癱瘓。十六、 WinNuke 攻擊NetBIOS 作為一種基本的網絡資源訪問接口，廣泛的應用于文件共享，打印共享，進程間通信（ IPC ）， 以及不同操作系統之間的數據交換。 一般情況下， NetBIOS 是運行在 LLC2 鏈路協議之上的， 是一種基于 組播的網絡訪問接口。為了在 TCP/IP 協議棧上實現 NetBIOS ， RFC 規(guī)定了一系列交互標準，以及幾個 常用的 TCP/UDP 端口：139 ： NetBIOS 會話服務的 TCP 端口；137 ： NetBIOS 名字服務的 UDP 端口；136 ： NetBI

17、OS 數據報服務的 UDP 端口。WINDOWS 操作系統的早期版本（ WIN95/98/NT ）的網絡服務（文件共享等）都是建立在 NetBIOS 之 上的，因此，這些操作系統都開放了 139 端口（最新版本的 WINDOWS 2000/XP/2003等，為了兼容，也實現了 NetBIOS over TCP/IP功能，開放了 139 端口）。WinNuke 攻擊就是利用了 WINDOWS 操作系統的一個漏洞，向這個 139 端口發(fā)送一些攜帶 TCP 帶外 （OOB ）數據報文，但這些攻擊報文與正常攜帶OOB 數據報文不同的是，其指針字段與數據的實際位置不符，即存在重合，這樣 WINDOWS

18、操作系統在處理這些數據的時候，就會崩潰。十七、 Land 攻擊LAND 攻擊利用了 TCP 連接建立的三次握手過程，通過向一個目標計算機發(fā)送一個TCP SYN 報文（連接建立請求報文）而完成對目標計算機的攻擊。與正常的TCP SYN 報文不同的是， LAND 攻擊報文的源 IP地址和目的 IP 地址是相同的， 都是目標計算機的 IP 地址。 這樣目標計算機接收到這個 SYN 報文后， 就會 向該報文的源地址發(fā)送一個 ACK 報文，并建立一個 TCP 連接控制結構（ TCB ），而該報文的源地址就是自 己，因此，這個 ACK 報文就發(fā)給了自己。 這樣如果攻擊者發(fā)送了足夠多的 SYN 報文，則目標

19、計算機的 TCB 可能會耗盡，最終不能正常服務。這也是一種 DOS 攻擊。十八、 Script/ActiveX攻擊Script 是一種可執(zhí)行的腳本，它一般由一些腳本語言寫成，比如常見的JAVA SCRIPT ，VB SCRIPT 等。這些腳本在執(zhí)行的時候，需要一個專門的解釋器來翻譯，翻譯成計算機指令后，在本地計算機上運行。這 種腳本的好處是，可以通過少量的程序寫作，而完成大量的功能。這種 SCRIPT 的一個重要應用就是嵌入在 WEB 頁面里面， 執(zhí)行一些靜態(tài) WEB 頁面標記語言 （HTML ）無 法完成的功能，比如本地計算，數據庫查詢和修改，以及系統信息的提取等。這些腳本在帶來方便和強大

20、功能的同時，也為攻擊者提供了方便的攻擊途徑。如果攻擊者寫一些對系統有破壞的 SCRIPT ，然后嵌入 在 WEB 頁面中，一旦這些頁面被下載到本地，計算機便以當前用戶的權限執(zhí)行這些腳本，這樣，當前用 戶所具有的任何權限， SCRIPT 都可以使用，可以想象這些惡意的 SCRIPT 的破壞程度有多強。這就是所 謂的 SCRIPT 攻擊。ActiveX 是一種控件對象，它是建立在 MICROSOFT 的組件對象模型（ COM ）之上的，而 COM 則幾乎 是 Windows 操作系統的基礎結構?？梢院唵蔚睦斫猓@些控件對象是由方法和屬性構成的，方法即一些 操作，而屬性則是一些特定的數據。這種控件對

21、象可以被應用程序加載，然后訪問其中的方法或屬性，以 完成一些特定的功能?？梢哉f， COM 提供了一種二進制的兼容模型（所謂二進制兼容，指的是程序模塊與 調用的編譯環(huán)境，甚至操作系統沒有關系） 。但需要注意的是，這種對象控件不能自己執(zhí)行，因為它沒有自 己的進程空間，而只能由其它進程加載，并調用其中的方法和屬性，這時候，這些控件便在加載進程的進 程空間運行，類似與操作系統的可加載模塊，比如 DLL 庫。ActiveX 控件可以嵌入在 WEB 頁面里面，當瀏覽器下載這些頁面到本地后，相應地也下載了嵌入在其中 的 ActiveX 控件，這樣這些控件便可以在本地瀏覽器進程空間中運行 （ ActiveX

22、空間沒有自己的進程空間， 只能由其它進程加載并調用） ，因此，當前用戶的權限有多大， ActiveX 的破壞性便有多大。如果一個惡意 的攻擊者編寫一個含有惡意代碼的 ActiveX 控件，然后嵌入在 WEB 頁面中， 被一個瀏覽用戶下載后執(zhí)行， 其破壞作用是非常大的。這便是所謂的 ActiveX 攻擊。十九、 Smurf 攻擊ICMP ECHO 請求包用來對網絡進行診斷，當一臺計算機接收到這樣一個報文后，會向報文的源地址回應 一個 ICMP ECHO REPLY 。一般情況下，計算機是不檢查該 ECHO 請求的源地址的，因此，如果一個惡 意的攻擊者把 ECHO 的源地址設置為一個廣播地址，這樣

23、計算機在恢復 REPLY 的時候，就會以廣播地址 為目的地址， 這樣本地網絡上所有的計算機都必須處理這些廣播報文。 如果攻擊者發(fā)送的 ECHO 請求報文 足夠多，產生的 REPLY 廣播報文就可能把整個網絡淹沒。這就是所謂的 smurf 攻擊。除了把 ECHO 報文的源地址設置為廣播地址外，攻擊者還可能把源地址設置為一個子網廣播地址，這樣， 該子網所在的計算機就可能受影響。二十、虛擬終端（ VTY ）耗盡攻擊 這是一種針對網絡設備的攻擊，比如路由器，交換機等。這些網絡設備為了便于遠程管理，一般設置了一些 TELNET 用戶界面，即用戶可以通過 TELNET 到該設備上，對這些設備進行管理。一般

24、情況下，這些設備的 TELNET 用戶界面?zhèn)€數是有限制的，比如， 5 個或 10 個等。這樣，如果一個攻 擊者同時同一臺網絡設備建立了 5 個或 10 個 TELNET 連接，這些設備的遠程管理界面便被占盡，這樣合 法用戶如果再對這些設備進行遠程管理，則會因為 TELNET 連接資源被占用而失敗。二十一、路由協議攻擊網絡設備之間為了交換路由信息，常常運行一些動態(tài)的路由協議，這些路由協議可以完成諸如路由表的建 立，路由信息的分發(fā)等功能。常見的路由協議有RIP ，OSPF ，IS-IS ，BGP 等。這些路由協議在方便路由信息管理和傳遞的同時，也存在一些缺陷，如果攻擊者利用了路由協議的這些權限，對

25、網絡進行攻擊，可 能造成網絡設備路由表紊亂（這足可以導致網絡中斷） ，網絡設備資源大量消耗，甚至導致網絡設備癱瘓。下面列舉一些常見路由協議的攻擊方式及原理：1 、針對 RIP 協議的攻擊RIP ，即路由信息協議，是通過周期性（一般情況下為 30S ）的路由更新報文來維護路由表的，一臺運行 RIP 路由協議的路由器， 如果從一個接口上接收到了一個路由更新報文， 它就會分析其中包含的路由信息， 并與自己的路由表作出比較，如果該路由器認為這些路由信息比自己所掌握的要有效，它便把這些路由信 息引入自己的路由表中。這樣如果一個攻擊者向一臺運行 RIP 協議的路由器發(fā)送了人為構造的帶破壞性的路由更新報文，

26、就很容易 的把路由器的路由表搞紊亂，從而導致網絡中斷。如果運行 RIP 路由協議的路由器啟用了路由更新信息的 HMAC 驗證，則可從很大程度上避免這種攻擊。2 、針對 OSPF 路由協議的攻擊OSPF ，即開放最短路徑優(yōu)先，是一種應用廣泛的鏈路狀態(tài)路由協議。該路由協議基于鏈路狀態(tài)算法，具 有收斂速度快，平穩(wěn)，杜絕環(huán)路等優(yōu)點，十分適合大型的計算機網絡使用。 OSPF 路由協議通過建立鄰接 關系，來交換路由器的本地鏈路信息，然后形成一個整網的鏈路狀態(tài)數據庫，針對該數據庫，路由器就可 以很容易的計算出路由表?？梢钥闯觯绻粋€攻擊者冒充一臺合法路由器與網絡中的一臺路由器建立鄰接關系，并向攻擊路由器輸

27、 入大量的鏈路狀態(tài)廣播（ LSA ，組成鏈路狀態(tài)數據庫的數據單元） ，就會引導路由器形成錯誤的網絡拓撲結 構，從而導致整個網絡的路由表紊亂，導致整個網絡癱瘓。當前版本的 WINDOWS 操作系統（ WIN 2K/XP 等）都實現了 OSPF 路由協議功能，因此一個攻擊者可 以很容易的利用這些操作系統自帶的路由功能模塊進行攻擊。跟 RIP 類似，如果 OSPF 啟用了報文驗證功能（ HMAC 驗證），則可以從很大程度上避免這種攻擊。3 、針對 IS-IS 路由協議的攻擊IS-IS 路由協議，即中間系統到中間系統，是 ISO 提出來對 ISO 的 CLNS 網絡服務進行路由的一種協議， 這種協議也

28、是基于鏈路狀態(tài)的，原理與OSPF 類似。 IS-IS 路由協議經過 擴展，可以運行在 IP 網絡中，對 IP 報文進行選路。 這種路由協議也是通過建立鄰居關系， 收集路由器本地鏈路狀態(tài)的手段來完成鏈路狀 態(tài)數據庫同步的。該協議的鄰居關系建立比 OSPF 簡單，而且也省略了 OSPF 特有的一些特性，使該協議 簡單明了，伸縮性更強。對該協議的攻擊與 OSPF 類似，通過一種模擬軟件與運行該協議的路由器建立鄰居關系，然后傳頌給攻擊 路由器大量的鏈路狀態(tài)數據單元（ LSP ），可以導致整個網絡路由器的鏈路狀態(tài)數據庫不一致（因為整個網 絡中所有路由器的鏈路狀態(tài)數據庫都需要同步到相同的狀態(tài)） ，從而導致

29、路由表與實際情況不符， 致使網絡 中斷。與 OSPF 類似，如果運行該路由協議的路由器啟用了 IS-IS 協議單元（ PDU ）HMAC 驗證功能，則可以從 很大程度上避免這種攻擊。二十二、針對設備轉發(fā)表的攻擊為了合理有限的轉發(fā)數據，網絡設備上一般都建立一些寄存器表項，比如 MAC 地址表， ARP 表，路由表， 快速轉發(fā)表，以及一些基于更多報文頭字段的表格，比如多層交換表，流項目表等。這些表結構都存儲在 設備本地的內存中，或者芯片的片上內存中，數量有限。如果一個攻擊者通過發(fā)送合適的數據報，促使設 備建立大量的此類表格，就會使設備的存儲結構消耗盡，從而不能正常的轉發(fā)數據或崩潰。下面針對幾種常見

30、的表項，介紹其攻擊原理：1 、針對 MAC 地址表的攻擊MAC 地址表一般存在于以太網交換機上，以太網通過分析接收到的數據幀的目的 MAC 地址，來查本地的MAC 地址表，然后作出合適的轉發(fā)決定。這些 MAC 地址表一般是通過學習獲取的，交換機在接收到一個數據幀后，有一個學習的過程，該過程是 這樣的：a）提取數據幀的源 MAC 地址和接收到該數據幀的端口號；b）查 MAC 地址表，看該 MAC 地址是否存在，以及對應的端口是否符合；c）如果該 MAC 地址在本地 MAC 地址表中不存在，則創(chuàng)建一個 MAC 地址表項；d) 如果存在，但對應的出端口跟接收到該數據幀的端口不符，則更新該表；e) 如

31、果存在，且端口符合，則進行下一步處理。分析這個過程可以看出，如果一個攻擊者向一臺交換機發(fā)送大量源 MAC 地址不同的數據幀，則該交換機 就可能把自己本地的 MAC 地址表學滿。一旦 MAC 地址表溢出，則交換機就不能繼續(xù)學習正確的 MAC 表 項，結果是可能產生大量的網絡冗余數據，甚至可能使交換機崩潰。而構造一些源 MAC 地址不同的數據幀，是非常容易的事情。2 、針對 ARP 表的攻擊ARP 表是 IP 地址和 MAC 地址的映射關系表，任何實現了 IP 協議棧的設備，一般情況下都通過該表維護IP 地址和 MAC 地址的對應關系，這是為了避免 ARP 解析而造成的廣播數據報文對網絡造成沖擊。 ARP 表的建立一般情況下是通過二個途徑：1) 主動解析，如果一臺計算機想與另外一臺不知道 MAC 地址的計算機通信，則該計算機主動發(fā) ARP 請 求，通過 ARP 協議建立(前提是這兩臺計算機位于同一個 IP 子網上)；2) 被動請求， 如果一臺計算機接收到了一臺計算機的 ARP 請求，則首先在本地建立請求計算機的 IP 地址 和 MAC 地址的對應表。因此，如果一個攻擊者通過變換不同的 IP 地址和 MAC 地址，向同一臺設備，比如三層交換機發(fā)送大