黑客入侵与防范

黑客入侵与防范

黑客常用的攻击手段、工具及技术1:黑客入侵概述黑客攻击复杂度与所需入侵知识关系图Hacker的由来:黑客一诩来自于英语HACK,在美国麻省理工学院校园俚语中是”恶作剧”的意思,尤其是指那些技术高明的恶作剧。因此，黑客是人们对那些编程高手、迷恋计算机代码的程序设计人员的称谓。真正的黑客有自己独特的文化和精神，他们并不破坏别人的系统，他们崇拜技术，对计算机系统的最大潜力进行智力上的自由探索。骇客（Cracker）：恶意闯入他人计算机或系统，意图盗取敏感信息的人，对于这类人最合适的用词是Cracker。二者不同:Hacker们创造新东西,Cracker们破坏东西。试图破解某系统或网络以提醒该系统所有者的系统安全漏洞的人被称做“白帽黑客”。黑客发展的历史黑客(骇客)攻击的动机贪心－偷窃或者敲诈恶作剧–

无聊的计算机程序员名声–

显露出计算机经验与才智，以便证明他们的能力和获得名气报复/宿怨–

解雇、受批评或者被降级的雇员，或者其他任何认为其被不公平地对待的人无知–

失误和破坏了信息还不知道破坏了什么黑客道德-这是许多构成黑客人物的动机仇恨-国家和民族原因间谍－政治和军事目的谍报工作商业－商业竞争，商业间谍黑客入侵攻击的一般过程

1.

确定攻击的目标。2.

收集被攻击对象的有关信息。3.

利用适当的工具进行扫描。4.

建立模拟环境，进行模拟攻击。5.

实施攻击。6.清除痕迹。主要的技术和攻击手段端口扫描网络监听口令破译IP欺骗木马拒绝服务攻击电子邮件攻击缓冲区溢出网络安全扫描技术在网络安全行业中扮演的角色（1）扫描软件是入侵者分析被入侵系统的必备工具

（2）扫描软件是系统管理员掌握系统安全状况的必备工具（3）扫描软件是网络安全工程师修复系统漏洞的主要工具（4）扫描软件在网络安全的家族中可以说是扮演着医生的角色2:网络安全扫描技术网络安全扫描技术分类一．一般的端口扫描器二．功能强大的特殊端口扫描器三.其他系统敏感信息的扫描器网络安全扫描技术的应用1.合法使用：（1）检测自己服务器端口，以便给自己提供更好的服务；（2）扫描软件是网络安全工程师修复系统漏洞的主要工具。如：一个系统存在“ASP源代码暴露”的漏洞，防火墙发现不了这些漏洞，入侵检测系统也只有在发现有试图获取ASP文件源代码的时候才报警，而通过扫描工具，可以提前发现系统的漏洞，打好补丁，做好防范。2.非法使用：查找服务器的端口，选取最快的攻击端口。扫描器的主要功能检测主机是否在线扫描目标系统开放的端口，测试端口的服务信息。获取目标系统的敏感信息。破解系统口令。扫描其他系统敏感信息，如：CGIScaner、ASPScaner、从各个主要端口取得服务信息的Scaner、数据库Scaner以及木马Scaner等。3:网络监听(嗅探)Sniffer，中文可以翻译为嗅探器,也就是我们所说的数据包捕获器。采用这种技术，我们可以监视网络的状态、数据流动情况以及网络上传输的信息等等。网卡工作原理网卡内的单片程序先接收数据头的目的MAC地址，根据计算机上的网卡驱动程序设置的接收模式判断该不该接收，认为不该接收就丢弃不管；认为该接收就在接收后产生中断信号通知CPU，CPU得到中断信号产生中断，操作系统就根据网卡驱动程序中设置的网卡中断程序地址调用驱动程序接收数据，驱动程序接收数据后放入信号堆栈让操作系统处理。网卡的工作模式普通方式：混杂模式（promiscuous）：能够接收到一切通过它的数据如果一台网卡被配置成混杂模式，它（包括其软件）就是一个嗅探器。Username:herma009<cr>Password:hiHKK234<cr>以太网（HUB）

FTPLoginMail普通用户A服务器C嗅探者B网络监听原理Username:herma009<cr>Password:hiHKK234<cr>网络监听原理一个sniffer需要作的：把网卡置于混杂模式。捕获数据包。分析数据包HUB工作原理在共享式网络中很容易实现网络监听。交换环境下的SNIFF由于交换机的工作原理与HUB不同，如果在B计算机上安装了Sniffer软件，它也只能收到发给自己的广播数据包无法监听别人的数据。镜像的监控端口交换环境下的监听那么，在交换环境下就不会被别人监听了吗？答案是否定的。原因：现在许多交换机都支持镜像的功能，能够把进入交换机的所有数据都映射到监控端口，这样就可以监听所有的数据包，从而进行数据分析。镜像的目的主要是为了网络管理员掌握网络运行情况，而采用的手段就是监控数据包。要实现上述功能必须对交换机进行设置才可以，所以在交换环境下对于黑客来说很难实现监听，但他们也有其他的办法，如ARP欺骗；破坏交换机的工作模式，使其广播式处理数据；等等。4:口令攻击通过猜测或获取口令文件等方式获得系统认证口令从而进入系统危险口令类型.用户名.用户名变形.生日.常用英文单词.5位以下长度的口令暴力破解：举例NAT5:IP地址欺骗一般情况下，路由器在转发报文的时候，只根据报文的目的地址查路由表，而不管报文的源地址是什么，因此，这样就可能面临一种危险：如果一个攻击者向一台目标计算机发出一个报文，而把报文的源地址填写为第三方的一个IP地址，这样这个报文在到达目标计算机后，目标计算机便可能向毫无知觉的第三方计算机回应。这便是所谓的IP地址欺骗攻击。

比较著名的SQLServer蠕虫病毒，就是采用了这种原理。该病毒（可以理解为一个攻击者）向一台运行SQLServer解析服务的服务器发送一个解析服务的UDP报文，该报文的源地址填写为另外一台运行SQLServer解析程序（SQLServer2000以后版本）的服务器，这样由于SQLServer解析服务的一个漏洞，就可能使得该UDP报文在这两台服务器之间往复，最终导致服务器或网络瘫痪。

6:木马（Trojan）木马是一种基于远程控制的黑客工具,具有如下性质:隐蔽性潜伏性危害性非授权性常见的普通木马一般是客户端/服务器端（C/S）模式，客户端/服务器端之间采用TCP/UDP的通信方式，攻击者控制的是相应的客户端程序，服务器程序是木马程序，木马程序被植入了毫不知情的用户的计算机中。以“里应外合”的工作方式，服务程序通过打开特定的端口并进行监听，这些端口好像“后门”一样，所以也有人把特洛伊木马叫做后门工具。攻击者所掌握的客户端程序向该端口发出请求（ConnectRequest）,木马便和它连接起来了，攻击者就可以使用控制器进入计算机，通过客户程序命令达到控服务器端的目的。木马的工作原理木马的工作原理实际就是一个C/S模式的程序（里应外合）操作系统被植入木马的PC（server程序）TCP/IP协议端口被植入木马的PC（client程序）操作系统TCP/IP协议端口控制端端口处于监听状态木马实施攻击的步骤1.

配置木马：成熟的木马都有木马配置程序以实现下述两个功能。（1）木马伪装：如修改图标、捆绑文件、定制端口、自我销毁等。（2）信息反馈：2.

传播木马：有两种方式，一种是通过E-mail，另一种是通过软件下载。3.

启动木马：捆绑木马的程序只要运行，木马就运行了。4.

建立连接：需要满足两个条件，一是服务器端安装了木马程序，二是控制端、服务器端都要在线。5.

远程控制：控制服务器端，实现窃取密码、文件操作、修改注册表、锁住服务器端等。端口反弹技术反弹技术，该技术解决了传统的远程控制软件不能访问装有防火墙和控制局域网内部的远程计算机的难题。反弹端口型软件的原理是，客户端首先到FTP服务器，编辑在木马软件中预先设置的主页空间上面的一个文件，并打开端口监听，等待服务端的连接，服务端定期用HTTP协议读取这个文件的内容，当发现是客户端让自己开始连接时，就主动连接，如此就可完成连接工作。因此在互联网上可以访问到局域网里通过NAT（透明代理）代理上网的电脑，并且可以穿过防火墙。与传统的远程控制软件相反，反弹端口型软件的服务端会主动连接客户端，客户端的监听端口一般开为80（即用于网页浏览的端口），这样，即使用户在命令提示符下使用"netstat-a"命令检查自己的端口，发现的也是类似"TCP

UserIP:3015

ControllerIP：http

ESTABLISHED"的情况，稍微疏忽一点你就会以为是自己在浏览网页，而防火墙也会同样这么认为的。于是，与一般的软件相反，反弹端口型软件的服务端主动连接客户端，这样就可以轻易的突破防火墙的限制。木马与病毒、远程控制的区别病毒程序是以自发性的败坏为目的。木马程序是依照黑客的命令来运作，主要目的是偷取文件、机密数据、个人隐私等行为。木马程序和远程控制的相同点：都是一种在远程计算机之间建立起连接，使远程计算机能够通过网络控制本地计算机的程序，它们的运行都遵照TCP/IP协议。其程序编制技术和攻击系统的手段也几乎没有什么区别。木马与远程控制的最大区别：就是木马具有隐蔽性而远程控制软件没有。例如，国内血蜘蛛，国外的PCAnywhere等都是远程控制软件，血蜘蛛等server端在目标机器上运行时，目标机器上会出现很醒目的标志。而木马类的软件的server端在运行的时候应用各种手段隐藏自己。7:拒绝服务攻击(DoS)什么叫拒绝服务攻击DOS是使计算机或网络无法提供正常的服务。DOS攻击种类：带宽攻击连通性攻击带宽攻击：指以极大的通信量冲击网络，使得所有可用网络资源都被消耗殆尽，最后导致合法的用户请求无法通过。连通性攻击：指用大量的连接请求冲击计算机，使得所有可用的操作系统资源都被消耗殆尽，最终计算机无法再处理合法用户的请求。在上述攻击原理下，针对所攻击的服务和协议不同，它又有许多种不同的攻击方式。死亡之ping,TCPSYNFlood,Land攻击,泪珠（Teardrop）攻击……行行色色的DOS攻击死亡之ping死亡之ping原理：在早期，路由器对包的大小是有限制的，许多操作系统TCP/IP栈规定ICMP包的大小限制在64KB以内。根据ICMP数据包的标题头里包含的信息来有效生成缓冲区。当ICMP包大小超过64kB，就会出现内存分配错误，导致TCP/IP堆栈崩溃，从而使接受方计算机宕机。死亡之ping防御防御死亡之ping攻击的基本方法：现在所有的标准TCP/IP协议都已具有对付超过64kB大小数据包的能力，并且大多数防火墙能够通过对数据包中的信息和时间间隔的分析自动过滤这些攻击。TCPSYN洪水攻击TCPSYNFlood：

TCPSYN洪水攻击应用最广、最容易实现TCPSYN洪水攻击原理：TCP/IP栈只能等待有限数量的ACK应答消息，因为每台计算机里用于创建TCP/IP连接的内存缓冲区都是非常有限的。如果这一缓冲区冲满了等待响应的初始信息，则该计算机就会对接下来的连接停止响应，直到缓冲区里的连接超时。TCPSYN洪水攻击利用了TCP/IP协议的这一系统漏洞来进行攻击。要明白其具体的攻击过程，需理解TCP协议建立连接的三次握手过程。TCP协议建立连接的三次握手过程三次握手：（1）建立发起者向目标计算机发送一个TCPSYN报文。（2）目标计算机收到这个SYN报文后，在内存中创建TCP连接控制块（TCB），然后向发起者回送一个TCPACK报文，等待发起者的回应。（3）发起者收到TCPACK报文后，再回应一个ACK报文。攻击原理：攻击过程与TCP连接的三次握手过程基本一样，只是在最后一步发起者收到TCPACK报文后不向目标计算机回应ACK报文，这样导致目标计算机一直处于等待状态；如果目标计算机接收到大量的TCPSYN报文，而没有收到发起者的ACK回应，会一直等待，处于这种尴尬状态的半连接如果很多，则会把目标计算机的资源（TCB控制结构，TCB一般情况下是有限的）耗尽，而不能响应正常的TCP连接请求。注：TCB，线程控制块，PCB，进程控制块攻击者

目标主机SYNSYN/ACKSYN/ACK等待应答SYN：同步SYN/ACK:同步/确认TCPSYN洪水攻击TCPSYN洪水攻击....SYN/ACKSYN/ACKSYN/ACKSYNSYNSYN攻击者目标主机SYNSYN/ACK1nSYN/ACKSYN/ACKSYN/ACKSYN/ACK....等待应答SYN/ACK.........TCPSYN洪水攻击防御TCPSYN洪水攻击原理：攻击者在实施TCPSYN洪水攻击时，首先利用伪造的IP地址向目标发出多个连接（SYN）请求目标系统在接收到请求后发送确认信息并等待回答；由于黑客发送请示的IP地址是仿造的，所以确认信息不会到达任何计算机，当然也就不会有任何计算机为此确认信息作出应答了；而在没有接收到任何应答之前，目标计算机系统是不会主动放弃连接的会继续在缓冲区中保持相应连接信息；当达到一定数量的的等待连接之后，缓冲区内存资源耗尽，从而开始拒绝接收任何其他连接请求。防御方法：在防火墙上过滤来自同一主机的后续连接。DDoS攻击时序(分布式拒绝服务)1)攻击者攻击诸客户主机以求分析他们的安全水平和脆弱性。攻击者各种客户主机目标系统2)攻击者进入其已经发现的最弱的客户主机之内(“肉机”)，并且秘密地安置一个其可远程控制的代理程序(端口监督程序demon)。攻击准备：安置代理代理程序DDoS攻击时序(分布式拒绝服务)

3)攻击者使他的全部代理程序同时发送由残缺的数据包构成的连接请求送至目标系统。攻击者目标系统发起攻击：指令攻击的代理程序4)包括虚假的连接请求在内的大量残缺的数据包攻击目标系统，最终将导致它因通信阻塞而崩溃。虚假的连接请求DDoS攻击时序(分布式拒绝服务)DDoS攻击时序(分布式拒绝服务)

从图可以看出，DDoS攻击分为3层：攻击者、主控端、代理端，三者在攻击中扮演着不同的角色。

1、攻击者：攻击者所用的计算机是攻击主控台，可以是网络上的任何一台主机，甚至可以是一个活动的便携机。攻击者操纵整个攻击过程，它向主控端发送攻击命令。

2、主控端：主控端是攻击者非法侵入并控制的一些主机，这些主机还分别控制大量的代理主机。主控端主机的上面安装了特定的程序，因此它们可以接受攻击者发来的特殊指令，并且可以把这些命令发送到代理主机上。

3、代理端：代理端同样也是攻击者侵入并控制的一批主机，它们上面运行攻击器程序，接受和运行主控端发来的命令。代理端主机是攻击的执行者，真正向受害者主机发送攻击。

攻击者发起DDoS攻击的第一步，就是寻找在Internet上有漏洞的主机，进入系统后在其上面安装后门程序，攻击者入侵的主机越多，他的攻击队伍就越壮大。第二步在入侵主机上安装攻击程序，其中一部分主机充当攻击的主控端，一部分主机充当攻击的代理端。最后各部分主机各司其职，在攻击者的调遣下对攻击对象发起攻击。由于攻击者在幕后操纵，所以在攻击时不会受到监控系统的跟踪，身份不容易被发现。ICMP与UDP洪水攻击ICMP洪水攻击：正常情况下为了对网络进行诊断，一些诊断程序，如PING等，会发出ICMP响应请求报文（ICMPECHO），接收计算机收到（ICMPECHO）后，会回应一个ICMPECHOReply报文，而这个过程是需要CPU处理的，有的情况下还可能消耗大量的资源，比如处理分片的时候；这样，如果攻击者向目标计算机发送大量的ICMPECHO报文（产生ICMP洪水），则目标计算机会忙于处理这些ECHO报文而无法处理其他的网络数据报文，这就是ICMP洪水攻击，也是一种DOS。UDP洪水攻击：与ICMP洪水攻击类似，攻击者通过发送大量的UDP报文给目标计算机，导致目标计算机忙于处理这些UDP报文而无法继续处理正常的报文。ICMP与UDP洪水攻击防御关掉不必要的TCP/IP服务，或者对防火墙进行配置，阻断来自Internet的ICMP和UDP请求报文。分片IP报文攻击分片IP报文攻击原理:为了传送一个大的IP报文,IP协议栈需要根据链路接口的MTU对该IP报文进行分片,通过填充适当的IP头中的分片指示字段,接收计算机可以很容易地把这些IP分片报文重组起来.目标计算机在处理这些分片报文的时候,会把先到的分片报文缓存起来,然后一直等待后续的分片报文,这个过程会消耗掉一部分内存,以及一些IP协议栈的数据结构.如果攻击者给目标计算机只发送一片分片报文,而不发送所有的分片报文,这样被攻击者计算机便会一直等待(直到一个内部计时器到时),如果攻击者发送了大量这样的分片报文,就会消耗掉目标计算机的资源,而导致不能处理正常的IP报文,这也是一种DOS攻击.分片IP报文攻击防御防御分片IP报文攻击方法:对于这种攻击方式,目前还没有一种十分有效的防御方法。原因：一些包过滤设备或者入侵检测系统,首先通过判断目的端口号来采取允许/禁止措施.但是,由于通过恶意分片使目的端口位于第二个分片中,因此包过滤设备通过判断第一个分片,决定后续的分片是否允许通过.但是,这些分片在目标主机上进行重组后将形成各种攻击.当然,目前一些智能的包过滤设备可直接丢掉报头中未包含端口信息的分片,但这样的设备目前价格比较昂贵,不是每个企业能承受得起的.泪滴（teardrop）攻击泪滴（teardrop）攻击原理:对于大的IP数据包,往往需要对其进行拆分传送,这是为了迎合链路层的MTU(最大传输单元)的要求,比如,一个6000字节的IP包,在MTU为2000字节的链路上传输时,就需要分成三个IP包.在IP报头中有一个偏移字段和一个拆分标志(MF),如果MF标志设置为1,则表明这个IP包是一个大IP包的片断,其中偏移字段指出了这个片断在整个IP包中的位置.例如,对一个6000字节的IP包进行拆分(MTU为2000),则三个片断中偏移字段的值依次为:0、2000、4000。这样，接收端在全部接收完IP数据包后，就可以根据这些信息重新组装这几个分次接收的IP数据包。在这里就出现了一个安全漏洞：如果黑客们在截取IP数据包后，把偏移字段设置成不正确的值，这样接收端在收到这些分拆的数据包后就不能按数据包中的偏移字段值正确重组这些拆分的数据包，但接收端会不断尝试，这样，就可能致使目标计算机操作系统因资源耗尽而崩溃。防御泪滴（teardrop）攻击IP分段含有指示该分段所包含的是原包的哪一段信息，某些操作系统的TCP/IP在收到含有重叠偏移的伪造分段时将崩溃，不过，新的操作系统已基本上能自己抵御这种攻击了。防御泪滴（teardrop）攻击的基本方法：尽可能采用新的操作系统，或者在防火墙上设置分段重组功能，由防火墙先接收到同一原包中的所有拆分数据包，然后完成重组工作，而不是直接转发。因为防火墙上可以设置当出现重叠字段时所采取的规则。Land攻击Land攻击原理：

Land攻击与TCPSYN洪水攻击类似，也是利用了TCP连接建立的三次握手过程，通过向一个目标计算机发送一个TCPSYN报文（连接建立请求报文）而形成对目标计算机的攻击。与TCPSYN洪水攻击的方法不同的是，这里并不是不给TCK响应，而是给被攻击方发送一个源IP地址和目的IP地址相同的假TCPSYN报文，都是目标计算机的IP地址。这样目标计算机接收到这个SYN报文后，就会向该报文的原地址发送一个ACK报文，并建立一个TCP连接控制结构（TCB），而该报文的源IP地址就是自己，因此，这个ACK报文就发给了自己。如果攻击者发送了足够多的SYN报文，则目标计算机的TCB可能会耗尽，最终不能提供正常服务，这也是一种DOS攻击。防御Land攻击防御Land攻击的基本方法：这类攻击的检测方法相对来说比较容易，因为可以直接从判断网络数据包的源IP地址与目的IP地址是否相同得出是否属于攻击行为。反攻击的方法当然是适当的配置防火墙设备或包过滤路由器的包过滤规则，过滤掉那些源地址与目标地址一样的数据包，从而可以有效的分析并跟踪攻击来源。Smurf攻击Smurf攻击原理：

Smurf攻击利用的是多数路由器具有的同时向许多计算机广播请求的功能。ICMPECHO请求包用来对网络进行诊断，当一台计算机接收到这样一个报文后，会向报文的源地址回应一ICMPECHOREPLY。一般情况下，计算机是不检查该ECHO请求的源地址的。攻击者伪造一个合法的IP地址，然后由网络所有的路由器广播要求受攻击的计算机做出回答请求。由于这些数据包表面上看是来自已知地址的合法请求，因此网络中所有系统向这个地址做出应答，最终结果可导致该网络的所有主机都对此ICMP应答请求作出答复，导致网络阻塞，这也就达到了黑客们的目的了。这种Smurf攻击比以前介绍的PingofDeath洪水攻击的流量高出一到两个数量级，更容易攻击成功。还有些新型的Smurf攻击，将源地址改为第三方受害者（不再采用伪装的IP地址），最终导致第三方雪崩。除了把ECHO报文的源地址设置为广播地址外，攻击者还可能把源地址设置为一个子网广播地址，这样，该子网内的计算机就可能受影响。防御Smurf攻击防御Smurf攻击的基本方法：（1）为防止系统成为smurf攻击的平台，要将所有路由器上IP的广播功能都禁止。一般来讲，IP广播功能并不需要。（2）挫败一个smurf

攻击的最简单方法对边界路由器的回音应答(echoreply)信息包进行过滤，然后丢弃它们，这样就能阻止“命中”Web服务器和内网。对于那些使用Cisco路由器的人，另一个选择是CAR(CommittedAccessRate，承诺访问速率)。

Fraggle攻击Fraggle攻击原理：Fraggle攻击实际上就是对Smurf攻击作了简单的修改，使用的是UDP应答消息而非ICMP。因为黑客们清楚UDP协议更不易被用户们全部禁止。同时，Fraggle攻击

使用了特定的端口（通常为7号端口，但也有许多使用其他端口实施Fraggle攻击的），攻击方式与Smurf攻击基本类似。

虚拟终端（VTY）耗尽攻击这是一种针对网络设备的攻击，比如路由器，交换机等。这些网络设备为了便于远程管理，一般设置了一些TELNET用户界面，即用户可以通过TELNET到该设备上，对这些设备进行管理。

一般情况下，这些设备的TELNET用户界面个数是有限制的，比如，5个或10个等。这样，如果一个攻击者同时同一台网络设备建立了5个或10个TELNET连接，这些设备的远程管理界面便被占尽，这样合法用户如果再对这些设备进行远程管理，则会因为TELNET连接资源被占用而失败。

针对MAC地址表的攻击

MAC地址表一般存在于以太网交换机上，以太网通过分析接收到的数据幀的目的MAC地址，来查本地的MAC地址表，然后作出合适的转发决定。

这些MAC地址表一般是通过学习获取的，交换机在接收到一个数据幀后，有一个学习的过程，该过程是这样的：

a)提取数据幀的源MAC地址和接收到该数据幀的端口号；

b)查MAC地址表，看该MAC地址是否存在，以及对应的端口是否符合；

c)如果该MAC地址在本地MAC地址表中不存在,则创建一个MAC地址表项；

d)如果存在，但对应的输出端口跟接收到该数据幀的端口不符，则更新该表；

e)如果存在，且端口符合，则进行下一步处理。

分析这个过程可以看出，如果一个攻击者向一台交换机发送大量源MAC地址不同的数据幀，则该交换机就可能把自己本地的MAC地址表填满。一旦MAC地址表溢出，则交换机就不能继续学习正确的MAC表项，结果是可能产生大量的网络冗余数据，甚至可能使交换机崩溃。而构造一些源MAC地址不同的数据幀，是非常容易的事情。针对ARP表的攻击（1）

ARP表是IP地址和MAC地址的映射关系表，任何实现了IP协议栈的设备，一般情况下都通过该表维护IP地址和MAC地址的对应关系，这是为了避免ARP解析而造成的广播数据报文对网络造成冲击。ARP表的建立一般情况下是通过二个途径：

1、主动解析，如果一台计算机想与另外一台不知道MAC地址的计算机通信，则该计算机主动发ARP请求，通过ARP协议建立（前提是这两台计算机位于同一个IP子网上）；

2、被动请求，如果一台计算机接收到了一台计算机的ARP请求，则首先在本地建立请求计算机的IP地址和MAC地址的对应表。

因此，如果一个攻击者通过变换不同的IP地址和MAC地址，向同一台设备，比如三层交换机发送大量的ARP请求，则被攻击设备可能会因为ARP缓存溢出而崩溃。针对ARP表的攻击（2）

针对ARP表项，另一个可能攻击是误导计算机建立不正确的ARP表。根据ARP协议，如果一台计算机接收到了一个ARP请求报文，在满足下列两个条件的情况下，该计算机会用ARP请求报文中的源IP地址和源MAC地址更新自己的ARP缓存：

1、如果发起该ARP请求的IP地址在自己本地的ARP缓存中；

2、请求的目标IP地址不是自己的。

防御针对ARP表和MAC地址的攻击MAC地址与IP地址绑定8:电子邮件攻击电子邮件炸弹指的是邮件发送者，