论文部分内容阅读
摘要:ARP欺骗攻击是一种利用ARP 协议存在的安全隐患对局域网内计算机的通信实施攻击的行为。在对ARP 欺骗攻击的原理进行分析的基础上,本文结合网络管理的工作实际,介绍了三种定位ARP攻击源主机的方法,并提出了三种防御ARP攻击的方案。
关键词:ARP攻击;ARP缓存表;MAC地址
中图分类号:TP393 文献标识码:A文章编号:1009-3044(2008)31-0869-03
ARP Spoofing in the LAN and Defending Project
WU Hui-min
(Orient Today, Zhengzhou 450003, China)
Abstract: The ARP spoofing is a spoofing behavior which utilizes ARP protocol loopholes to attack communicationg of two computers in the LAN. Based on analysis of the principle of ARP spoofing, combined with the practice of network administrating, the paper proposed three ways of finding the computer which sent the ARP spoofing and three solutions of defending ARP spoofing.
Key words: ARP Spoofing; ARP cache form; MAC Adress
1 引言
近年来,不少企事业单位的局域网因遭受ARP欺骗攻击而陷入瘫痪,这使“ARP”这个本来并不为人熟知的名词变得声名大噪。攻击者利用ARP协议本身存在的缺陷,对局域网内的主机进行攻击。因此,有必要深入研究ARP欺骗攻击的原理并探讨方案加以防御。
2 ARP欺骗攻击原理
2.1 ARP协议简介
ARP是Address Resolution Protocol(地址解析协议)的英文缩写,它工作在OSI模型七层结构的第二层即数据链路层。我们知道,工作在网络中的任何一台计算机都有两个唯一标识,一个是32位的IP地址(由软件分配),一个是48位的MAC地址(由网卡生产厂家分配)。由于工作在第二层的网络交换设备不能识别IP地址,两台主机之间的通信要靠MAC地址来实现,因此,必须确定IP地址与MAC地址之间的对应关系。ARP协议就是一种将计算机的网络IP地址转化为物理MAC地址的协议。
2.2ARP协议工作过程
为了提高IP地址与MAC地址的转换效率,在每台安装有TCP/IP协议的计算机内都有一个ARP高速缓存表,用于存放最近一段时间内与该计算机通信的其他计算机的IP地址及其对应的MAC地址(即IP-MAC条目)。如表1所示。
我们以表一中的源主机A向目标主机B发送数据为例,对ARP协议的工作过程进行分析。当源主机A准备向目标主机B发送数据时,会先在自己的ARP缓存表中查询是否有B的IP地址。如果有,也就找到了目标主机的MAC地址,直接把B的IP地址和MAC地址封装入数据帧中发送就可以了。如果没有,主机A就会在局域网内发送一个广播数据包,向同网段内的所有主机发出请求:“10.10.2.22的MAC地址是什么?”该网段内的其他主机并不响应这一ARP请求,只有B接收到这个数据包时,才向A 做出响应:“10.10.2.22的MAC地址是00-0E-1B-2B-3B-4B。”这样,A 就按这个MAC 地址向B发送信息。同样,目标主机B也获得了源主机A的MAC地址。在这一次完整的ARP 请求与响应过程中,通信双方都更新了各自的ARP 缓存表。此后再进行数据交换时,直接从缓存中读取IP-MAC条目即可。
从以上分析可以看出,ARP 协议是建立在信任局域网内所有节点的基础上,它很高效,但不安全。采用该协议的计算机不会检查自己是否发过请求包,也不管(其实也不知道)是否为合法的应答,只要接收到ARP 响应包,就会对本机的ARP缓存进行更新。
2.3 ARP欺骗攻击的实现
ARP欺骗攻击的核心是发送伪造的ARP应答。下面借助我报社局域网的网络拓扑图(如图1所示)来说明ARP欺骗攻击实现的过程。
在正常情况下,主机A 访问互联网的路径应该是主机A→交换机S2→核心交换机(网关)C→防火墙→互联网。在主机A 的DOS窗口下运行ARP查看命令“arp -a”,将有如下输出:
Interface: 10.10.2.128 - - - 0x2
Internet Address Physical Address Type
10.10.2.254 00-0E-2A-11-12-13 dynamic
从中可以看出主机A所在网段的网关IP 对应的MAC 地址确实是核心交换机C。当A 通过网关上网时,会先将数据包发给S2,S2根据A 所发数据包中的MAC 地址找到C,进行正确的数据包转发,主机A 就可以正常上网。
若主机B要对主机A进行ARP攻击,它会向A发送一个自己伪造的ARP 应答:“10.10.2.254(网关的IP 地址)对应的MAC 地址是00-0E-BB-BB-BB-BB。”当主机A 接收到这一伪造的ARP 应答后, 就会更新其ARP 缓存。此时在主机A上再运行“arp -a”命令,将变为如下输出:
Interface: 10.10.2.128 - - - 0x2
Internet AddressPhysical Address Type
10.10.2.254 00-0E-BB-BB-BB-BB dynamic
这时主机A 再上网,S2按照A 所发数据包中的MAC 地址00-0E-BB-BB-BB-BB,会把数据包转发给主机B,再由B转发给C。这样A 访问互联网的路径就变成了主机A→交换机S2→主机B→核心交换机C→防火墙→互联网。如果B不断发送这种网关欺骗的数据包,A就会认为网关的MAC 地址就是00-0E-BB-BB-BB-BB。B再用同样的方法欺骗C:“10.10.2.128(主机A的IP地址)对应的MAC地址是00-0E-BB-BB-BB-BB。”B以此实现了对A的监听。如果B 突然暂停中转数据, 那么A 就无法上网,但此时B 仍可正常上网。这样,主机B就成功地对主机A实施了一次ARP欺骗攻击。
以上主要分析了ARP欺骗对单个主机攻击的过程,其实更常见的ARP欺骗是攻击者对整个局域网内所有主机发送网关欺骗的广播数据包,这样很容易造成网络大面积瘫痪。大量的数据包导致局域网通信拥堵,用户会感觉上网速度越来越慢,被攻击的电脑将无法上网,但网络连接却显示正常。
如果出现这种现象,可以通过以下操作进一步确认:在无法上网主机的DOS窗口下运行命令“arp -d”,清除本机的ARP缓存表,然后重新尝试上网,如果能恢复正常,则说明受到了ARP攻击。需要指出的是,ARP缓存表被清除后系统会重新创建,“arp -d”命令并不能抵御ARP欺骗,执行该命令后仍有可能再次遭受ARP攻击。
3 定位ARP欺骗攻击源
如果局域网中出现ARP 欺骗攻击,首要任务是准确定位攻击源,而其中的关键就是找到攻击源主机的MAC 地址。这里提供三种查找攻击源主机MAC地址的方法。
方法一:查看ARP 防火墙记录
一些ARP 防火墙软件为定位ARP攻击源主机提供了便利,较成熟的软件有“AntiArpSniffer”、“360 Arp防火墙”、“趋势Antiarp”等。在局域网内任意一台计算机上安装这种软件,一旦有ARP欺骗攻击该主机,防火墙软件就会将攻击源主机包括MAC 地址在内的真实信息记录下来。这样,通过查看防火墙记录,即可获取攻击源主机的MAC 地址。
方法二:使用ARP命令
在遭受攻击的局域网内任何一台主机上运行“arp -a”命令,查看该主机所在网段的网关IP及其对应的MAC 地址。如果该MAC 地址不是网关真实的MAC 地址,那么通过命令看到的MAC 地址就是ARP攻击源主机的MAC 地址。
方法三:分析网关设备的ARP表
以上两种方法只适用于定位局域网某一个网段内的ARP 攻击源,而通过分析网关设备的ARP表,可同时找出多个网段的ARP攻击源主机的MAC 地址。
下面以我报社为例来说明具体查找方法。我报社局域网的网关设备是一台CISCO Catalyst 4570R核心交换机,通过光纤接入6台CISCO Catalyst 3550交换机,每个业务部门划分为一个网段(VLAN),用思科命令可以查看核心交换机的ARP缓存表。
先用telnet 命令登陆到核心交换机,再用en命令切换到特权模式,运行“show arp”命令,即可显示出该核心交换机当前的ARP缓存表,输出如下:
Protocol Address Age (min) Hardware Addr Type Interface
Internet 10.10.3.65 1 000c.9521.3ed2 ARPA Vlan3
Internet 10.10.2.107 2 000e.4928.d47a ARPA Vlan2
Internet 10.10.2.98 15 000d.7a03.b487 ARPA Vlan2
Internet 10.10.5.121 10 0010.c5da.2866 ARPA Vlan5
……
将该表复制出来保存为一个记事本文件,然后导入Excel表中,并对这张表进行分析。
首先按Interface 这一项把同一个VLAN的表项排在一起, 然后查看该VLAN 里是否有重复的MAC 地址。如果有,则说明这个VLAN 对应的局域网存在ARP攻击,而重复的这个MAC 地址就是ARP攻击源主机的MAC 地址。如法炮制,其他网段内的ARP攻击源主机的MAC地址也可被查找出来。
查出ARP攻击源主机的MAC地址后,还需进一步对应计算机所在的实际位置。一些防火墙软件为我们“揪出元凶”提供了更多的“线索”,如“360 ARP防火墙”可以记录下攻击源主机MAC地址对应的IP地址、计算机名等信息,由此,我们基本可定位攻击源主机的物理位置。
找到攻击源后,应立即断开这台主机的网络连接(禁用网卡或拔掉网线),待ARP缓存更新后,局域网内的其他机器即可恢复正常。而对攻击源主机,可进行杀毒或重装系统等处理,正常后再接入网络。
4 ARP欺骗攻击抵御方案
由于ARP欺骗攻击一旦发生,往往会造成大面积网络瘫痪,处理起来比较麻烦,因此,最有效的方案是提早部署,防患于未然。这里提供三种方案。
方案一:使用相关软件阻止Arp欺骗攻击
针对ARP欺骗攻击,趋势公司推出了全新软件“Antiarp”,该软件采用了相当底层的技术,直接作用于网卡,通过中间层驱动对ARP响应包进行过滤,有效阻止虚假的ARP响应包被发送出去,从而将攻击扼杀在萌芽之中。因此,如果在局域网内所有计算机上都安装有该软件,ARP攻击就无法存在。
方案二:在客户端计算机上绑定网关的IP和MAC地址
首先,在局域网运行正常的情况下,绑定网关的IP 地址和MAC 地址。在网内客户端计算机A(IP地址为10.10.2.186)上执行“arp–a” 命令,将有如下输出:
Interface: 10.10.2.186 - - - 0x2
Internet Address Physical Address Type
10.10.2.254 00-0E-2A-11-12-13 dynamic
接着执行命令“arp -s 10.10.2.254 00-0E-2A-11-12-13”,手工绑定网关的IP地址和MAC地址。然后再用“arp –a”命令查看,将有如下输出:
Interface: 10.10.2.186 - - - 0x2
Internet Address Physical Address Type
10.10.2.254 00-0E-2A-11-12-13 static
可见,ARP缓存表的类型已由动态(dynamic)变为静态(static),即不再动态更新了,ARP欺骗攻击也就无机可乘。
但是,手工绑定在计算机关机或重启后将失效,需要重新绑定。因此,需要编写一个批处理文件(Bd-sarp.bat),内容如下:
@echo off
arp -d
arp -s 10.10.2.254 00-0E-2A-11-12-13
然后,将这个批处理文件拖到系统“启动”项中。这样可以保证每次开机后,客户端计算机自动实现网关IP和MAC地址的绑定。
方案三:通过防毒墙网络版的“爆发阻止”功能防止ARP欺骗攻击
趋势公司的防毒墙网络版有“爆发阻止”功能,可以通过阻止ARP攻击驱动文件的写入来达到防御的目的。目前已经知道npf.sys文件是发ARP欺骗包的驱动程序,它会写入%systemroot%\system32\drivers目录。我们可以在趋势网络版的管理控制台中部署相应的策略来阻止npf.sysR的写入,从而防止ARP攻击。
5 结束语
局域网ARP欺骗攻击作为一种非常专业的攻击手段,对网络安全构成了较大威胁。文中通过分析ARP欺骗攻击原理,提出了三种防御方案,几种方案配合使用,可最大限度地杜绝ARP攻击的出现。而针对已经发生ARP攻击的局域网,本文提出的三种定位攻击源主机的方法可帮助找出“元凶”,使网络尽快恢复正常。
参考文献:
[1] 蓝颖骅.网络安全领域的ARP欺骗及其解决方案[J].电脑开发与应用,2008,21(5):64.
[2] 宁晓娟,蒋璐,王子良.ARP欺骗原理及抵御方案设计[J].微计算机信息,2008,24(5-3):85-86.
[3] 朱江.单位局域网中的ARP攻击的故障处理[J].计算机安全,2008,(5):94-95.
关键词:ARP攻击;ARP缓存表;MAC地址
中图分类号:TP393 文献标识码:A文章编号:1009-3044(2008)31-0869-03
ARP Spoofing in the LAN and Defending Project
WU Hui-min
(Orient Today, Zhengzhou 450003, China)
Abstract: The ARP spoofing is a spoofing behavior which utilizes ARP protocol loopholes to attack communicationg of two computers in the LAN. Based on analysis of the principle of ARP spoofing, combined with the practice of network administrating, the paper proposed three ways of finding the computer which sent the ARP spoofing and three solutions of defending ARP spoofing.
Key words: ARP Spoofing; ARP cache form; MAC Adress
1 引言
近年来,不少企事业单位的局域网因遭受ARP欺骗攻击而陷入瘫痪,这使“ARP”这个本来并不为人熟知的名词变得声名大噪。攻击者利用ARP协议本身存在的缺陷,对局域网内的主机进行攻击。因此,有必要深入研究ARP欺骗攻击的原理并探讨方案加以防御。
2 ARP欺骗攻击原理
2.1 ARP协议简介
ARP是Address Resolution Protocol(地址解析协议)的英文缩写,它工作在OSI模型七层结构的第二层即数据链路层。我们知道,工作在网络中的任何一台计算机都有两个唯一标识,一个是32位的IP地址(由软件分配),一个是48位的MAC地址(由网卡生产厂家分配)。由于工作在第二层的网络交换设备不能识别IP地址,两台主机之间的通信要靠MAC地址来实现,因此,必须确定IP地址与MAC地址之间的对应关系。ARP协议就是一种将计算机的网络IP地址转化为物理MAC地址的协议。
2.2ARP协议工作过程
为了提高IP地址与MAC地址的转换效率,在每台安装有TCP/IP协议的计算机内都有一个ARP高速缓存表,用于存放最近一段时间内与该计算机通信的其他计算机的IP地址及其对应的MAC地址(即IP-MAC条目)。如表1所示。
我们以表一中的源主机A向目标主机B发送数据为例,对ARP协议的工作过程进行分析。当源主机A准备向目标主机B发送数据时,会先在自己的ARP缓存表中查询是否有B的IP地址。如果有,也就找到了目标主机的MAC地址,直接把B的IP地址和MAC地址封装入数据帧中发送就可以了。如果没有,主机A就会在局域网内发送一个广播数据包,向同网段内的所有主机发出请求:“10.10.2.22的MAC地址是什么?”该网段内的其他主机并不响应这一ARP请求,只有B接收到这个数据包时,才向A 做出响应:“10.10.2.22的MAC地址是00-0E-1B-2B-3B-4B。”这样,A 就按这个MAC 地址向B发送信息。同样,目标主机B也获得了源主机A的MAC地址。在这一次完整的ARP 请求与响应过程中,通信双方都更新了各自的ARP 缓存表。此后再进行数据交换时,直接从缓存中读取IP-MAC条目即可。
从以上分析可以看出,ARP 协议是建立在信任局域网内所有节点的基础上,它很高效,但不安全。采用该协议的计算机不会检查自己是否发过请求包,也不管(其实也不知道)是否为合法的应答,只要接收到ARP 响应包,就会对本机的ARP缓存进行更新。
2.3 ARP欺骗攻击的实现
ARP欺骗攻击的核心是发送伪造的ARP应答。下面借助我报社局域网的网络拓扑图(如图1所示)来说明ARP欺骗攻击实现的过程。
在正常情况下,主机A 访问互联网的路径应该是主机A→交换机S2→核心交换机(网关)C→防火墙→互联网。在主机A 的DOS窗口下运行ARP查看命令“arp -a”,将有如下输出:
Interface: 10.10.2.128 - - - 0x2
Internet Address Physical Address Type
10.10.2.254 00-0E-2A-11-12-13 dynamic
从中可以看出主机A所在网段的网关IP 对应的MAC 地址确实是核心交换机C。当A 通过网关上网时,会先将数据包发给S2,S2根据A 所发数据包中的MAC 地址找到C,进行正确的数据包转发,主机A 就可以正常上网。
若主机B要对主机A进行ARP攻击,它会向A发送一个自己伪造的ARP 应答:“10.10.2.254(网关的IP 地址)对应的MAC 地址是00-0E-BB-BB-BB-BB。”当主机A 接收到这一伪造的ARP 应答后, 就会更新其ARP 缓存。此时在主机A上再运行“arp -a”命令,将变为如下输出:
Interface: 10.10.2.128 - - - 0x2
Internet AddressPhysical Address Type
10.10.2.254 00-0E-BB-BB-BB-BB dynamic
这时主机A 再上网,S2按照A 所发数据包中的MAC 地址00-0E-BB-BB-BB-BB,会把数据包转发给主机B,再由B转发给C。这样A 访问互联网的路径就变成了主机A→交换机S2→主机B→核心交换机C→防火墙→互联网。如果B不断发送这种网关欺骗的数据包,A就会认为网关的MAC 地址就是00-0E-BB-BB-BB-BB。B再用同样的方法欺骗C:“10.10.2.128(主机A的IP地址)对应的MAC地址是00-0E-BB-BB-BB-BB。”B以此实现了对A的监听。如果B 突然暂停中转数据, 那么A 就无法上网,但此时B 仍可正常上网。这样,主机B就成功地对主机A实施了一次ARP欺骗攻击。
以上主要分析了ARP欺骗对单个主机攻击的过程,其实更常见的ARP欺骗是攻击者对整个局域网内所有主机发送网关欺骗的广播数据包,这样很容易造成网络大面积瘫痪。大量的数据包导致局域网通信拥堵,用户会感觉上网速度越来越慢,被攻击的电脑将无法上网,但网络连接却显示正常。
如果出现这种现象,可以通过以下操作进一步确认:在无法上网主机的DOS窗口下运行命令“arp -d”,清除本机的ARP缓存表,然后重新尝试上网,如果能恢复正常,则说明受到了ARP攻击。需要指出的是,ARP缓存表被清除后系统会重新创建,“arp -d”命令并不能抵御ARP欺骗,执行该命令后仍有可能再次遭受ARP攻击。
3 定位ARP欺骗攻击源
如果局域网中出现ARP 欺骗攻击,首要任务是准确定位攻击源,而其中的关键就是找到攻击源主机的MAC 地址。这里提供三种查找攻击源主机MAC地址的方法。
方法一:查看ARP 防火墙记录
一些ARP 防火墙软件为定位ARP攻击源主机提供了便利,较成熟的软件有“AntiArpSniffer”、“360 Arp防火墙”、“趋势Antiarp”等。在局域网内任意一台计算机上安装这种软件,一旦有ARP欺骗攻击该主机,防火墙软件就会将攻击源主机包括MAC 地址在内的真实信息记录下来。这样,通过查看防火墙记录,即可获取攻击源主机的MAC 地址。
方法二:使用ARP命令
在遭受攻击的局域网内任何一台主机上运行“arp -a”命令,查看该主机所在网段的网关IP及其对应的MAC 地址。如果该MAC 地址不是网关真实的MAC 地址,那么通过命令看到的MAC 地址就是ARP攻击源主机的MAC 地址。
方法三:分析网关设备的ARP表
以上两种方法只适用于定位局域网某一个网段内的ARP 攻击源,而通过分析网关设备的ARP表,可同时找出多个网段的ARP攻击源主机的MAC 地址。
下面以我报社为例来说明具体查找方法。我报社局域网的网关设备是一台CISCO Catalyst 4570R核心交换机,通过光纤接入6台CISCO Catalyst 3550交换机,每个业务部门划分为一个网段(VLAN),用思科命令可以查看核心交换机的ARP缓存表。
先用telnet 命令登陆到核心交换机,再用en命令切换到特权模式,运行“show arp”命令,即可显示出该核心交换机当前的ARP缓存表,输出如下:
Protocol Address Age (min) Hardware Addr Type Interface
Internet 10.10.3.65 1 000c.9521.3ed2 ARPA Vlan3
Internet 10.10.2.107 2 000e.4928.d47a ARPA Vlan2
Internet 10.10.2.98 15 000d.7a03.b487 ARPA Vlan2
Internet 10.10.5.121 10 0010.c5da.2866 ARPA Vlan5
……
将该表复制出来保存为一个记事本文件,然后导入Excel表中,并对这张表进行分析。
首先按Interface 这一项把同一个VLAN的表项排在一起, 然后查看该VLAN 里是否有重复的MAC 地址。如果有,则说明这个VLAN 对应的局域网存在ARP攻击,而重复的这个MAC 地址就是ARP攻击源主机的MAC 地址。如法炮制,其他网段内的ARP攻击源主机的MAC地址也可被查找出来。
查出ARP攻击源主机的MAC地址后,还需进一步对应计算机所在的实际位置。一些防火墙软件为我们“揪出元凶”提供了更多的“线索”,如“360 ARP防火墙”可以记录下攻击源主机MAC地址对应的IP地址、计算机名等信息,由此,我们基本可定位攻击源主机的物理位置。
找到攻击源后,应立即断开这台主机的网络连接(禁用网卡或拔掉网线),待ARP缓存更新后,局域网内的其他机器即可恢复正常。而对攻击源主机,可进行杀毒或重装系统等处理,正常后再接入网络。
4 ARP欺骗攻击抵御方案
由于ARP欺骗攻击一旦发生,往往会造成大面积网络瘫痪,处理起来比较麻烦,因此,最有效的方案是提早部署,防患于未然。这里提供三种方案。
方案一:使用相关软件阻止Arp欺骗攻击
针对ARP欺骗攻击,趋势公司推出了全新软件“Antiarp”,该软件采用了相当底层的技术,直接作用于网卡,通过中间层驱动对ARP响应包进行过滤,有效阻止虚假的ARP响应包被发送出去,从而将攻击扼杀在萌芽之中。因此,如果在局域网内所有计算机上都安装有该软件,ARP攻击就无法存在。
方案二:在客户端计算机上绑定网关的IP和MAC地址
首先,在局域网运行正常的情况下,绑定网关的IP 地址和MAC 地址。在网内客户端计算机A(IP地址为10.10.2.186)上执行“arp–a” 命令,将有如下输出:
Interface: 10.10.2.186 - - - 0x2
Internet Address Physical Address Type
10.10.2.254 00-0E-2A-11-12-13 dynamic
接着执行命令“arp -s 10.10.2.254 00-0E-2A-11-12-13”,手工绑定网关的IP地址和MAC地址。然后再用“arp –a”命令查看,将有如下输出:
Interface: 10.10.2.186 - - - 0x2
Internet Address Physical Address Type
10.10.2.254 00-0E-2A-11-12-13 static
可见,ARP缓存表的类型已由动态(dynamic)变为静态(static),即不再动态更新了,ARP欺骗攻击也就无机可乘。
但是,手工绑定在计算机关机或重启后将失效,需要重新绑定。因此,需要编写一个批处理文件(Bd-sarp.bat),内容如下:
@echo off
arp -d
arp -s 10.10.2.254 00-0E-2A-11-12-13
然后,将这个批处理文件拖到系统“启动”项中。这样可以保证每次开机后,客户端计算机自动实现网关IP和MAC地址的绑定。
方案三:通过防毒墙网络版的“爆发阻止”功能防止ARP欺骗攻击
趋势公司的防毒墙网络版有“爆发阻止”功能,可以通过阻止ARP攻击驱动文件的写入来达到防御的目的。目前已经知道npf.sys文件是发ARP欺骗包的驱动程序,它会写入%systemroot%\system32\drivers目录。我们可以在趋势网络版的管理控制台中部署相应的策略来阻止npf.sysR的写入,从而防止ARP攻击。
5 结束语
局域网ARP欺骗攻击作为一种非常专业的攻击手段,对网络安全构成了较大威胁。文中通过分析ARP欺骗攻击原理,提出了三种防御方案,几种方案配合使用,可最大限度地杜绝ARP攻击的出现。而针对已经发生ARP攻击的局域网,本文提出的三种定位攻击源主机的方法可帮助找出“元凶”,使网络尽快恢复正常。
参考文献:
[1] 蓝颖骅.网络安全领域的ARP欺骗及其解决方案[J].电脑开发与应用,2008,21(5):64.
[2] 宁晓娟,蒋璐,王子良.ARP欺骗原理及抵御方案设计[J].微计算机信息,2008,24(5-3):85-86.
[3] 朱江.单位局域网中的ARP攻击的故障处理[J].计算机安全,2008,(5):94-95.