局域网ARP地址欺骗和篡改网页攻击案例分析

局域网Web网页劫持与篡改案例分析
贺思德 贺强
（云南大学信息学院 sdhe@ 日期：2008年1月23日）
目 录录
1．前言
2．以太网ARP欺骗与网页劫持攻击的基本概念
2．1 以太网ARP欺骗的原理
2．2 基于ARP欺骗的网页劫持与篡改
3．HTTP客户端受到网页劫持与篡改的案例
3．1 在受害客户机浏览器上看到的被篡改的网页
3．2 本案例的网络结构图与相关主机参数的获取
（1）获取受害客户机A 的网络参数
（2）获取局域网出口网关的MAC 地址
（3）将客户机的ARP 表中的网关IP-MAC 地址绑定
（4）在客户机A 端获取Web 服务器的IP 地址
（5）在客户机A 端获取“中间人”恶意主机B 的MAC 地址
3．3 恶意主机对客户机访问Web 网页的篡改过程
4．客户端浏览器收到的被篡改的网页内容分析
5．结论
6．参考文献与附件：本案例数据样本下载
1．前 言
对互联网Web网页的篡改和攻击是当前危害广泛的恶意网络行为之一，攻防对抗的双方都有多种不同的实施与对抗策略。

参考文献[1]对其中一种基于局域网ARP欺骗的网页恶意篡改行为作了很好的分析，本文在此基础上做了进一步的详细讨论，并提供了一个在校园网上捕获的真实的攻击网页的案例，此案例的捕获数据样本可从下载。

为了帮助读者和网络管理员能够从本案例中了解如何解决安全管理中遇到的同类问题，本文尽量写得详细和通俗易懂，以供仿效操作。

本案例分析所涉及到的各种背景知识在参考文献[2]（即《计算机网络安全与应用》科学出版社，2007）中有全面的介绍。

为了叙述简洁，本文中将参考文献[2]简称为“教材”，并在文中各部分给出了相关基础知识在此教材中的页码索引。

因此本案例也可以作为《计算机网络安全与应用》课程教学的综合性研究训练课题。

建议读者将本文案例的原始数据与该教材相互参照分析、动手实践，在此基础上做进一步的深入研究。

2．以太网以太网ARP ARP ARP欺骗与网页劫持欺骗与网页劫持欺骗与网页劫持攻击攻击攻击的基本概念的基本概念的基本概念
2．1 以太网以太网ARP ARP ARP欺骗欺骗欺骗的原理的原理的原理
因为IP（Internet Protocol）地址是用于TCP/IP互联网主机之间传输IP数据包的寻址，而MAC（Media Access Control）地址是用于以太网内主机之间传输数据帧的寻址，为了在以太局域网上传输互联网协议的IP包，必须利用地址解析协议ARP（Address Resolution Protocol）进行IP-MAC地址的映射查询。

以太网的动态主机配置协议DHCP（Dynamic Host Configuration Protocol）用于进行反向地址解析以及自动的网络地址分配和管理。

关于ARP协议和DHCP协议的详细介绍参看教材第80页3.2节。

各类地址的用途和相互关系参看教材25页图1.18。

在一个运行动态主机配置协议DHCP的以太网内，各主机的IP地址是在接入网络时自动向DHCP服务器申请动态分配的（参看本文3.2节的实测数据），但是所有计算机网卡的MAC地址是不变的（参看教材80－86页）。

因此在正常工作时，为了及时了解其他网络主机的IP-MAC地址关系，局域网的网关和网内主机每隔一段时间（约几十秒～几分钟）就要更新一次自己的ARP表，使自己的ARP表中各主机的“IP-MAC地址”的对照关系与实际状况吻合，否则IP包的传输投递将产生错乱。

若某主机要更新自己的ARP表，它就在局域网内广播发送ARP查询请求数据帧（见教材82页图3.12）。

例如：在教材84页图3.15的网络捕获数据实例
中，第20号数据帧的查询内容是“Who has 192.168.8.9 ? Tell 192.168.8.1”。

这是局域网的网关
192.168.8.1发送的ARP广播查询帧，它希望局域网内IP地址为192.168.8.9的主机收到此广播查询请求后，将自己的MAC地址利用ARP的单播响应帧告诉网关，以便网关将此“IP-MAC地址对”加入到自己的ARP表中（参看教材228页图7.7）。

但是在ARP协议中，广播查询者对单播应答者的身份缺乏合法性认证的机制。

如果此时网内有一台恶意主机（图1中的主机B）收到网关广播的查询其他IP主机的请求后，冒名顶替给网关发回一个响应帧，将自己的MAC地址配上其他主机的IP地址回答网关，于是网关就将自己的ARP表中此IP地址对应的MAC地址错误地设置为恶意主机的MAC地址。

当网关收到来自外网发给内部合法IP主机的IP包后，就错误地将此IP包封装为投递到恶意主机MAC地址的以太网帧内，这就是ARP ARP ARP欺骗欺骗
欺骗。

网关在内外网之间转发IP数据报时，必须保持IP包头部的源与目的IP地址不变，但是在转发封装为以太网帧时，要根据ARP表设置以太网帧头部的MAC地址，正常的IP-MAC地址变换处理过程参看教材第21页的例1-4。

2．2 基于基于基于ARP ARP ARP欺骗的欺骗的欺骗的网页劫持与篡改网页劫持与篡改网页劫持与篡改
以图1为例，如果局域网内的恶意主机B冒名顶替骗取了网关发给主机A的IP包后，将其中HTTP协议的网页内容（如HTML等文档）篡改或加入淫秽恶意网站的链接后，又重新封装为以太网帧发给主机A，而此时主机A并不会产生怀疑，因为网络层收到包中的源IP地址仍然是Web服务器的IP地址，而传输层TCP数据段的传输和应用层网页的通信过程都不会去核查底层MAC参数。

这就是基于基于基于ARP ARP ARP欺骗的欺骗的欺骗的网页劫持和篡改网页劫持和篡改
网页劫持和篡改。

恶意主机B重新封装后的以太网数据帧里：应用层应用层应用层网页网页网页内容被篡改了，传输层传输层
传输层TCP的源与目的端口号不变，互联网层互联网层互联网层IP包头部的源与目的IP地址不变，而数据链路层数据链路层
数据链路层的以太网帧头部中源MAC地址由原来的网关MAC地址改为恶意主机的MAC地址，目的MAC地址改为受害主机A的MAC地址。

参看教材24页图1.17。

知道上述ARP欺骗和网页劫持篡改攻击的过程后，我们就可以在受害主机A收到不正常的网页时，利用网络协议分析软件Wireshark捕获收到的网页数据帧，从中找到恶意主机B的MAC地址，锁定其身份，对其进行隔离和清除木马处理。

图1中各参数是如何获取的，以及详细的分析过程将在后面进行逐步介绍。

3．HTTP HTTP客户端受到网页劫持与篡改的客户端受到网页劫持与篡改的客户端受到网页劫持与篡改的案例案例案例
本节讨论一个真实的局域网ARP 欺骗网页攻击案例：在某大学的一个局域网内用一台计算机A 访问《计算机网络安全与应用》教学网站 时所受到的攻击。

在本例中，Web 服务器端观看到的网页正常，但是在另一个局域网内的客户机浏览器上看到的网页内容却被篡改了。

图2 客户机收到的主页中被“中间人”在上部和右下角插入两个恶意网站的链接
图3 网页右下角出现恶意网站链接，左列和中部的文字排版被改为“居中”
图4 同一台客户机访问另一个外网的Web 网站时受到的网页篡改与图2 相同，上网速度变慢
3．1 1 在受害客户机浏览器上看到的被篡改的网页在受害客户机浏览器上看到的被篡改的网页在受害客户机浏览器上看到的被篡改的网页
图1的局域网中受害主机A 访问外网的Web 服务器时，浏览器上显示的网页画面如图2、图3和图4所示。

在图2中，收到的教学网站主页上部和右下角被加入了恶意网站连接的内容。

在图4中，同一台主机A 访问外网的另一个Web 网站“教工邮件登录界面”上也被添加了相同的恶意网站的内容，添加的部位与图2相同。

在图3中，网页文字排版被篡改为“居中”，在右下角出现了同样恶意网站的链接。

并且可以明显地感到上网速度变得很慢，这是存在有“中间人攻击”的一种征兆（教材第358页）。

从图2图3和图4的网页画面上可以看出，同一台局域网计算机访问外网的不同网站时收到的网页篡改部位是相同的，因此可以断定对网页的篡改行为产生在局域网内，而不是产生在外网的不同服务器端。

3．2 本案例的网络结构图与本案例的网络结构图与相关主机相关主机相关主机参数的获取参数的获取
根据上述分析我们可以绘出本案例相关的网络结构为图1所示，下面介绍如何从局域网的数据流中获取图1中各有关主机的IP 地址和MAC 地址，如何找到局域网中的恶意主机B，并对其进行杀毒和清除木马处理。

图1中的各有关网络主机的参数获取方法如下：
（1）获取受害客户机A 的网络参数
按照教材230页介绍的网络测试方法，在受害客户机A 上启动Windows XP 的“命令提示符”界面，键入>ipconfig /all 命令后，得到如下结果：（其中蓝色文字为本例图1所需数据）
C:\Documents and Settings\He>ipconfig /all
Windows IP Configuration 视窗IP 配置参数：
Host Name . . . . . . . . . . . . : ynu-690363ed785 主机名
Primary Dns Suffix . . . . . . . : 主DNS 服务器的后缀 Node Type . . . . . . . . . . . . : Unknown 网络节点类型：未知
IP Routing Enabled. . . . . . . . : No 指定IP 路由：不
WINS Proxy Enabled. . . . . . . . : No 指定WINS 代理服务：不 Ethernet adapter 本地连接: 本地以太网接口配置参数： Connection-specific DNS Suffix . : 与链接相关的DNS 后缀 Description . . : Realtek RTL8139 Family PCI Fast Ethernet NIC 本机以太网网卡型号
Physical Address. . . . . . . . . : 00-00-E2-5B-D4-61 本机网卡的MAC 地址
Dhcp Enabled. . . . . . . . . . . : Yes 动态主机配置DHCP ：启动 Autoconfiguration Enabled . . . . : Yes 网络参数自动配置：启动 IP Address. . . . . . . . . . . . : 202.203.44.112 本机IP 地址
Subnet Mask . . . . . . . . . . . : 255.255.255.0 本机IP 子网掩码
Default Gateway . . . . . . . . . :202.203.44.1 局域网默认网关IP 地址 DHCP Server . . . . . . . . . . . : 202.203.44.1 DHCP 服务器IP 地址
DNS Servers . . . . . . . . . . . : 202.203.208.33 DNS 服务器IP 地址
Lease Obtained. . . . . . . . . . :2008年1月17日 15:35:11 上述配置参数分配日期时间 Lease Expires . . . . . . . . . . : 2008年1月17日 18:35:11 上述配置参数失效日期时间
（2）获取局域网出口获取局域网出口网关的网关的MAC 地址
按照教材230页介绍的网络测试方法，在受害客户机上启动Windows XP 的“命令提示符”界面，键入>arp –a 命令后，得到如下结果：（其中蓝色文字为本例图1所需数据）
C:\Documents and Settings\He>arp -a
Interface: 202.203.44.112 --- 0x2 本机的第2号网络接口的IP 地址
Internet Address Physical Address Type IP 地址 MAC 物理地址 相互映射关系 202.203.44.1 00-d0-2b-e5-1d-0a dynamic 本地网关的IP 地址与MAC 地址为动态关系 202.203.44.88 00-02-e3-4d-de-a6 dynamic 本网络3个相邻主机的IP 地址和MAC 地址 202.203.44.91 00-ff-bf-20-03-4d dynamic
202.203.44.108 00-d0-f8-01-18-15 dynamic
（3）将客户机将客户机的的ARP 表中表中的的网关IP-MAC 地址绑定
为了防止ARP 欺骗，按照教材229页的介绍，将客户机A 的ARP 表中网关的IP-MAC 地址绑定。

在客户机A 上启动Windows XP 的“命令提示符”界面，键入>arp –s 命令后，得如下结果：
C:\Documents and Settings\He >arp -s 202.203.44.1 00-d0-2b-e5-1d-0a
发出指令，将本机ARP 表中局域网的网关IP 与MAC 地址绑定
C:\Documents and Settings\He >arp –a 为了验证上条命令是否已生效，查看本机ARP 表 Interface: 202.203.44.112 --- 0x2 这是本机的2号网络接口和IP 地址（1号口为modem ） Internet Address Physical Address Type
202.203.44.1 00-d0-2b-e5-1d-0a static 上条命令已经生效，IP-MAC 地址关系改为静态映射
此检查步骤证实本机的ARP 表中网关的IP 与MAC 地址已经被静态绑定（static mapping ）。

注意注意：：在此例中这条操作只能解决客户机发给服务器的数据包绑定从网关出去，而不能解决从服务器返回的数据包直接进入客户机，因为在网关的ARP 表中客户机的IP-MAC 地址关系并未绑定，有可能被恶意主机B 欺骗。

参看教材21页例1-4。

为了防止ARP 欺骗，应当用同样的方法在网关和服务器端分别将各自的ARP 表中相关主机的IP-MAC 地址绑定。

有很多网络管理员不愿做这种烦琐的工作，导致局域网中ARP 欺骗的恶意行为泛滥蔓延。

（4）在客户机A 端获取Web 服务器的IP 地址
按照教材219页介绍的网络测试方法，在受害客户机上启动Windows XP 的“命令提示符”界面，键入>ping netsecurty. ynu. edu. cn 命令后，得到如下结果：（其中蓝色文字为本例图1所需数据）
C:\Documents and Settings\He>ping
Pinging [202.203.208.112] with 32 bytes of data: 由此获得Web 服务器的IP 地址
（5）在客户机A 端获取获取““中间人间人””恶意主机B 的MAC 地址
要获取恶意主机B 的唯一身份标识：网卡的MAC 地址，就需要捕获分析受害主机A 上收到的网络数据。

主机A 的浏览器使用http 协议访问Web 服务器时，首先要在传输层“经过三次握手”与服务器建立
TCP的连接，见教材第151页图5.8。

双方建立TCP连接要传输交换三个数据包：“SYN”，“SYN+ACK”和“ACK”。

因为服务器在外网，这三个数据包都要通过局域网的网关进行转发，见教材21页例1-4。

此例中，在受害主机A上捕获的网络数据文件取名Web page attack 20080116.pcap可以从网站http:// 下载。

用网络协议分析软件Whireshark打开此捕获数据文件，将前面所获得的主机A 和Web服务器的IP地址输入“显示过滤器”filter，即可从数据流中过滤取出它们之间建立TCP连接时所交换传输的三个以太网帧，即图6中的第41、42、43号帧，它们分别为“SYN”，“SYN+ACK”和“ACK”。

下面的分析参看教材第24页图1.17的数据帧封装结构，以及教材第151页的图5.8。

图6 主机A与Web服务器建立TCP连接的三个数据帧[SYN], [SYN,ACK]和[ACK]
我们可以按照教材第260页图7.34介绍的方法，显示出这些网络数据的流向图，如图7所示。

图中很直观地看到客户机A（IP地址202.203.44.112）与Web服务器（IP地址202.203.208.112）的通信过程。

第41号帧是客户机A发给Web服务器“请求建立连接”的SYN帧，42号帧是Web服务器给客户机A的“响应”SYN+ACK帧，43号帧是客户机A返回给Web服务器的“已建立TCP连接”的确认ACK帧。

此通信过程中，客户机A使用临时端口号1188，而Web服务器使用的是公认端口号80。

见教材附录A。

在图7中看不出任何破绽，因为此图是按照IP地址进行统计分析的，其中不能显示出MAC地址被偷梁换柱的踪迹。

为了找到ARP地址欺骗的证据，我们必须分析这3个数据帧的详细内容。

图7 客户机A与Web服务器三次握手建立TCP连接的流向图，从中看不出任何异常情况
在图6中的第41号帧是主机A发给Web服务器的请求建立TCP连接的SYN帧，帧中的参数如下：IP头部：源IP：202.203.44.112（即主机A），目的IP：202.203.208.112（即服务器）
TCP头部：源端口1188（http客户机A标识本次进程的临时端口号），目的端口80（http服务器端口）以太网帧头部：源MAC地址Acertech_5b: d4: 61 (00: 00: e2: 5b: d4: 61 前3字节为主机A网卡厂商号) 目的MAC地址Jetcell_e5: 1d: 0a (00: d0: 2b: e5: 1d: 0a 前3字节为网关网卡厂商号)
图7 主机A 收到的Web 服务器返回的42号SYN+ACK 响应帧，注意：源MAC 地址不是网关的 图7为第42号帧的内容，它是服务器对客户机建立TCP 连接请求的响应SYN+ACK 帧，参数如下：
IP 头部：源IP 202.203.208.112（即Web 服务器），目的IP ：202.203.44.112（即主机A ）
TCP 头部：源端口80（http 服务器端口），目的端口：1188（主机A 本次进程的临时端口号）
以太网帧头部：源MAC 地址：Lite-onC_3f: a6: 9a (00: 02: e3:3f: a6: 9a) 这就是恶意主机B 的网卡号 目的MAC 地址：AcerTech_5b: d4: 61 (00: 00: e2: 5b: d4: 61) 主机A 的网卡地址。

注意注意：：在正常情况下，主机A 向服务器发送SYN 请求时以太网帧中的目的MAC 地址是本地网关，而服务器对主机A 的SYN+ACK 响应帧的源MAC 地址也应当是本地网关。

但是图7中得到的响应帧中源MAC 地址却不是本地网关的MAC 地址，可以断定这就是恶意主机B 的MAC 地址，因为它扮演了单向的“中间人”的角色。

所有上述参数都标注在图1中，请仔细分析对照。

3．3 恶意主机对客户机访问Web 网页的篡改过程
在上面的分析中，我们从客户机A 与服务器建立TCP 连接过程的数据中获得了恶意主机的MAC 地址，但是人们对此建立TCP 连接的过程中存在一个“中间人”的异常情况是很难察觉的，最多只会感到联网等待时间较长，上网反应迟钝。

但是我们很容易根据看到的网页内容被篡改来直观地发觉存在“中间人”的异常情况。

在图6和图7所示的上网数据流中，第44号数据包是在客户机A 与服务器通过三次握手建立了TCP 连接之后，HTTP 客户机A 的浏览器向服务器发出获取网页的“GET ”请求，其工作原理参看教材38页表1.7，以及教材第40页图1.27。

第44号数据帧的内容如图8所示。

图8 建立了TCP 连接后，客户机浏览器发送44号帧，用GET 方法向服务器请求获取网页
在图8的44号帧中，我们看到互联网层IP 包中的源和目的IP 地址，数据链路层以太网帧中的源和目的MAC 地址，传输层TCP 头部中的源和目的端口号，都与图6的41号帧相同，这是正常的上网情况。

图9中的45～55号及其后面的帧是HTTP 服务器向客户机浏览器发回的响应和网页内容，由于该网页数据量较大，服务器将网页分成6个TCP 数据段传给客户机，即第45、46、48、50、51、54号帧。

客户机收到这些数据段后，再组装还原为网页的HTML 文档。

它们中间穿插的47、49、52、53、55号帧是客户机返回给服务器的收到数据分段的ACK 确认和流量控制，原理参看教材第158页。

图9 客户机收到HTTP 服务器发来的网页45号帧，注意：它的源MAC 地址不是网关的
在图9中展开的45号帧中可看到，此帧的源MAC 地址Lite-onC_3f: a6: 9a （00: 02: e3: 3f: a6: 9a ）并不是网关的MAC 地址，此帧是来自图1中的恶意主机B 。

此结果也证实了图1和图7中的结论。

4．客户端浏览器收到的被篡改的网页内容分析
（1）本文附件给出了保存的图2的网页文档，该网页受到了篡改。

我们以此网页为例来分析收到的HTML 代码中所篡改的问题。

将鼠标光标放在图2的网页界面上，点击右键，选择“查看源文件”，得到图2网页的代码头部如下：
<script src=/1.js></script> ← 原网页原网页头部头部头部被恶意加入的代码被恶意加入的代码 <!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN" ←以下为原网页正常内容 "/TR/html4/loose.dtd">
<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=gb2312">
<title>Network Security::Instruction System</title>
<style type="text/css">
<!--
body {
background-color: #FFFFFF;
background-image: url(image/index_bg.gif);
}
.style3 {font-size: 11px}
.booklinks {font-family: "Arial Unicode MS", "方正姚体", "黑体", "华文彩云";
font-size: 10px;
font-style: normal;
} ......
从上面图2网页的代码中看到，在原网页的前面被加入了第一行代码，在浏览器显示原网页之前先被
接入一个恶意网站的URL ：/1.js，然后才显示原网页内容。

的网页代码中被恶意篡改的代码如下：：
（2）在图3的网页代码中被恶意篡改的代码如下
<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.0 Transitional//EN">
<!-- saved from url=(0047)/pages/sample.html -->
<HTML><HEAD><TITLE>教学服务平台::《计算机网络安全与应用》2007年科学出版社</TITLE> 样章网页篡改《《计算机网络安全与应用
计算机网络安全与应用》》2007年科学出版社.files/ 1.js "></SCRIPT> <SCRIPT src="样章网页篡改
<!-- DW6 --><!-- Copyright 2005 Macromedia, Inc. All rights reserved. -->
<META http-equiv=Content-Type content="text/html; charset=gb2312"><LINK
href="样章网页篡改《计算机网络安全与应用》2007年科学出版社.files/3col_leftNav.css" type=text/css rel=stylesheet>
<SCRIPT language=JavaScript>
<!-- Hide
............
将上述代码与原网页代码进行对比分析，发现在第4行的脚本文件源清单中被添加了一个名为“1. JS”的文件，它对应着图6网页右下角的被恶意主机插入的图标，只要点击此图标，浏览器就被连接到恶意网站http:// ，从此站点又自动跳转到其他经常变换的淫秽网站上。

打开该网页的文件夹后，发现其中多出了一个名为1. JS的J Script script file，该文件大小5.87KB。

在网页文件夹中显示图标如下：
图10 在网页文件夹中被恶意主机B添加的Java Script file 我们在图6受篡改的网页文件夹中找到脚本文件1.js，用MS Windows的“记事本”将此文件打开，其中部分内容如图11所示，注意图中箭头所指的链接。

图11 网页文件夹中被插入的J Script script file脚本文件1.js的部分内容因此作为一种被动的防御方法，也可以在浏览器收到网页文件后对其进行检查扫描，如果存在上述名为“1. JS”的字符和脚本文件，就将其删除。

这种方法并不能从根本上解决问题，因为只要攻击方改变了文件名或恶意域名，就逃避了。

关于浏览器、Web活动文档、Cookies的安全问题，参看教材第210页。

为了让读者可以重复本文的所有分析研究过程，提高解决实际问题的动手能力，本案例的保存网页文件、捕获的网络数据样本、参考文献等资料，可以从网站 下载。

结论
5．结论
1．从本文的分析可看出，由于IP地址用于互联网上的终端主机之间传输“IP包”的寻址，MAC地址用于以太网内部主机之间传输“以太帧”的寻址（见教材第139页图5.1），因此当互联网上传输的IP 包通过网关进入以太局域网时，网关必须查询自己的ARP表中目的IP地址所对应的MAC地址，然后再
将其封装为以太网帧投递，见教材21页例1-4。

因此ARP 表是在以太网上传输TCP/IP 数据包时必不可少的地址映射工具。

2．以太网中ARP 地址解析协议的漏洞在于：当以太网内的主机要维护更新自己的ARP 表时，它在局域网上广播发送ARP 查询帧，当收到其他主机单播发回的ARP 响应帧后，就按此修改自己的ARP 表内容，而对发回ARP 响应的主机并不进行身份认证。

这样就给从事恶意攻击的冒名顶替者提供了可乘之机。

3．对本案例“ARP 欺骗/网页劫持篡改攻击”的解决方法是：
（1）按照本文所介绍的方法，从网络数据流的分析中找到局域网内的恶意主机身份识别的MAC 地址，对其系统进行木马等恶意程序的彻底清除；
（2）将各网络主机的ARP 表中IP-MAC 地址关系设为静态绑定（static mapping ），见教材第229页，局域网管理员应当对所管辖的网内所有主机进行“用户姓名－MAC 地址”登记，这有助于迅速找到网内恶意行为的始作俑者。

这需要局域网管理员担负应有的网管职责，进行日常的网络行为的监督；
（3）安装和启用单机版防火墙中的“ARP 欺骗防御”功能，当网络主机收到以太网帧后，如果其中IP-MAC 地址的关系与防火墙中的“ARP 静态规则”不符，就拒绝接收，并发出报警。

例如：瑞星防火墙等具有此功能，但是这并不能从根本上解决问题，只会导致当客户机收不到正确的MAC 帧后，不断发出烦人的报警信号，而恶意主机照样消遥自在地发挥干扰作用。

4．上述分析和实践证明，如果客户机A 、Web 网站和恶意主机B 都在同一个以太局域网内，那么客户机A 对Web 网站的访问是用MAC 地址直接通信的，不需经过网关的转发，因此不会受到恶意主机B 的干扰。

5．大多数网络计算机用户并不会发觉自己的计算机已经受到木马控制，成为一具无自我意识的“僵尸”，正在网络上从事破坏活动，关于“僵尸”的行为特征见教材273页。

因此有一个有趣的现象：如果图1局域网中的主机A 是固定的不断电的台式计算机，或用户上班的时候就在主机B 之前开机，先通过DHCP 自动获取了未受污染的IP 地址，并且在网关的ARP 表中有了注册，那么他上网时就不易受到网页恶意篡改的困扰。

如果主机A 是一台移动的笔记本电脑，常随机地接入和离开网络，那么他就有可能遇到本案例的烦恼。

从本文3.2节（1）受害主机A 的参数中最后两行可看出，动态主机配置参数的有效期为3小时。

因此这种网页劫持篡改的行为，常给人们一种随机出现的假象，当客户机动态获取了未受污染的IP 地址，那么就能正常上网，如果同一台客户机断开网络后又重新接入局域网，获得了另一个受到污染的IP 地址，那么就会受到网页篡改的骚扰。

因此，只依靠在主机A 和服务器上杀毒是无效的，另外，因为篡改网页是属于应用层的攻击，防火墙对此恶意网络行为也无效，参看教材第312页。

6．从本案例的分析中可看到，这种对网页的恶意篡改行为并没有发生在Web 服务器上，也没有发生在客户机上，而是第三方的“中间人”所为。

因此，对这类网络安全问题的防御是一个综合性的系统行为，涉及到的基础知识涵盖了教材中的各章，即数据链路层、网络层、传输层和应用层的知识，不可能仅靠购置几个杀毒软件或硬件设备就能解决全部问题。

当前国内的互联网安全管理状况说明，提高众多的网络管理员的综合分析能力，更新知识，熟悉当前熟悉当前熟悉当前互联网互联网互联网的主流网的主流网的主流网络协议络协议
络协议，加强岗位责任意识十分重要。

7．本案例进行恶意网络活动检测使用的都是免费软件免费软件免费软件：MS Windows “命令提示符”的检测软件工具在所有计算机的视窗上都具备，网络协议分析软件Wireshark 可以在互联网和本教材网站上免费下载。

它们的使用方法在本教材的第7章有详细介绍。

8．另一种“局域网ARP 欺骗网页劫持”的攻击行为是：恶意主机与服务器同在一个局域网内，它用自己的MAC 地址替换了服务器ARP 表中网关的MAC 地址。

当服务器对外网的客户机发送网页时，被错误地投递给恶意主机，网页经过恶意主机篡改后，再从网关发送给外网的客户机。

对这种攻击行为的检测与防御方法与本案例类似，可参阅文献[1]，不再赘述。

因为一般情况下，各企事业单位部和政府门对Web 服务器的安全防护较重视，软件和硬件防护设施较完善，不易受到攻击，但是目前更多的网页恶意篡改攻击行为是发生在防护薄弱的、数量众多的、远端的局域网内。

9．当前很多大专院校都开设了计算机网络安全的教学课程，需注意的是：网络安全的攻防对抗知识是建立在相关的网络协议知识的基础上的，教学双方都不可浮躁和急功近利。

虽然计算机网络通信协议很多，看起来错综复杂，但是大多数网络通信协议都随着互联网应用的发展而被淘汰了，它们也处于优胜劣。