欺骗技术(精选十篇)
欺骗技术 篇1
目前, 利用ARP欺骗进行的网络攻击十分普遍, 然而, 随着网络管理防范意识的加强和各种防范ARP攻击措施如MAC与IP双绑定, PC安装ARP防火墙的实行, ARP攻击变的不再那么容易。可以说, ARP攻击和防御手段都已经日趋成熟。然而, 笔者目前发现交换环境下一种不同于A R P攻击的新的M A C欺骗攻击方式出现, 可以轻易的绕过A R P防火墙使现有的一些ARP攻击防范措施失效。
1 传统的ARP欺骗攻击分析
1.1 ARP欺骗攻击的原理
1.1.1 ARP协议原理
ARP协议 (Address Resolution Protocol) 即地址解析协议, 是局域网中解决I P地址到硬件M A C地址映射的协议。在TCP/IP参考模型中, IP地址只是主机在网络中的逻辑地址, 若将网络层中传输的数据报交给目的主机, 必须知道该目的主机的物理地址 (MAC地址) , 这是因为二层的以太网交换设备并不能识别32位的IP地址, 而是以48位的物理地址 (MAC地址) 传输以太网帧的;因此IP地址与MAC地址之间就必须存在一种对应关系, 并且计算机中应当存放这种对应关系的转换表, 同时能够进行动态更新, 而ARP协议就很好地解决了这些问题。
ARP协议工作的过程是:数据报时, 在其ARP表中查看有无主机B的IP地址。如有, 即可查出对应的MAC地址, 然后, 将该数据报发往此MAC地址。在查不到主机B的IP地址的情况下, 主机A就自动运行ARP, 并按照以下步骤找出主机B的M A C地址。
(1) A R P进程在本局域网上广播发送一个A R P请求分组, 此分组上有主机B的IP地址, 也有主机A自身IP到MAC地址的对应关系。
(2) 在本局域网中的所有主机上运行的ARP进程都收到此ARP请求分组。
(3) 主机B在ARP请求分组中见到自己的IP地址, 就向主机A以单播的形式发送一个A R P响应分组, 写入自己的MAC地址, 同时, 主机B将请求分组当中的主机A的IP地址到M A C地址的对应关系写入自己的A R P表当中。
(4) 主机A在收到主机B的ARP响应分组后, 就在其ARP表中写入主机B的IP地址到MAC地址的对应关系。
如上所述, ARP协议可以很好的保证同一网段内主机之间或者与网关之间的通信, 但是, ARP协议是基于网络之中所有的主机或者网关都是可以信任的前提工作的, ARP协议中缺乏认证机制, 局域网内的任何一台主机都可以随意的伪造ARP包, 因此, 针对ARP协议的攻击是很容易的。
1.1.2 ARP攻击过程
(1) 攻击者可在两台正在通信的主机A, B之间充当中间人 (man-in-the-middle) , 假冒主机B的IP地址, 而MAC地址为攻击者的M A C地址来欺骗主机A将数据发往攻击者的机器, 并且攻击者可开启IP路由功能, 将数据包再转发至主机B。同样, 对主机B可实施类似的欺骗, 因此, 主机A, B之间的所有通信内容都被攻击者窃听。
(2) 对主机A发送伪造的ARP应答报文, 假冒主机B的IP地址, 但MAC地址设为不存在的一个硬件地址, 主机A接收此报文后错误地刷新ARP高速缓存中主机B的IP地址与MAC地址的映射关系, 导致主机A与主机B的网络通信中断。这种方法属于拒绝服务 (Denial of Service, DoS) 攻击, 网络上流行的网络执法官等软件就是采用ARP欺骗机制, 发送错误的网关M A C地址给非法用户, 使其通信中断。
1.2 ARP欺骗攻击的防范
针对ARP欺骗, 解决办法有很多, 目前主要有主机与交换机双向的MAC地址绑定, 在PC端使用ARP防火墙等防护软件。
主机与交换机双向的MAC地址绑定是针对ARP欺骗动态实时更新的特点, 将IP和MAC静态绑定。在网关和主机都进行IP和MAC的绑定, 这样双向绑定令ARP欺骗无从进行。
ARP防火墙等防护软件一般有被动和主动防御的功能。被动防御方式中根据预先设定的网关静态的IP和MAC的绑定, 拦截伪ARP包, 保护ARP缓存, 从而实现保护。而主动防御方式则是在网络上不断广播主机正确的IP和MAC, 从而令伪ARP包建立的错误IP-MAC映射无法存在, 但会给这种方式网络带来一定负荷。
2 MAC欺骗攻击的分析
2.1 MAC欺骗攻击的原理
在交换环境中, 接入层交换机的转发过程是这样的:交换机的一个端口收到一个数据帧时, 首先检查改数据帧的目的MAC地址在MAC地址表 (CAM) 对应的端口, 如果目的端口与源端口不为同一个端口, 则把帧从目的端口转发出去, 同时更新M A C地址表中源端口与源M A C的对应关系;如果目的端口与源端口相同, 则丢弃该帧。交换机可以识别数据包中的M A C地址信息, 根据M A C地址进行转发, 并将这些MAC地址与对应的端口记录在自己内部的一个地址表中 (如图1) 。具体的工作流程如下:
(1) 当交换机从某个端口收到一个数据包, 它先读取包头中的源M A C地址, 这样它就知道源M A C地址的机器是连在哪个端口上的。
(2) 再去读取包头中的目的MAC地址, 并在地址表中查找相应的出往端口。
(3) 如表中有与这目的MAC地址对应的端口, 把数据包直接复制到这端口上。
(4) 如表中找不到相应的端口则把数据包广播到所有端口上, 当目的机器对源机器回应时, 交换机又可以学习一目的MAC地址与哪个端口对应, 在下次传送数据时就不再需要对所有端口进行广播了。
不断地循环这个过程, 对于全网的MAC地址信息都可以学习到, 交换机就是这样建立和维护它自己的地址表, 这是交换机的基本工作过程 (如图1) 。
现有如下的工作场景:一个4口的switch, 端口分别为Port.A、Port.B、Port.C、Port.D对应主机A, B, C, D, 其中D为网关。当主机A向B发送数据时, A主机按照OSI往下封装数据帧, 过程中, 会根据IP地址查找到B主机的MAC地址, 填充到数据帧中的目的MAC地址。发送之前网卡的MAC层协议控制电路也会先做个判断, 如果目的MAC相同于本网卡的MAC, 则不会发送, 反之网卡将这份数据发送出去。Port.A接收到数据帧, 交换机按照上述的检查过程, 在MAC地址表发现B的MAC地址 (数据帧目的MAC) 所在端口号为Port.B, 而数据来源的端口号为Port.A, 则交换机将数据帧从端口Port.B转发出去。B主机就收到这个数据帧了。这个寻址过程也可以概括为IP->MAC->PORT, ARP欺骗是欺骗了IP/MAC的对应关系, 而MAC欺骗则是欺骗了MAC/PORT的对应关系。
2.2 MAC欺骗攻击过程
工作环境为上述的4口swith, 和ARP攻击类似, 攻击者可在两台正在通信的主机A, B之间充当中间人 (man-in-themiddle) , 这里, 是A主机劫持B主机和网关之间通信的数据。
首先, A发送任意da=网关.mac、sa=B.mac的数据包到网关。这样就表明b.mac对应的是port.a, 在一段时间内, 交换机会把发往b.mac的数据帧全部发到a主机。这个时间一直持续到b主机发送一个数据包, 或者另外一个da=网关.mac、sa=b.mac的数据包产生前。接下来, A主机收到网关发给B的数据, 记录或修改之后要转发给B, 在转发前要发送一个请求B.MAC的广播, 这个包是正常的MAC信息为:da=FFFFFFFFFF、sa=a.mac。这个数据帧表明了a.mac对应port.a, 同时会激发b主机响应一个应答包MAC信息为:da=a.mac、sa=b.mac这个数据帧表明了b.mac对应port.b至此, 对应关系已经恢复, A主机将劫持到的数据可顺利转发至B。只要A主机保持高发包的频率, 保持错误的映射关系, 就能成功的对交换机欺骗从而不断的获得本该发送给B主机的数据包。而如果A主机没有将数据转发B主机的过程, 这就变成一种拒绝服务攻击, B主机的网络连接就将受到影响。
2.3 MAC欺骗攻击的危害及防御措施
和A R P欺骗攻击类似, 这种M A C欺骗攻击也会造成各种危害, 如通过拒绝服务攻击造成网络的混乱甚至瘫痪。如果攻击主机截取数据再加以修改转发, 利用部分主机IE浏览器等漏洞, 或者通过网页挂马等方式在网络中传播, 窃取网络中用户的数据, 将直接威胁网络信息安全。
由于这种M A C欺骗攻击方式并非利用A R P地址解析协议的漏洞, 而是针对交换机PORT-MAC映射关系的欺骗, 因此, 针对传统ARP欺骗的一些防御措施比如IP-MAC双绑定, ARP防火墙等方式无法防御这种攻击。为防御这种攻击方式, 可以采取划分静态VLAN的方式, 减小其危害。如果要从根本上解决这种攻击, 针对其攻击的原理只有在交换机上进行IP-MAC-PORT的绑定。但如果采用的是现在接入层大量应用的自适应交换机, 无法进行绑定操作的话, 这种攻击将很难防范。
3 结语
本文所讨论的这种攻击方式, 尚未如ARP欺骗攻击那样被病毒利用大规模的流行, 但已经出了一些利用这种方式进行嗅探和劫持的软件。为了网络信息的安全, 网络管理员应认真分析攻击的特点, 加强安全防范, 保护网络系统的信息安全。
参考文献
[1]谢希仁.计算机网络[M].北京:电子工业出版社.2003.
[2]任斌.ARP攻击分析及防御解决方法[J].长春工程学院学报 (自然科学版) .2008.
ARP欺骗原理与防护技术研究 篇2
地址解析协议;ARP欺骗;MAC地址
1.ARP协议简介
ARP协议是“Address Resolution Protocol”(地址解析协议)的缩写。在以太网中,一个主机要和另一个主机进行直接通信,必须要知道目标主机的MAC地址。它是通过地址解析协议(AddressResolution Protoco,l ARP)获得的。ARP协议是一个网络层子协议,它用于将网络中的IP地址解析为硬件地址(MAC地址),以保证通信的顺利进行。
2.ARP协议的工作原理
在每台安装有TCP/IP协议的电脑里都有一个ARP缓存表,表里的IP地址与MAC地址是一一对应的,如表1所示。
以主机H(192.168.1.5)向主机A(192.168.1.1)发送数据为例。当发送数据时,主机H会在自己的ARP缓存表中寻找是否有目标IP地址。如果找到了,也就知道了目标MAC地址,直接把目标MAC地址写入帧里面发送就可以了;如果在ARP缓存表中没有找到相对应的IP地址,主机H就会在网络上发送一个广播,目标MAC地址是“FF.FF.FF.FF.FF.FF”,这表示向同一网段内的所有主机发出这样的询问:192.168.1.1的MAC地址是什么。网络上其他主机并不响应ARP询问,只有主机A接收到这个帧时,才向主机H做出这样的回应:192.168.1.1的MAC地址是00-aa-00-62-c6-09。这样,主机H就知道了主机A的MAC地址,它就可以向主机A发送信息了。同时它还更新了自己的ARP缓存表,下次再向主机A发送信息时,直接从ARP缓存表里查找就可以了。
ARP协议安全缺陷。在TCP/IP协议的网络环境下,ARP工作时,送出一个含有所希望的IP地址的以太网广播数据报。一个IP数据报走到哪里,要怎么走主要是靠路由表定义。但是,当IP数据包到达该网络后,哪台机器响应这个IP包却是靠该IP包中所包含的硬件MAC地址来识别。也就是说,只有机器的硬件MAC地址和该IP包中的硬MAC地址相同的机器才会应答这个IP包,所以,在每台主机的内存中,都有一个ARP→硬件MAC地址的转换表。通常是动态的转换表(该ARP表可以手工添加静态条目)。
ARP欺骗原理。典型的ARP欺骗过程如下:
假设局域网分别有IP地址为192.168.1.1、192.168.1.2和192.168.1.3的A、B、C三台主机,假如A和C之间正在进行通讯,此时B向A发送一个自己伪造的ARP应答,而这个应答中的数据为发送方IP地址是192.168.1.3(C的IP地址),MAC地址是BB-BB-BB-BB-BB-BB,当A接收到B伪造的ARP应答,就会更新本地的ARP缓存,这时B就伪装成C了。同时,B同样向C发送一个ARP应答,应答包中为发送方IP地址192.168.1.1(A的IP地址),MAC地址BB-BB-BB-BB-BB-BB(A的MAC地址本来应该是AA-AA-AA-AA-AA-AA),当C收到B伪造的ARP应答,也会更新本地ARP缓存,这时B又伪装成了A。这时主机A和C都被主机B欺骗,A和C之间通讯的数据都经过了B,主机B完全劫持目标主机与其他主机的会话。
ARP欺骗一般分为两种:主机型ARP欺骗。欺骗过程:A欺骗B,A告诉B,我(A)就是C,当然告诉的是真IP地址和假MAC地址,使B不能与C连接。若C是网关,B就不能上外网Internet了。
网关型ARP欺骗。欺骗过程:B充当中间人角色向两个方向发送ARP欺骗包,使A的上网数据包经过B再到C,又使C的返回数据经过B再到A,卡在中间,以达到窃取数据的目的。B发送ARP欺骗包给A,B告诉A,我(B)就是网关;同时,B又发送ARP欺骗包给真正的网关C,告诉真正的网关C,我(B)就是A,这样B就欺骗了双方,接着B通过劫持A和C之间的通信会话,就可以窃听数据了。
从影响网络连接通畅的方式来看,ARP欺骗分为两种,一种是对路由器ARP表的欺骗;另一种是对内网PC的网关欺骗。
3.ARP欺骗防范措施
建立DHCP服务器,另外所有客户机的IP地址及其相关主机信息,只能由网关这里取得,网关这里开通DHCP服务,但是要给每个网卡,绑定固定唯一IP地址。一定要保持网内的机器IP/MAC一一对应的关系。这样客户机虽然是DHCP取地址,但每次开机的IP地址都是一样的或手工清除PC和网关ARP表项,从新学习正确的ARP信息。ARP欺骗发生后的PC和网关设备的ARP表被篡改了,这样我们可以通过手工方式来清除ARP表项,然后让双方重新学习。
主机:arp–d
网关:clear arp。
建立MAC数据库,把局域网内所有网卡的MAC地址记录下来,每个MAC和IP、地理位置统统装入数据库,以便及时查询备案,PC机上静态绑定网关MAC地址,防止对主机的欺骗。在主机上可以使用静态的ARP绑定网关的IP地址和网关的MAC地址,比如在PC机上配置autoexec.bat批处理文件:
@echo off
arp–d
arp–s主机ip地址主机mac地址//mac地址格式为xx-xx-
xx-xx-xx-xx。
网关机器关闭ARP动态刷新的过程,使用静态路由,这样的话,即使ARP欺骗攻击网关的话,对网关也是没有用的,因此可以确保主机安全。网关建立静态IP/MAC捆绑的方法是:建立/etc/ethers文件,其中包含正确的IP/MAC对应关系,格式如下:192.168.2.3208:00:4E:B0:24:47然后在/etcrc. d/rc. local最后添加: arp -f生效即可。
网关监听网络安全。网关上面使用抓包程序截取每个ARP程序包,用脚本分析软件分析这些ARP协议。ARP欺骗攻击的包一般有以下两个特点,满足之一可视为攻击包报警:以太网数据包头的源地址、目标地址和ARP数据包的协议地址不匹配,或者ARP数据包的发送和目标地址不在自己网络网卡MAC数据库内,或者与自己网络MAC数据库MAC/IP不匹配。这些统统第一时间报警,查这些数据包(以太网数据包)的源地址(也有可能伪造),就大致知道哪台机器在发起攻击了。
使用支持端口隔离的二层交换机。通过端口隔离特性,可以将不同用户的端口划分到同一个VLAN,不同用户之间不能互通,从而增强了网络的安全性,阻止了ARP病毒源的机器对网络的影响,提供了灵活的组网方案,同时节省了大量的VLAN资源。
安装杀毒软件,及时升级病毒库,定期全网杀毒。
[1]陈 明.网络协议教程[M].北京:清华大学出版社,2004
[2]杨义先等.网络安全理论与技术[M].北京:人民邮电出版社,2003
基于ARP欺骗的IP地址管理技术 篇3
无论是在公用电话系统中, 还是在专用电话系统中, 都是靠电话号码来识别电话用户。同样, 在基于TCP/IP协议的网络中, 无论是在广域网的还是在局域网中, 都是用IP地址来区别在网络中活动中不同计算机, 通过IP地址这个“身份”与其他工作站进行沟通交流。在一个用户数量较多的网络中, 只要掌握每个用户的IP地址, 就可以有效的实现网络的安全管理, 并确保网络处于高效运行状态之中。现实情况是随着网络应用的普及和网络客户急剧膨胀, 作为网络管理基本任务范畴之一的网络地址管理工作成为一个破费脑筋的工作, 因为IP地址冲突和IP地址盗用所带来的麻烦相继而来, 特别是IP地址的盗用不仅影响到合法用户的正常使用, 同时也有由于收费策略原因造成用户经济上的损失, 更有甚者使用他人的地址在网上发布非法信息、攻击他人主机、破坏网络安全, 其影响将更为严重。本文首先对目前业已存在的IP地址管理技术进行分析讨论, 并进而针对这些技术中存在的不足, 提出了一种全方位的IP地址管理技术, 并给出了具体的实现方法。
1 传统IP地址管理方法和问题
为了解决当前在企业网等局域网中因为随意改动IP地址所引起的IP地址冲突、IP地址盗用、非授权IP地址使用等给网络管理带来的挑战, 也为了能够有效地管理网络, 实现网络故障的快速定位。目前普遍采用的做法是要求用户申报计算机的MAC地址, 并通过IP与MAC地址的绑定来实现对IP地址的管理。
1.1 基于接入交换机端口的MAC地址绑定控制方法
通过在接入交换机上命令设置某个端口绑定一个具体的MAC地址进行控制, 即在TCP/IP第二层进行控制。这样只有具有这个MAC地址的主机才可以使用网络, 且在对该主机的网卡进行了更换或者在这个端口上连接了其他MAC地址主机的情况下, 可以保证网络都不可用, 除非删除或修改该端口上绑定的MAC地址, 才能正常使用。此方案的最大缺点在于它需要网络上接入交换机全部采用可以网管的交换机提供用户接入, 这一方面会带来一个实施成本问题, 另一方面端口绑定的实际操作将会导致大量的配置工作量, 这使得在交换机端口进行MAC地址绑定方法并不是一个能够被普遍采用的解决方案, 在某些应用场合, 它仅仅具有理论上的可能性。
1.2 路由器隔离技术
采用路由器隔离技术的主要原理依据是M A C地址作为以太网卡地址全球惟一不能改变。一种实现方法是通过SNMP协议定期扫描各路由器的ARP表, 获取当前IP和MAC的对照关系, 并和事先合法的IP和MAC地址比较, 如不一致, 则为非法访问。对于非法访问, 有如下几种办法可以禁止其网络行为:一是使用正确的IP与MAC地址映射覆盖非法的IP-MAC表项;二是向非法访问的主机发送ICMP不可达的欺骗包, 干扰其数据发送;三是修改路由器的存取控制列表, 禁止非法访问。采用路由器隔离的另外一种实现方法是使用静态ARP表, 即路由器中IP与MAC地址的映射不通过ARP协议来获得, 而采用静态设置。这样, 当非法访问的IP地址和MAC地址不一致时, 路由器根据正确的静态设置转发的帧就不会到达非法主机。这种方法的缺点是无法对跨网段内的IP和MAC地址进行绑定, 因为经过路由器或者三层交换机的数据报头的源MAC地址已经被替换成了三层设备的端口MAC地址, 因此这种方法具有相当大的应用局限性。
前面所述的两种IP与MAC地址绑定方法可以在一定程度上解决IP地址冲突、IP地址盗用、非授权IP地址使用这个问题, 但也会带来以下几个问题: (1) 当需绑定的IP地址数目较大时, 工作量非常巨大; (2) 当IP与MAC的对应信息发生变化时, 比如用户的计算机网卡换了, 或者该IP分给了另外一台计算机, 必须再次手工更新原来的绑定信息, 操作上很不灵活; (3) 绑定操作需要较专业的技术人员完成, 导致工作量集中在个别人员身上。
2 ARP协议与网络登录行为分析
为了解决前面所述的IP地址管理技术存在的问题, 下面我们首先对ARP协议进行了介绍, 并对网络用户登录网络的行为进行了信息的分析, 以便为我们进行IP地址管理系统的开发提供理论依据。
2.1 ARP协议与ARP欺骗
ARP协议是一个地址解析协议 (Address Resolution Protocol, ARP) , 位于IP层面。TCP/IP网络依据IP地址进行数据包转发, IP地址是TCP/IP网络的第三层协议地址, 而当数据在物理层传输时必须依据物理硬件地址来识别主机或节点。因此, 在将数据从应用层发送到物理层之前, 必须将下一跳的IP地址解析成对应的物理硬件地址。ARP协议的作用就是获取TCP/IP网络上相关主机或节点的物理MAC地址, 并创建一个将MAC地址映射到主机IP地址的本地数据库, 以提供关于数据应如何传输以及传输到何处的信息。ARP协议规定, 在以太网环境中, 一个ARP请求消息被嵌入在一个以太网数据帧后, 该ARP请求包含目的主机的IP地址, 并将该以太网数据帧以广播方式发送给同网端上所有活动的计算机。一旦某台计算机收到这个ARP请求数据帧后, 都会检测其中的IP地址。与该IP地址匹配的计算机将发送一个ARP应答包, 这个包包含IP地址及对应的MAC硬件地址;而其他计算机则会丢弃收到的ARP请求, 且不发任何应答。当一台计算机发送一个ARP应答时, 这个应答消息并不在全网广播, 而是被放进一个以太网数据帧中直接发回给请求者。请求者收到应答后可以从IP数据报中获取所需要的目标硬件地址。
由于在网络上每一个活动主机上都有一个可以动态刷新的ARP高速缓存, 用以存放最近IP地址到硬件MAC地址之间的映射。在发送报文前, 主机先在ARP高速缓存中查找是否有目标IP地址对应的目的MAC地址。只有在找不到匹配项的情况下, 才通过发送ARP请求包进行地址解析, 这保证了ARP协议的高效运行。
由于ARP协议是建立在对局域网中所有主机完全信任基础上的, 主机接收到ARP请求或应答后就更新ARP缓存表, 而不对该请求或应答报的合法性进行验证, 而ARP欺骗正是利用了ARP协议的这种机制。网络中的某台主机可以通过人为地发送ARP应答帧或ARP请求帧的手段来动态刷新同一网段内其他活动主机的ARP缓存, 而只要在发送的ARP数据帧中, 填入伪造的MAC地址或IP地址, 就可以达到ARP欺骗的目的。
2.2 计算机网络登录行为分析
作为一个具有普遍意义的计算机网络登录行为例子, 下面来分析一台安装了Windows操作系统的计算机登录到局域网的过程。一旦一台计算机安装好Windows操作系统和网卡驱动后, 就缺省地安装了以下三个网络组件:MicroSoft网络客户端, Micro Soft网络的文件和打印机共享, Internet协议 (TCP/IP) 。只要在TCP/IP网络连接的“属性”里, 设置好本机的IP地址、掩码、网关地址和DNS地址, 就配置好了基本网络连接。
无论是重启计算机还是在更改了计算机Internet协议的TCP/IP属性后, 这台计算机系统都会首先取得本机设定的IP地址 (比如是1.1.1.1) 和MAC地址, 然后发出ARP请求广播包。但该ARP查询包的目标IP地址和源IP地址均被设置成1.1.1.1, 源M A C地址设置成该计算机的M A C地址, 目标M A C地址设广播地址。计算机发送该ARP查询包的目的是查看目前在网络上是否有计算机正在使用本机准备注册的IP地址;一般说来, 此ARP包要发三次, 在等待了三次之后, 如果该计算机没有收到该ARP包应答, 则认为目前没有计算机正在使用这个IP地址, 那么系统就以这个IP地址登录网络。如果在该计算机还安装了NetBIOS协议, 则该计算机还将发出三次NetBIOS的名字注册包, 用以在局域网上注册自己的计算机名;同样, 发出这个数据包三次之后, 如果没有收到回应, 那么该计算机即认为自己可以使用这个名字注册。这样, 装有基本网络协议的计算机的局域网登录过程就此结束。
3 ARP欺骗在IP地址管理系统中应用
虽说ARP欺骗对网络安全构成了严重威胁, 但通过对计算机登录网络行为分析, 网络管理和安全管理两种技术的综合, 我们提出了一种集VLAN管理、交换机管理、SNIFFER技术、以及ARP欺骗等技术的综合性IP地址管理解决方案, 彻底解决了目前局域网IP地址管理所面临的诸多问题。
3.1 系统工作原理与功能描述
图1给出了IP地址管理系统原理图。从图中可以看出, 在整个被管理的网络内部署了一个IP地址管理服务器, 而在被管理网络的每一个VLAN内均部署了一个IP地址客户端。
IP地址管理服务器主要功能包括:IP地址数据库建立和资源数据的自动获取与管理, 资源数据内容包括管理区域的起始IP地址、最终IP地址、子网掩码, 每个网络主机所对应的IP地址、MAC地址和主机名;IP地址使用管理策略的设定, 也即对网上使用的每一个IP地址定义一组属性, 如地址信息、管理信息、分配策略、绑定策略和监控策略等;实现对IP地址合法性进行检查等, 如依据IP管理策略, 对IP与MAC地址绑定关系、IP和MAC地址与交换机端口三者的绑定进行定时验证, 并对发生的违规情况采取相应制裁措施, 如进行网络屏蔽和强制关闭交换机端口等。
IP地址管理客户端主要功能包括从IP地址管理服务器数据库中端下载本网段的IP管理表, 并缓存在高速缓存中;辅助IP地址管理服务器实现本网段内主机信息的收集;接收并执行管理服务器指派的相应任务, 如对有关违规行为的处罚, 通知交换机对某个VLAN内的端口进行控制等。
3.2 ARP欺骗应用原理
系统采用分布式软件体系架构, 在整个被管理的网络内部署一台IP地址管理服务器, 而在每一个被管网段内均部署了一个IP地址客户端。服务器和网络主机或网络设备之间的通信采用SNMP协议, 而服务器和客户端之间采用端口可自定义的HTTP协议进行通信, 实现对防火墙透明穿透。客户端内容的更新采用两种实现方式, 一是可以通过在启动客户端IP管理机程序时自动到管理服务器抓取, 二是能够通过管理服务器端在数据库发生表格条目更新时自动地推送到相应的客户端IP管理机中。
在我们的具体实现中, 服务器端程序采用VC开发, 数据库为MS SQL Server。客户端采用系统无关数据包捕获函数WinPcap进行ARP数据帧的捕获, 并采用VC开发环境进行ARP数据帧解析和ARP欺骗程序开发。
图2给出了基于ARP欺骗原理在IP地址管理系统的应用示例图。我们在实施中将某个网段中安装了IP管理代理程序的计算机网卡设置成混杂模式后, 它就能接收到同网段上的所有注册ARP请求或应答帧。一旦代理计算机接收到了发自同网段某台计算机的注册ARP请求, 则可以通过相应代理软件, 实现对该ARP包的解析, 并获取发送该ARP包的主机IP地址和网卡MAC地址。之后将所获得的IP地址和MAC地址与已经从服务器端下载到本地缓存中的合法IP地址和M A C地址绑定数据表进行比对, 就可以判定该IP地址或MAC地址是否存在合法有效的绑定关系。如果判定结果为合法, 则IP管理代理保持沉默, 且不作任何反应;但如果判定发现该IP地址和MAC地址与制定的绑定策略不一致, 则认为在网上发生了IP地址盗用或者是未经允许计算机企图非法使用网络服务。此时管理代理一方面通过代理程序伪造一个ARP应答帧, 告知使用了非法IP地址或MAC地址的计算机, 该IP地址已经在用;另一方面向服务器主动发送一个通知消息, 告诉服务器本网段发生了IP地址违规使用情况, 则服务器将根据制定的IP管理策略, 对连接该IP地址或MAC地址的交换机端口采用相应的动作, 如通过SNMP协议将该交换机端口进行强制性关闭。通过ARP欺骗原理, 最终可以实现使用了非法IP地址或MAC地址的计算机永远也不能实现网络的正常注册和登录, 既而也无法享受网络提供的信息服务。
4 结束语
为了解决某些高水平计算机用户任意修改自己的IP地址或MAC地址而带来的轻则导致IP地址冲突, 重则导致严重影响网络信息服务系统运行, 甚至导致网络运行中断等恶性后果, 提出了对企业网客户端管理有必要精确到每台机器和每个人的要求。本文提出的基于ARP欺骗原理的IP地址管理系统正好能满足现如今对网络管理越来越精确化的要求, 且目前实施情况也证明了基于ARP欺骗原理的IP地址管理系统能确保网络运行顺畅。
参考文献
[1]谭思亮.监听与隐藏.北京:人民邮电出版社.2002.
[2]V.Jacobson, C.Leres and S.McCanne, Libpcap.Lawrence Berke-ley Laboratory.Berkeley.CA.Initial public release June1994.Avail-able now at http://www.tcpdump.org/.
欺骗技术 篇4
Interface: xxx.xxx.xxx.xxx
Internet Address Physical Address Type
xxx.xxx.xxx.xxx 00-00-93-64-48-d2 dynamic
xxx.xxx.xxx.xxx 00-00-b4-52-43-10 dynamic
...... ......... ....
这里第一列显示的是ip地址,第二列显示的是和ip地址对应的网络接口卡的硬件地址(MAC),第三列是该ip和mac的对应关系类型。可见,arp是一种将ip转化成以ip对应的网卡的物理地址的一种协议,或者说ARP协议是一种将ip地址转化成MAC地址的一种协议。它靠维持在内存中保存的一张表来使ip得以在网络上被目标机器应答。为什么要将ip转化成mac呢?简单的说,这是因为在tcp网络环境下,一个ip包走到哪里,要怎么走是靠路由表定义。但是,当ip包到达该网络后,哪台机器响应这个ip包却是靠该ip包中所包含的mac地址来识别。也就是说,只有机器的mac地址和该ip包中的mac地址相同的机器才会应答这个ip包。因为在网络中,每一台主机都会有发送ip包的时候。所以,在每台主机的内存中,都有一个 arp-- mac 的转换表。通常是动态的转换表(注意在路由中,该arp表可以被设置成静态)。也就是说,该对应表会被主机在需要的时候刷新。这是由于以太网在子网层上的传输是靠48位的mac地址而决定的,
通常主机在发送一个ip包之前,它要到该转换表中寻找和ip包对应的mac地址。如果没有找到,该主机就发送一个ARP广播包,看起来象这样子:
我是主机xxx.xxx.xxx.xxx , mac是xxxxxxxxxxx ,ip为xxx.xxx.xxx.xx1的主机请告之你的mac来
ip为xxx.xxx.xxx.xx1的主机响应这个广播,应答ARP广播为:
我是xxx.xxx.xxx.xx1,我的mac为xxxxxxxxxx2
于是,主机刷新自己的ARP缓存,然后发出该ip包。
了解这些常识后,现在就可以谈在网络中如何实现ARP欺骗了,可以看看这样一个例子:
一个入侵者想非法进入某台主机,他知道这台主机的防火墙只对192.0.0.3(假设)这个ip开放23口(telnet),而他必须要使用telnet来进入这台主机,所以他要这么做:
1、他先研究192.0.0.3这台主机,发现这台95的机器使用一个oob就可以让他死掉。
2、于是,他送一个洪水包给192.0.0.3的139口,于是,该机器应包而死。
3、这时,主机发到192.0.0.3的ip包将无法被机器应答,系统开始更新自己的arp对应表。将192.0.0.3的项目搽去。
4、这段时间里,入侵者把自己的ip改成192.0.0.3
5、他发一个ping(icmp 0)给主机,要求主机更新主机的arp转换表。
6、主机找到该ip,然后在arp表中加入新的ip--mac对应关系。
来自母亲的欺骗 篇5
孩子离不开母亲应该是正常的现象,独生子女对母亲有更强的依恋也是可以理解的。但对于这样一个智力超常,学习成绩好,性格又开朗的孩子来说,这样的表现似乎总有点原因。
为了了解孩子的发展史,心理学家仔细地询问了有关孩子早期抚养的情况。孩子出生以后,父母很注意早期教育,很早就教孩子认字。孩子不到1岁就能认字,到3岁时就可以自己读书,八九岁时已能轻松地阅读经典文学著作了。孩子的身体也很好,很少生病。在孩子的养育过程中似乎没有出现过什么明显的差错。然而,当问及有没有印象特别深的事情或体会时,这位母亲想起了这样一件事:孩子很小时,曾经因为母亲需要晚上工作而被送到亲戚家。开始几天孩子很开心也很听话。有一天妈妈抽空来看她,她们玩得很高兴,可是妈妈再要走就难了。为了安慰孩子,让她少哭一会儿,妈妈哄孩子说晚上回来接她,可是母亲并没有来接。孩子很伤心,闹着要妈妈。亲戚让她睡觉,告诉她说“妈妈工作忙不能来接你了。”孩子却坚持说“妈妈说好了要来的。”就这样,一直哭到深夜也不肯睡觉。据这位母亲回忆,后来又有过几次这样的经历。然后,孩子就再也不愿意被单独留在亲戚家,也不再相信妈妈会来接她的话了。看来,问题的症结就在这里。
早年的经历对一个人的情绪发展和个性形成有重要的影响。婴儿期正常的依恋关系,使孩子具有良好的安全感。而不正常的依恋往往暗示着早期经历中的某种挫折或消极的情绪体验。心理学家在研究婴儿的情绪发展时发现,依恋母亲是每个孩子都有的行为反应,但孩子之间存在明显的个体差异。这种差异除了有生物学的原因以外,更主要的与孩子早期所经历的情绪体验有密切关系。例如,同样由母亲将孩子带到一个陌生而刺激丰富的环境(如有各种各样玩具的房间),孩子通常有不同的反应。有的孩子会被玩具吸引而去摆弄玩具,只要母亲不离开视线,他们会很放心地独自玩耍。有的孩子则表现得很紧张,虽然对周围的环境也很好奇,却不敢离开母亲。他们紧紧地依偎在母亲身边,甚至抱着母亲。有的家长或许会认为,后一种孩子可能与母亲更亲近,与母亲的关系更密切,而前一类孩子可能跟母亲的关系比较疏远。实际上,研究者发现,不能离开母亲的孩子并不意味着良好的亲子关系。恰恰相反,这种紧张与孩子早期过多的消极情绪体验有紧密的联系。这些孩子的母亲或由于某种原因经常对孩子生气,当孩子“犯错误”时惩罚孩子,在孩子最需要的时候不一定能给予帮助。这样的孩子缺乏安全感,他们会紧挨着母亲,害怕母亲一旦离开,就会在自己最需要时得不到母亲的帮助。他们对自己最亲近的母亲并不信任。而前一类孩子则有较好的安全感和对母亲的信任感。
童年时,带有消极情绪的记忆是深刻的,对于一个聪明的孩子就更是如此了。童年时,孩子最信任的人就是母亲,来自母亲的欺骗对孩子信任感和安全感的打击就更为沉重。根据精神分析学家的观点,儿童早期的消极情绪体验可能会形成固定的情结进入人的下意识而在很长时间内影响今后的发展。
欺骗技术 篇6
关键词:DRFM,密集假目标干扰,脉冲压缩
雷达在现代战争中发挥着重要作用, 是防空预警和武器引导的重要情报来源。随着武器装备技术的发展, 对雷达的干扰技术和抗干扰技术研究受到更多地重视。目前对雷达干扰方法主要有压制干扰和欺骗干扰。压制干扰的实现方式一般有宽带噪声、噪声调频、宽带扫频干扰等方式, 其实质是采用大功率的干扰信号降低目标回波信号的信噪比, 压制敌方雷达的威力范围;欺骗干扰的实质是干扰机模拟产生雷达目标信号, 使雷达检测到虚假目标, 破坏雷达对真实目标的检测和跟踪, 其实现方法一般有脉冲前沿复制、移频干扰等DRFM干扰方法和DJS干扰方法[1,2,3]。
现代雷达广泛使用大时宽带宽积信号, 以降低雷达峰值发射功率和提高雷达的距离分辨力, 由于脉冲压缩处理技术可使目标回波信号获得几十d B的信号处理得益, 使得传统的噪声类压制干扰方法要达到同样的压制系数, 需要更大的干扰输出功率。DRFM可以对雷达信号进行长时间的相干存储, 能获得雷达的脉冲压缩处理得益, 是干扰现代相干体制雷达的高效方法。本文研究了DRFM干扰原理和工程实现方法, 并在此基础上提出一种采用密集假目标方法进行欺骗干扰和压制干扰的方法。
1 信号模型
在目标检测中, 目标的距离分辨力与雷达发射信号的带宽成正比, 因此为提高雷达的距离分辨力, 现代雷达系统广泛使用大时宽带宽积的信号, 如线形调频信号、相位编码信号、非线性调频信号。由于宽带的线性调频信号产生和处理均较容易, 容易获得较大的脉压信号处理得益, 且技术成熟, 所以在雷达系统中线性调频信号使用较为常见。
线性调频信号是通过非线性相位调制或线性频率调制获得大时宽带宽积。其信号模型为
式中, A为脉冲幅度;τ为脉冲宽度;fc为发射信号载频;为线性调频斜率;B为信号带宽;为矩形函数, 其表达式为
2 DRFM密集假目标干扰的实现方法
DRFM技术是针对现代相干体制雷达的有效方法, 其工作过程是雷达干扰设备首先通过侦察接收机截获雷达辐射信号, 并将信号样本附加多普勒频移后存储在存储器中, 然后根据干扰策略, 在适当的时间将干扰信号发出, 在特定的距离上形成假目标, 对雷达进行干扰[4]。系统组成框图如图1所示。
基于DRFM技术的延时叠加是生成密集假目标干扰信号的一种简便高效方法, 其将截获的雷达射频脉冲, 按照一定时间间隔进行延时叠加, 然后将此和信号在干扰触发脉冲的作用下连续转发多次, 便可在一定距离范围内产生大量的具有固定距离间隔的假目标干扰信号[5,6,7,8,9,10]。假设雷达脉冲宽度为N×ΔT, ΔT为延时叠加时间。雷达射频脉冲如图2所示。
按照时间间隔ΔT进行延时叠加生成的和信号如图3所示。
将此和信号连续转发M次形成的干扰信号, 经雷达脉冲压缩处理后便可在M×ΔT×C/2的距离范围内产生大量假目标, 假目标之间的距离间隔为ΔT×C/2。多次转发形成的干扰信号的等效形式如图4所示, 其形成的假目标个数为N+M-1。
3 目标检测CFAR处理
地面对空情报雷达一般采用MTI工作模式进行目标检测和跟踪, 目前采用数字阵列体制的相控阵雷达是其中的主力, 其信号流程为中频数字化、数字波束形成、脉冲压缩、MTI处理和CFAR目标检测。
脉冲压缩就是对接收信号进行匹配滤波处理, 其滤波器具有时延-频率特性, 延迟时间随频率变化, 从而实现脉冲内各频率分量在时域被积叠, 即压缩, 形成幅度增大、宽度变窄的脉冲信号。
MTI处理是指利用杂波抑制滤波器来抑制各种杂波, 提高雷达信号的信杂比, 以利于运动目标的检测。在雷达工程实现中MTI处理一般是采用重频参差的多脉冲对消处理方式消除盲速, 以优化MTI滤波器的速度响应曲线, 比如四脉冲对消或五脉冲对消处理。然后将MTI处理后结果与CFAR门限比较, 检测是否有目标存在。为降低单个脉冲的信噪比需求, 雷达一般在一个波位上发射多个脉冲, 然后对多组对消处理结果进行M/N准则检测输出。
CFAR处理是对需要进行目标检测的单元内的噪声和干扰电平进行估计, 并根据估计值设置门限, 再与该检测单元进行比较来判断是否有目标存在。CFAR处理可以保持信号检测时的虚警率恒定。CFAR处理方法有CA-CFAR、SO-CFAR、GO-CFAR、WCA-CFAR等方法, 他们的区别是在不同的杂波背景下确定最优的检测门限, 但其本质都是用于检测单元相邻的一组参考距离单元内的采样值来估计杂波功率, 工程实现的方法是在被检测单元前后各取M/2个参考单元, 然后按一定算法作杂波功率估计。因此, 在产生密集假目标干扰信号时, 若假目标的距离间隔较大, 假目标输出的MTI结果落在距离较远的距离单元上, 则输出的干扰信号不会抬高雷达CFAR门限, 在雷达显示器上将出现大量的假目标点迹;若假目标的距离间隔较小, 则假目标MTI输出将落在计算CFAR门限的参考单元内, 雷达CFAR门限将迅速提高, 在雷达显示器上将出现少量假目标点迹, 雷达也难以发现真实目标, 此时密集假目标干扰就变成了压制干扰。由于DRFM可以获得雷达的信号处理得益, 为达到相同的压制系数, 所需的干扰功率将比噪声压制干扰机节省几十d B, 是一种高效的压制干扰方式。
4 理论仿真
设雷达信号参数为:采用LFM信号, 调频带宽B=0.5 MHz, 脉冲宽度T=100μs;雷达为三变T, 脉冲重复周期分别为[3 100, 3 300, 3 500]μs, 在一个波位上发射12个脉冲, MTI处理采用四脉冲对消, 对基带复信号的采样时钟为1 MHz。
CFAR处理选择单元平均恒虚警算法, 检测单元前后间隔一个保护单元后各取10个距离单元作为参考单元进行杂波功率估计。虚警概率Pfa=10-8, 根据虚警概率公式计算得到单元平均恒虚警检测门限Y
式中, M=20为取的参考单元个数;Z为参考单元去平均得到的杂波估计;k0为常数;Y为CA-CFAR检测门限。一个波位的12个脉冲经过四脉冲对消处理产生9个MTI结果, 与各自的恒虚警门限比较后进行5/9检测, 每个距离单元上若有5次以上过门限, 则判定有目标存在。
在雷达200 km位置通过延迟叠加方法产生密集假目标干扰信号, 延迟时间间隔设为20μs或10μs, 进行仿真实验。
(1) 延迟叠加间隔为20μs (对应20个距离单元) , 将叠加结果连续转发5次, 仿真结果如图5~图6所示。
(2) 延迟叠加间隔为10μs (对应10个距离单元) , 将叠加结果连续转发10次, 仿真结果如图7~图8所示。
从以上仿真结果可以看出, 当假目标间隔大于计算CFAR门限所取的保护单元个数的1/2时, 密集假目标没有抬高CFAR检测门限, 经过检测处理将会形成假目标点迹;当假目标间隔小于计算CFAR门限所取的保护单元个数的1/2时, 假目标MTI结果抬高CFAR检测门限, 雷达将既检测不到假目标也检测不到真实目标。
5 结束语
基于DRFM技术产生的干扰信号可以获得雷达的脉冲压缩处理得益, 降低了干扰设备的辐射功率需求, 为干扰现代相干体制雷达提供了有力的技术手段。本文在DRFM干扰的原理基础上, 提出一种通过延迟叠加方法进行密集假目标干扰和压制干扰的方法。这种方法不仅可以灵活控制假目标的间隔和假目标的数目, 而且在工程实现中可以节省样本信号的存储容量和设备体积。理论分析和仿真结果证明, 文中基于DRFM的干扰方法具有良好的应用效果。
参考文献
[1]丁鹭飞.雷达原理[M].西安:西北电讯工程学院出版社, 1984.
[2]赵国庆.雷达对抗原理[M].西安:西安电子科技大学出版社, 2003
[3]吴顺君, 梅晓春.雷达信号处理和数据处理技术[M].北京:电子工业出版社, 2008.
[4]恽建波, 靳学明.密集假目标干扰的峰均比改善方法[J].舰船电子对抗, 2012 (2) :54-57.
[5]张玉芳.基于DRFM的雷达干扰技术研究[D].西安:西安电子科技大学, 2005.
[6]朱燕.相参雷达的信号处理与相干性干扰的研究[D].西安:西安电子科技大学, 2005.
[7]刘忠.基于DRFM的线性调频脉冲压缩雷达干扰新技术[D].长沙:国防科技科技大学, 2006.
[8]陈方予, 柯安琦, 李明.DRFM产生的假目标与真实雷达目标回波差别分析[J].航天电子对抗, 2008 (6) :41-44.
[9]李军虎, 肖金宝, 俞雷, 等.DRFM技术在雷达对抗中的应用[J].航天电子对抗, 2007 (4) :15-18.
欺骗技术 篇7
常见网络进攻主要是以下两种模型:一种是扫描特定端口, 发现漏洞并跟踪相应的服务后利用自动化攻击工具立刻展开攻击, 如:Nimda、RedCode、scriptkitts等蠕虫病毒;另一种模式是广泛扫描所有端口, 查找系统漏洞, 从中选取最有价值之处发起攻击, 如:advanced blackhat[1]。
为了应对网络攻击, 许多主被动网络安全手段被设计出来, 这其中, 通过网络欺骗技术来误导网络攻击是一种极具应用前景的主动的网络安全手段。网络欺骗技术通常作为边界网络安全中的最外层防护机制[2]。该项技术是通过欺骗使进攻者丢失进攻目标, 或通过误导提高进攻代价, 从而降低受保护网络被入侵的几率。
目前, 网络欺骗采用了旁路引导技术, 主要在以下两方面发挥作用[3]:①快速检测入侵者, 判定进攻技术及进攻意图;②欺骗入侵者, 使其错误选择攻击对象, 消耗入侵者的资源与时间。为了实现上述目的, 网络欺骗采用了构造欺骗空间、网络动态配置、多重地址交换、流量仿真等核心技术。其中, 现阶段构造欺骗空间技术可在一台32位系统PC上模拟出3 000个以上不同MAC的IP地址[4], 并逐一为其伪造不同的网络服务, 使得入侵者必须消耗大量的资源和时间来从众多地址和服务中寻找攻击对象。
1 网络欺骗技术安全性分析
网络欺骗技术可以很好地兼容防火墙、防毒网、IDS等目前普遍使用的传统网络安全技术, 与传统网络安全技术相比, 其具有响应迅速、定位准确的特点, 防护性能有了很大的提高。下面, 从预防、检测、响应三方面阐述网络欺骗技术对于提高网络安全性的作用。
网络欺骗技术中采用欺骗地址空间技术、慢响应、创建诱饵和欺骗信息等技术手段有效预防了网络攻击。如前所述, 网络攻击都是从扫描开始, 若我们通过网络欺骗技术构建一个比真实地址空间更大的欺骗地址空间, 入侵者将花费更多的时间和资源来扫描这个欺骗地址, 从而降低真实地址被扫描到的几率;慢响应是指当入侵者扫描欺骗空间或攻击诱饵时, 欺骗系统随机地给予伪目标比真实系统更慢的响应, 迷惑攻击者, 使其相信攻击产生了效果, 于是攻击者便会花费更多的时间和资源在伪目标上, 从而保护真实系统;诱饵和欺骗信息可以使攻击者相信自己是有价值的目标, 提高入侵者对自身发动攻击的机会, 大量消耗了入侵者的资源与时间, 降低真实系统被攻击的风险。
由于被创建的欺骗地址空间不为外界所知, 除流量仿真外任何与欺骗地址空间有关的网络流量都将被视为网络攻击, 这是欺骗技术实现检测功能的核心思想。基于设计初衷, 入侵者开始进攻后扫描到欺骗地址的几率很大, 根据其特征判断是否为攻击, 很容易被检测到, 且过程中不用还原网络报文, 这种检测思想与蜜罐一致, 可以有效避免误报和漏报。
为了对网络攻击进行有效响应, 网络欺骗技术准确记录入侵者的攻击行为, 通过虚假服务回应入侵者的服务请求, 控制防火墙阻断外部攻击报文, 并以邮件、短信或语音等形式报警。
2 网络欺骗技术阻断网络攻击的效果评价
衡量网络欺骗技术阻断网络攻击效果的评价指标如下:①消耗入侵者的时间;②减少对实际系统的进攻概率;③提高攻击的检出率。下面举例说明:实际系统以St表示, 实际系统地址总和为Nt, 扫描实际地址的平均响应时间为Tt;构建的欺骗系统以Sd表示, 欺骗地址总和为Nd, 扫描欺骗地址平均响应时间为Td。所在的网络环境如图1所示。由于欺骗系统采用了慢响应策略, 使得Td>Tt, 攻击报文在入侵者和被攻击系统间的往复时间为Tr。
2.1 消耗入侵者时间
依据攻击报文到达目标—目标响应—响应报文返回的顺序, 网络攻击采用并行扫描方式, 对实际系统St进行一次扫描耗时为:0. 5Tr+ Tt+ 0. 5Tr=Tt+Tr, 扫描欺骗系统Sd一次耗时为Td+Tr 。假设入侵者进行n1+n2次扫描, 其中扫描实际系统地址n1次, 扫描欺骗地址n2次, 扫描间隔平均为T1, 扫描欺骗的地址n2个报文中会有m个无响应被Sd丢弃, 这些无响应报文常为ICMP、 FIN 、SYN型。于是, 在不含欺骗地址的实际网络中, 进行 (n1+n2) 次扫描耗时不少于 (m+n-1) T1+Tt+Tr;而在由实际地址和欺骗地址共存的网络 (St+Sd) 中, 攻击扫描 (n1+n2) 次花费时间不少于 (n1+n2+m-1) T1+Td+Tr。例如, 在满足上述设置的某网络中进行nmap扫描, n1=147, n2=120, m=36, Tr=25ms, T1=0.4ms, Tt=0. 1ms, Td=110ms, 则在只有St的网络中扫描仅需89ms, 而在实际地址和欺骗地址共存的网络 (St+Sd ) 中扫描却耗时231.3ms, 在扫描次数较多时, 扫描欺骗网络耗时约相当于扫描实际网络耗时的k/ (m+n) 倍。
若网络攻击采用串行扫描方式, 采用上述算法, 当n1=40, n2=30, m=9, Tr= 20ms, T1=0.2ms, 扫描重传超时为Te=1 800ms时, 扫描由ST 组成的真实网络耗时5 628.1ms, 而扫描由 (St+ Sd) 组成的欺骗网络却耗时79 030.5ms。在多次扫描时, 扫描欺骗网络耗时约相当于扫描实际网络耗时的[ (1+ Te/Tr) m]/ (n1+ n2) 倍。不难看出, 欺骗技术可以极大地消耗网络攻击的时间与资源。
我们知道, 入侵者发生系统接触时间越长, 攻击被检测到的可能性越大, 为此欺骗系统在设计中应尽可能延长该时间。所谓入侵者系统接触时间指的是入侵者与系统发生交互的时间。对于扫描特定端口的网络攻击而言, 入侵者系统接触时间包含了攻击者扫描和攻击整个过程所用的时间;而广泛扫描所有端口的网络攻击, 除了确定最有价值的漏洞过程, 其他入侵过程所用时间都属于攻击者系统接触时间。
2.2 降低实际系统被进攻的概率
以下通过实验分析欺骗系统如何减少攻击者对实际系统攻击机会。实验原理基于Fred Cohen提出的对攻击者的多组研究实验[5], 结果以攻击图表示。首先, 将网络入侵划分为多个阶段, 并以“数字+字母”的形式加以标识。如, 1T、1D:定位目标 (T对应St、D对应Sd) ;2T、2D:登录并分析内容;3T、3D:离开重进入、提高权限;4T、4D:欺骗攻击者误认自己攻击成功。利用Fred Cohen多组研究实验的数据建立的攻击图如图2所示。
图2中, 纵轴的正值方向处于真实系统中, 负值方向处于欺骗系统中, 横轴为攻击时间。攻击图中虚线表示未使用欺骗技术时实际网络攻击行为, 而实线表示使用欺骗技术后的网络攻击行为。图1中攻击点数经统计后结果如表1所示。可见, 相同的网络环境下真实系统被攻击概率从86. 4 % 下降为30.9 %, 说明采用了欺骗技术可以有效保护实际网络系统。
2.3 提高攻击检出率
为了提高攻击检出率, 欺骗系统优化了设置, 当位于欺骗空间中的地址被恶意扫描, 或收到来自位于目标地址范围中的入侵报文, 则认定系统受到攻击, 避免了扫漏一些难以检测的极慢速扫报。对于一个使用欺骗技术改造过的网络系统, 实际地址空间为Nt, 欺骗地址空间为Nd。无论采取哪一种进攻模式, 当针对实际系统和欺骗系统所在的网络进行第一阶段入侵扫描时, 首先被检测到的扫描报文必然来自目标地址Nd, 其检出概率为Nd/ (Nd+Nt) ;即使最初的扫描不针对Nd, 根据两种不同模式的网络攻击入侵的特点, 在后续的扫描中必然会针对Nd中的欺骗地址, 一旦入侵者 “触雷”, 系统就能准确检测出网络攻击。下面举例说明, 网络受到一种广泛扫描所有端口类型的攻击者入侵, 攻击者会逐一扫描入侵网络中的所有地址端口, 必然会扫描到Nd中的欺骗地址, 从而被检出;对于扫描特定端口的网络攻击, 即便最初入侵的是位于Nt中的地址, 其在随后的扫描中也会随即选择位于同一网段中的地址[3], 其中必然包含位于Nd中的地址, 一旦触及, 欺骗地址就能被检出。
3 结语
网络欺骗技术作为一种主动安全手段, 可以有效地抵御扫描型的网络入侵, 增大攻击的检出率, 具有良好的应用前景, 值得关注。但是, 本研究也存在着攻击模型简单、攻击类型单一等缺陷, 特别是对于采用非扫描模式的网络入侵, 由于尚无准确的理论模型, 推导其在有和无欺骗系统的情况下入侵所消耗时间, 只能用统计实验的方式开展相关研究, 此类攻击模型还需在后续研究中不断探索。
参考文献
[1]SPITZNER L.Honeypots:tracking hackers[M].Boston:AddisonWesley, 2002.
[2]高为民.对网络攻击行为实施欺骗和诱导的研究[J].微计算机信息, 2007 (33) .
[3]尹红.网络攻击与防御技术研究[J].计算机安全, 2007 (8) .
[4]BRUCE S.Secrets and lies[M].New York:John Wiley and Sons, Inc, 2000.
欺骗技术 篇8
随着信息化的快速发展,计算机网络已经成为采供血事业的重要基础设施,绝大多数采供血机构都建立了局域网,采供血业务对计算机网络及信息系统的依赖程度与日俱增。但计算机病毒、黑客和木马对网络的攻击不可避免,使得局域网的稳定性、安全性和可靠性受到严重威胁,尤其是近年来频发的ARP攻击和ARP病毒造成的网络异常事件时有发生,其安全问题带来的影响愈发明显,已经逐步影响到采供血业务的开展。本文探讨嗅探技术应用能够为网络的安全提供相应的保障,有效地推动了网络技术的发展。
1 网络嗅探的相关内容分析
1.1 嗅探技术
嗅探(Sniffer)技术是一种重要的网络安全攻防技术,嗅探器可以窃听网络上流经的数据包。黑客就是通过嗅探技术来偷取网络中的大量敏感信息,与主动扫描相比,嗅探难被察觉,也很容易操作。对于信息安全管理,可借助嗅探技术,对网络进行实时监控,并即时发现各种网络攻击行为。在各种局域网嗅探技术手段中,最易实现的就是基于ARP协议的交换网嗅探技术[1]。
1.2 ARP欺骗的原理分析
ARP协议是局域网协议,属于一种存在于TCP/IP协议栈中的低层协议,该协议对应于数据链路层的通信地址的处理,也被称为地址解析协议,其负责将某个IP地址解析成对应的MAC地址。为了获得较高的传输效率,数据链路层没有做安全上的防范,所以在使用ARP协议时无需认证,使用ARP协议的局域网假设通信双方是相互信任和相互独立的,因此ARP协议就存在了漏洞。
所谓ARP欺骗技术指的是就是欺骗者通过对ARP协议中存在的漏洞进行利用,任何时候只要接收到ARP应答包,主机就会自动更新ARP缓存。这样攻击者就可以向目标主机发送假冒的ARP数据包进行欺骗,以达到监听的目的。局域网内一旦有ARP的攻击存在,会欺骗局域网内所有主机和网关,让所有上网的流量必须经过ARP攻击者控制的主机。
1.3 数据包的捕获
常用的捕获数据包的方法有原始套接字、Lib Pcap、Win Pcap和JPcap等方法。本文采用WinP cap开发包,是一个基于Win32的捕获数据包和网络分析的体系结构,它为win32应用程序提供访问网络底层的能力,可以从网卡捕获或者发送原始数据,同时能够过滤并且存储数据包。
2 嗅探系统的设计分析
2.1 系统设计所需要的环境
在实际的设计过程中,网嗅探器在运行过程中需要的环境为Windows XP系统;在实际的开发过程中,所需要的工具包括:Visual C++6.0;驱动开发包:Win Pcap。在数据包进行转换过程中,应该使用系统自带的路由器进行。Windows XP系统的路由器修改注册表进行启用。
具体的操作方式为操作方式方式:首先打开注册表编辑器,找出HKEY_LOCAL_MACHINESYSTEMCurrentC ontrolS etSer vicesTcpipParam-eters,然后在右边的窗口中将子健IPEnableR o uter的值修改为0x01。
2.2 设计分析
程序在执行过程中有两个核心的工作,一是调用Winpcap函数库实现下层抓包。二是对抓到的包文进行分析。设计为IP扫描、ARP欺骗、ARP欺骗还原、数据捕获四部分;
(1)IP扫描
在设计过程中,其驱动开发包为Win Pcap,获取指定的IP内的主机,具体步骤为:首先对pcap_open()函数进行调试,再将打开嗅探主机的网络适配器,同时,还要将适配器改为混杂模式;其次,打开ARP数据包的扫描,对制定IP的所有主机发送ARP REQUEST数据包;然后,对pcap_compile()函数进行规则编辑翻译,捕捉相应的ARP数据包。再者对pcap_setfilter()函数进行过滤,同时,还要将过滤器和捕获进行关联。最后,打开ARP对响应包线程进行接受,同时,还要采用packet_handler()函数对数据包进行分,从而获取存在的主机以及MAC地址。
(2)ARP欺骗
在设计过程中,其主要步骤为:第一,工作人员随意选择一个存活的主机,让嗅探主机向其发送相应的ARPREQUEST数据包,并且这个数据包的IP地址为网关IP,MAC的地址为嗅探主机的MAC地址。第二,采用pcap_compile()函数对过滤规则进行编译,此环节中主要是针对网络层面以及传输层面的数据包;采用pacp_setfilter()函数对过滤规则进行设定,并且要和相应的捕获相关;对于循环数据包的捕获,应该采用packet_listenhandler(函数对相应的数据包进行分析,获取相应的信息、源地址、信息包的长度等。
(3)ARP欺骗还原
对活动主机进行ARP欺骗还原过程中,嗅探主机应该再向ARP欺骗还原发送ARP REQUEST数据包,并且这个数据包的IP地址为网关IP,MAC的地址为嗅探主机的MAC地址,就能实现欺骗还原。
(4)数据捕获
在实际的工作过程中,主要通过对WinP cap的利用实现数据包额捕获。通过对各种不容的文字进行构造,工作过程中,pcap捕获到一个数据包,就会提交数据包的相关信息,提交的方式为以unsignedchar*的方式向某一段进行缓冲。工作人员现在将缓冲区前的14个字节进行写入,然后依据太帧格式构造进行构造,根据太帧头部出来的Type字段来确定下一步是构造IP、ARP、RARP的其中一个[3]。
3 网络嗅探测试及结果分析
在实际的工作过程中,局域网嗅探是在交换式的太网环境中进行工作,在Windows系统之中运行,所以,其测试环境为:设备的硬件:DELL Inspiron 545s,CPU 2.33 GHz,RAM2 GB,Ethernet802.3(局域网);软件设备:Microsoft Windows XP,捕包驱动程序Win Pcap 3.0。在此环境下通过相应的测试嗅探器能够满足交换式局域网的发展需求,能够实现对制定机的IP的ARP欺骗和欺骗后还原,同时,还能对数据的捕获以及低层数据进行协议进行分析,能够取得良好的效果,保证了网络的安全[4]。
4 总结
综上所述,加强对以ARP欺骗技术为基础的交换式局域网嗅探技术的研究分析,能够保证局域网的安全。文章通过对嗅探系统的各个模块进行研究,明确了主要内容,证明了以ARP欺骗技术为基础的交换式局域网嗅探技术对网络安全的意义。
摘要:网络技术的不断发展,虽然为人们的生活、工作提供了便利,但也存在很高的风险,对人们的生活以及工作造成了很大的困扰。网络管理人员利用局域网嗅探技术可随时掌握网络的实际情况,查找网络漏洞、检测网络性能,当网络性能急剧下降的时候,可以通过嗅探器捕获网络传输中的数据包并对其进行分析,还能对其结果进行分析利用,保证网络的安全。本文主要通过网络嗅探、ARP协议等相关内容进行分析,设计以ARP欺骗技术为基础的交换式局域网嗅探系统,有效的提高了网络的安全性。
关键词:ARP欺骗,交换式局域网,嗅探技术
参考文献
[1]王晓妮.基于Win Pcap的校园网ARP攻击检测防御系统研究与设计[J].办公自动化(综合版),2014.
[2]卢艳,李辉.交换式局域网ARP欺骗嗅探技术研究[J].计算机工程与应用,2013.
[3]王华.企业局域网的ARP欺骗侦测技术研究与实现[J].电子科技大学,2013.
欺骗技术 篇9
邻居发现协议NDP是IPv6协议中的一个基础协议,它整合了IPv4中的ARP、ICMP和路由器广播RA等协议。NDP允许IPv6节点在同一链接中发现并获得本地链接地址,并且能够广播不同网络参数的一系列互补ICMPv6信息。ICMPv6路由重定向欺骗就是假冒合法节点利用ICMPv6的重定向报文修改网络主机的动态路由表,使得目的网络地址被重定向到欺骗网络地址。NS/NA欺骗就是利用邻居请求和邻居通告报文,将目的链接引向一个欺骗的链路层地址。在网络安全领域,利用协议的漏洞进行协议欺骗是一种网络监听或网络攻击的重要手段。可以利用NDP的漏洞实现上述IP欺骗,这种欺骗相对IPv4下的重定向欺骗和ARP欺骗具有更强的隐蔽性,进行深入研究对加强IPv6下的网络安全具有现实意义。
1IPv6下的协议欺骗
协议欺骗就是利用网络协议中的bug,采取插入方法实施中间人攻击[1]使被监听的通信双方或者一方相信欺骗者地址就是目标地址,从而获得被监听者的通信数据。假设主机C为欺骗主机,主机A、B为正常通信主机,欺骗过程主要包括欺骗与隐藏两个关键。
(1) 欺骗。利用协议中的bug,将欺骗主机伪装成被欺骗主机的通信方,将被欺骗主机的通信数据引向欺骗主机,被欺骗主机可能是通信的双方或一方。
(2) 隐藏。为隐藏欺骗,欺骗主机在接收到欺骗主机的数据包后要分析并修改数据包,以掩盖欺骗痕迹,达到欺骗继续的目的。
一般地,假设已知主机B的IP,IPv6下A与B通信至少应经过以下三个步骤:
(1) A发送一个NS请求NSA。若B在本地网,则请求B的MAC地址;否则请求到达B所经的本地路由器R的MAC地址。
(2) B或R发送NSA的应答NAA,通知所请求的MAC地址。
(3) A发送IP数据包,包含B的IP与所得的MAC地址。然后,按网络应用层协议通信。
因此,可以通过发送假冒的NAA将C的MAC伪装成B的MAC,这就是NS/NA欺骗[2]。也可以修改路由参数,将路由导向C 的子网,这就是路由欺骗。路由欺骗与NS/NA欺骗结合可以实现广域网的数据监听。
2ICMPv6重定向与NS/NA欺骗原理
2.1NDP与ICMPv6报文
NDP是IPv6协议族的一个基础子协议,实现了在IPv4中ARP及ICMP中路由发现和重定向的功能。NDP采用五种类型[3]的ICMPv6报文来实现其各种功能。
(1) 路由器请求RS
接口工作时,主机发送RS,要求路由器立即产生路由器通告报文。
(2) 路由器通告RA
路由器周期性地通告它的存在以及配置的链路和网络参数,或者对路由器请求报文作出响应。
(3) 邻居请求NS
节点发送NS来请求邻居的链路层地址,以验证它先前所获得并保存在缓存中的邻居链路层地址的可达性,或者验证它自己的地址在本地链路上是否唯一。
(4) 邻居通告NA NS的响应。
节点也可以发送非请求的NA来指明链路层地址的变化。
(5) 重定向
对于特定的目的地址,如果不是最佳路由,路由器通过重定向报文通知主机到达目的地址的最佳下一跳。
ICMPv6报文格式如表1所示,其中8位类型和8位代码决定了不同的ICMPv6报文的类型[4]。类型5是重定向差错;code=0,1,2,3时,分别为对网络重定向、对主机重定向、对服务类型和网络重定向、对服务类型和主机重定向。
2.2ICMPv6重定向欺骗
利用ICMPv6的重定向报文可以假冒路由器修改网络主机的动态路由表,从而达到路由欺骗的目的,ICMPv6重定向原理如下。
(1) 主机A向外网发送报文M,R1为默认路由。
(2) R1收到M后,发现下一跳为R2,转发给R2。然后发现主机A与R1、R2在同一LAN。
(3) R1发送ICMPv6重定向报文给主机A,以后A发送的M重定向到R2。
如果下一跳不是R2,设法假冒R1发送ICMPv6重定向报文给主机A,使以后A发送的M重定向到R2,这就实现了ICMPv6重定向差错欺骗。一般地,A、R1、R2可以是不同LAN的路由器或主机。
2.3NS/NA欺骗
由于邻居缓存总是默认用新的信息来覆盖旧信息,所以欺骗节点如果发送包含不同链路层地址的NS或NA报文,就能刷新被欺骗节点的邻居缓存;从而导致被欺骗节点向欺骗节点的链路层地址发送报文。这种欺骗类似于IPv4的ARP欺骗,但要达到欺骗继续的目的就必须一直对虚假的链路层地址作出响应。
3ICMPv6重定向与NS/NA欺骗的实现
利用VMware搭建如图1所示的虚拟网络平台。
图1中VM为虚拟机,VR为虚拟路由器。所有虚拟机均安装Linux Redhat7.0、TCP/IPv6协议。使用平台无关的网络数据捕获开发包libpcap及数据包构造和发送开发包Libnet为工具,以VM2 Telnet VM1为例,研究ICMPv6重定向欺骗和NS/NA欺骗的实现。
3.1ICMPv6重定向欺骗的实现
在表2中VM2 Telnet VM1的默认路由为VR1,在VR2中运行ICMPv6重定向报文构造和发送程序(源程序icmpv6_redirect.c),伪造源IP为VR1,重定向IP为VR2。使用Libnet构造ICMPv6重定向数据包,应该先构造高层协议块,然后依次从高到低构造各个协议块,构造流程是:①libnet_init()初始化Libnet库;② libnet_build_icmpv6()_redirect()构造ICMPv6协议头;③ libnet_build_ipv6()构造IPv6协议头;④ libnet_build_ethernet()构造以太网协议头;⑤ libnet_write()发送数据包;⑥ libnet_destory()销毁Libnet。流程中所有的模块均是Libnet的库函数,现仅说明ICMPv6协议头的构造函数libnet_build_icmpv6_redirect()。函数包含8个参数,各参数的说明及在本程序中的取值见表 2。另外在构造IP协议时,源IP、目的IP分别为VR2和VM1。
3.2NS/NA欺骗的实现
路由重定向为VR2后,可以利用NS/NA欺骗将VM2 Telnet VM1中的VM1导向VM3,变成VM2到VM3的连接。为实现NS/NA欺骗,应该在VM3端运行NS请求包捕获程序,捕获到目的IP为VM1的请求包时发送假的NA包。更简单的方法是直接于VM2 Telnet VM1发起之前在VM3中构造NA数据包,目的地址为VR2,源IP为VM1,源MAC地址为VM3,并利用数据包发送程序循环发送。
ICMPv6数据包的捕获使用libpcap中的函数pcap_loop()来实现。由于ICMPv6报文是在IPv6报文中传输的,而IPv6报文又在以太网中传输;所以,先分析以太网络协议函数ethernet_protocol_packet_callback(),再在此函数中调用分析IPv6协议的函数ipv6_ protocol_packet_callback(),然后在此函数中调用分析ICMPv6协议的函数icmpv6_ protocol_packet_callback(),捕获NS报文后,启动NA报文构造和发送程序inform__icmpv6_code.c。各回调函数详情参见文献[5]。主程序设计如下:
在分析ICMPv6协议时,只对NS请求报文进行分析,NS报文的type=128,code=0。NA报文构造和发送程序与ICMPv6重定向报文构造和发送程序的设计类似,只是type=129,code=0。
3.3攻击测试
在图1中的VM1、VM2和VM3中部署IP数据包捕获和分析程序[6]moredetail.c,捕获并分析本子网的数据包。并启动各虚拟主机和路由器,运行部署的各应用程序和测试程序,测试结果如表3。表3为一组测试(测试时间:8s)结果,由于是以虚拟平台上的仿真攻击,网络环境单一,所以重复测试结果相同。从仿真测试结果不难看出,在没有防范措施的情况下VM3假冒VM1成功。
4结束语
ICMPv6重定向和NS/NA欺骗利用了NDP存在的漏洞,具有较好的隐蔽性。对于此类安全隐患,虽然可以使用IPSec机制来防范,但是会带来密钥管理、手工配置等新的网络问题;也可以使用IETF提出的SEND算法,但产生的计算开销过大,推广应用还存在许多困难[7]。因此IPv6相对于IPv4在安全性方面虽然大大增强,但仍然存在许多安全隐患,需要进一步研究以增强下一代网络的安全性。
摘要:阐述了IPv6下网络协议欺骗的一般原理,详细分析了ICMPv6协议及其存在的漏洞。对于ICMPv6重定向及NS/NA欺骗的原理进行了深入的讨论,并提出了ICMPv6重定向欺骗和NS/NA欺骗的具体实现方法。
关键词:协议欺骗,IPv6,NDP,ICMPv6,Libpcap,Libnet
参考文献
[1]Joyo M,Quisquater J J.On the importance of securing your bins:the garbage man in the middle attack[A].4th ACMCorf Computer Comm Security,1997:135-141.
[2]Nikander P,Kempf J,Nordmark E.IPv6Neighbor Discovery(ND)Trust Models and Threats,RFC3756[S].Internet Engineering Task Force,2004.
[3]李艳玲,朱爽.IPv6地址路由机制研究综述.计算机工程与应用,2004,34:136-140.
[4]Conta A,Deering S.Internet Control Massage Protocol(ICMPv6)for the Internet Protocol Version6(IP6)Specification[M/CD].RFC2463,1998,12.
[5]刘文涛.网络安全开发包详解.北京:电子工业出版社,2005.
[6]小高知宏.TCP/IP数据包分析程序篇[M].叶明,译.北京:科学出版社,2003.
27%男人欺骗你 篇10
1.该死!我竟然把她的生日忘了!
A.将计就计,继续假装忘记,但偷偷地去买礼物,当她爆发的时候,把礼物拿出来。(47.75%)
B.这有什么,忘了就忘了呗,允许你把我的生日也忘一次,算抵了!(20.16%)
C.我是罪人!我该死!这样吧,今年剩下的日子每天都当是宝贝的生日来过行不?(18.83%)
D不是明天吗?啊!我手机时间日期设错了!(13.26%)
2.收拾房间的时候,现任发现了你竟然还留着ex给你的东西,照片、生日礼物甚至是以前的情书……完蛋了,你怎么搞定身边这个打翻了的醋坛子?
A.一定要淡定地说:“我都不知道我还有这些东西,亲爱的,你要不喜欢就帮我扔了吧!”(38.99%)
B.“都过去了,我这就去把它们扔了。”然后悄悄换一个地方藏起来。(34.75%)
C.正所谓物是人非嘛,东西是她的,但我的心是你的哦。(21.75%)
D拿出你影帝的本领,沉痛地说:这个女孩已经上天堂了——ex对不起了,心里祝福你。(4.51%)
3.周末晚上和好哥们儿约了去酒吧喝酒看球,老婆突然来电说想你了,晚上想和你吃一顿在你看来并不怎么浪漫的烛光晚餐,你会怎么做?
A.哥们儿的约会是先定好的,总得有个先来后到嘛,相信自己的女人是通情达理的。(50.66%)
B.我晚上要跟公司一个非常重要的客户吃饭,谈成了我就能升职了!(21.75%)
C.兄弟如手足,女人如衣裳,但让她知道你选择和“狐朋狗友”们鬼混而非她,那确实是在找不痛快,所以,“宝贝儿,晚上公司让我加班!”(20.16%)
D.大打亲情牌,女人就是心软:“我舅妈生病了,我得去医院陪护。”(7.43%)
4.当对方抛给你“到底爱不爱我”这个永恒的难题时,究竟如何面对?
A.把皮球踢回去,“亲爱的,你说我爱不爱你呢?”(33.95%)
B.设计问卷的人是白痴么!这个问题有别的选择么,当然爱了!站在世界中心呼唤爱。(31.3%)
C我就像你爱我一样爱你呀!(26.53%)
D.我要不爱你出门就被车撞死!(8.22%)
5.老婆发现你藏在电脑里的十几个G的毛片,面对她鄙视的眼神,你打算?
A.这些片子是用来给咱俩示范教学的,来试试吧,亲爱的!(49.87%)
B.大丈夫敢做敢当,没错,我就是看了,总比找小三强吧。(26.53%)
C.这是我哥们的,我从来没看过,我是很纯很天真的。(13.26%)
D.这是我大学时候收集的,有你之后早不看了!(10.34%)
6.从小玩到大的铁哥们儿向你借钱,想要让家里那位账房太太高抬贵手,只好……
A.瞒着账房太太建造的小金库,用你的时候到了!(39.26%)
B.夸大数目,借一万说借十万——“亲爱的,我们就借他十分之一吧。”(37.93%)
C.“朋友老婆得癌症了,他资金周转不过来,咱先给救个急。”(14.06%)
D.公司有内部投资消息!大好机会!——哎呀,亲爱的,我投资失败了,但还好我们没亏损。(8.75%)
7.商场,“老公,你觉得这件衣服怎么样?”8000块……额滴神那……要是买了,这个月又得喝西北风了。
A嗯,你穿这件衣服显胖……(35.54%)
B.穿上太性感了!不许我老婆穿上给别人过眼瘾!(35.28%)
C.其实我更喜欢你不穿衣服的样子……(18.04%)
D.这件还不够好,我去给你买件更贵的!(小心搬起石头砸了自己的脚)(11.14%)
8.老婆性趣盎然,但辛苦一天的你已经是疲惫不堪,你现在唯一想做的就是——睡觉!
A.我真想和你OOXX,但是宁缺毋滥啊,先睡觉,睡醒了给你做一套“醒神舒筋”的早操。(42.44%)
B.假装没有体察到她的“热情”,跟她大聊奥特曼打小怪兽。(26.53%)
C.拒绝一次,后患无穷,女人会把这个问题上升到你已经厌倦她了,所以,男人就是铁打的战士,硬着头皮上吧!(22.55%)
D.我下午刚跑完步耶,明天起床走不动道了。(8.49%)
9.屡试不爽的借口是?
A.开会呢,一会儿再说,宝贝!(50.93%)
B.刚刚在开车,接不了电话。(23.87%)
C.昨天应酬喝高了……(18.83%)
D.爸妈非让我这周末回家看看。(6.37%)
10.悄悄告诉我们,怎么识破你是在找借口?
A.如果我突然间“无事献殷勤”,那八成是我有负罪感……(28.91%)
B我会反复强调我的“借口”,如果你不受用,我会假装很生气。(28.65%)
C.那时候我比任何时候都要淡定,懂什么叫反其道而行之吗?(28.12%)
D.不小心没控制住,在“成功”后流露出一丝细微的喜悦。(14.32%)
11.为什么你总找各种借口对她说“我很忙”?
A.我只是找不到合适的拒绝理由(49.6%)
B.情场上,欲擒故纵才是取胜法门!(24.4%)
C.没办法,其实我同时有3个交往对象……(13.79%)