[计算机类试卷]软件水平考试（中级）网络工程师下午应用技术（网络安全）历年真题试卷汇编1及答案与解析.doc

《[计算机类试卷]软件水平考试（中级）网络工程师下午应用技术（网络安全）历年真题试卷汇编1及答案与解析.doc》由会员分享，可在线阅读，更多相关《[计算机类试卷]软件水平考试（中级）网络工程师下午应用技术（网络安全）历年真题试卷汇编1及答案与解析.doc（22页珍藏版）》请在麦多课文档分享上搜索。

1、软件水平考试（中级）网络工程师下午应用技术（网络安全）历年真题试卷汇编 1及答案与解析 一、试题一（ 15分） 0 阅读以下说明，回答问题。 说明 某公司通过 PIX防火墙接入 Internet，网络拓扑如图 61所示。在防火墙上利用 show命令查询当前配置信息如下。 PIX#show confignameif ethO outside security 0 nameif ethl inside s qcurity 100namei f eth2 dmz security 4 0fixup protocol ftp 2l (1)fixup protocol http 13 0ip addre

2、s s outside 61 144 51 42 255 255 255 248ip address inside 192 168 0 1 255 255 255 0ip addresS dmz 10 10 0 1 255 255 255 0global(outside)161 144 51 46nat(inside)10 0 0 0 0 0 0 0route outside 0 0 0 0 0 0 0 0 61 1 4 4 51 451 (2) 1 解析 (1)、 (2)处画线语句的含义。 2 根据配置信息，再填充表 6-1。3 根据所显示的配置信息，由 inside域发往 Internet

3、的 IP分组，在到达路由器 R1时的源 TP地址是 (7)。 4 如果需要在 DMZ域的服务器 (IP地址为 10 10 0 100)上对 Internet用户提供Web服务 (对外公开 IP地址为 61 144 51 43)，请补充完成下列配置命令。 PIX(config)#static(dmz， outside)(8)(9) PIX(config)#conduit permit tcp host (10)eq www any 4 阅读以下说明，回答问题。 (2008年上半年，试题四 ) 说明 某公司采用 100 Mbps的宽带接入 Internet，公司内部有 15台 PC机，要求都能够上

4、网。另外有 2台服务器对外分别提供 Web和 E-mail服务，采用防火墙接入公网，拓扑结构如图 62所示。 5 如果防火墙采用 NAPT技术，则该单位至少需要申请 (1)个可用的公网地址。 6 下面是防火墙接口的配置命令。 fire(config)#ip addresS outside 202 134 135 98 255 255 255 252 fire(config)#ip addresS inside 192 1 6 8 4 6 1 255 255 255 0 fire(confiq)#ip address dmz 10 0 0 1 255 255 255 0 根据以上配置，写出图 6

5、-2中防火墙各个端口的 IP地址。 e0： (2) el： (3) e2： (4) 7 ACL默认执行顺 序是 (5)，在配置时要遵循 (6)原则、最靠近受控对象原则以及默认丢弃原则。 (5)、 (6)备选答案： A最大特权 B最小特权 C随机选取 D自左到右 E自上而下 F自下而上 要禁止内网中 IP地址为 198 168 46 8的 PC机访问外网，正确的 ACL规则是 (7)。 A access-list 1 permit ip 192 168 46 0 0 0 0 255 any access-list 1 deny ip host 198 168 46 8 any B access-

6、list 1 permit ip host 198 168 46 8 any access-list 1 deny ip 192 168 46 0 0 0 0 255 any C access-list 1 deny ip 192 168 46 0 0 0 0 255 any access-list 1 permit ip host 198 168 46 8 any D access-list 1 deny ip host 198 168 46 8 any access-list 1 permit ip 192 168 46 0 0 0 0 255 any 8 下面是在防火墙中的部分配置命令，

7、请解释其含义。 global(outside)l 202 134 135 98-2 02 134 135 100 (8) conduit permit top host 2 02 134 135 99 eq www any (9) 3ccess-list 10 permit ip any any (10) 8 阅读以下说明，回答问题。 (2012年上半下午试题四 )说明 某企业在部门 A和部门 B分别搭建了局域网，两局域网通过两台 Windows Server 2003服务器连通，如图 6-25所示，要求采用 IPSec安全机制，使得部门 A的主机 PCI可以安全访问部门 B的服务器 S1。9

8、 IPSec工作在 TCP IP协议栈的皿层，为 TCP IP通信提供访问控制、数据完整性、数据源验证、抗重放攻击、机密性等多种安全服务。 IPSec包括 AH、 ESP和ISAKMP Oakley等协议，其中，盟为 IP包提供信息源和报文完整性验证，但不支持加密服务；盟提供加密服务。 10 IPSec支持传输和隧道两种工作模式，如果要实现 PCI和 S1之间端到端的安全通信，则应该采用 (4)模式。 11 如果 IPSec采用传输模式，则需要在 PCI和 (5)上配置 IPSec安全策略。在 PCI的IPSec“IP筛选器属性 ”对话框 (见图 6-26)中，源 IP地址应设为 (6)，目标

9、 IP地址应设为 (7)。 12 如果要保护部门 A和部门 B之间所有的通信安全，则应该采刚隧道模式，此时需要在 ServerA和盟上配置 IPSec安全策略。在 ServerA的 IPSec筛选器属性埘话框中 (地图 627)，源 IP子网的 IP地址应设为盟，目标子网 IP地址应设为 (10)，源地址和目标地址的子网掩码均设为 255 255 255 0。 ServerA的 IPSec规则设置中 (见图 628)，指定的隧道端点 IP地址应设为 (11)。12 阅读以下说明，回答问题。 (2010年下半年下午试题四 ) 说明 某企业在公司总部和分部之间采用两台 Windows Server

10、 2003服务器部署企业 IPSec VPN，将总部和分部的两个子网 通过 Intemet互联，如图 6-29所示。13 隧道技术是 VPN的基本技术，隧道是由隧道协议形成的，常见隧道协议有IPSec、 PPTP和 L2TP。其中 (1)和 (2)属于第二层隧道协议， (3)属于第三层隧道协议。 14 IPSec安全体系结构包括 AH、 ESP和 ISAKMP Oakley等协议。其中， (4)为IP包提供信息源验证和报文完整性验证，但不支持加密服务； (5)提供加密服务；(6)提供密钥管理服务。 15 设置 ServerA和 ServerB之间通信的筛选器属性界面如图 6-30所示，在 Se

11、rverA的 IPSec安全策略配置过程中，当源地址和目标地址均设置为 “一个特定的 IP子网 ”时，源子网 IP地址应设为 (7)，目标子网 IP地址应设为 (8)。图 6-31所示的隧道设置中的隧道终点 IP地址应设为 (9)。16 在 ServerA的 IPSec安全策略配置过程中， ServerA和 ServerB之间通信的 IPSec筛选器 “许可 ”属性设置为 “协商安全 ”，并且安全措施为 “加密并保持完整性 ”，如图6-32所示。根据上述安全策略填写图 6-33中的空格，表示完整的 IPSec数据包格式。 (10) (12)备选答案 ： A AH头 B ESP头 C旧 IP头

12、D新 TCP头 E AH尾 F ESP尾 G旧 IP尾 H新 TCP尾 16 阅读以下说明，回答问题。 (2009年下半年，试题五 ) 说明 某单位网络拓扑结构如图 6-34所示，要求配置 IPSec VPN使 10 10 20 1 24网段能够连通10 10 10 2 24网段，但 10 10 30 1 24网段不能连通 10 10 10 224网段。17 根据网络拓扑和要求，解释并完成路由器 R1上的部分配置。 R1(config)#crypto isakmp enable (启用 IKE) R1(config)#crypto isakmp (1)20 (配置 IKE策略 20) R1(c

13、onfig-isakmp)#authentication pre-share (2) R1(config-isakmp)#exit R1(config)#crypto isakmp key 37 8 address 192 168 2 2(配置预共享密钥为 378) R1(config)#access-list 101 permit ip (3) 0 0 0 2 55 (4) 0 0 0 2 55(设置 ACL) 18 根据网络拓扑和要求，完成路由器 R2上的静态路由配置。 R2(config)#ip route(5)255 255 255 0 192 168 1 1 R2(config)#i

14、p route 10 10 30 0 255 255 255 0 (6) R2(config)#ip route 10 10 10 0 255 255 255 0 192 168 2 2 19 根据网络拓扑和 R1的配置，解释并完成路由器 R3的部分配置。 R3(config)#crypto isakmp key(7)address(8) R3(config)crypto ttansform-set testvpn ah-md5-hmac esp-des esp-md5-hmac (9) R3(cfg-crypto-trans)#exit R3(config)#crypto map test

15、20 ipsec-isakmp R3(config-Crypto-map)#set peer 192 168 1 1 R3(config-crypto-map)#set transform-set (10) 19 阅读以下说明，回答问题。 (2009年上半年，试题二 ) 说明 某公司总部服务器 1的操作系统为 Windows Server 2003，需安装虚拟专用网 (VPN)服务，通过 Internet与子公司实现安全通信，其网络拓扑结构和相关参数如图 6-35所示。 20 在 Windows Server 2003的 “路由和远程访问 ”中提供两种隧道协议来实现 VPN服务： (1)和 L

16、2TP， L2TP协议将数据封装在 (2)协议帧中进行传输。 21 在服务器 1中，利用 Windows Server 2003的管理工具打开 “路由和远程访问 ”控制台，在所列出的本地服务器上选择 “配置并启用路由和远程访问 ”，然后选择配置“远程访问 (拨号或 VPN)”服务，在图 6-36所示的界面中， “网络接 N”应选择 (3)。 (3)备选答案： A连接 1 B连接 2 22 为了加强远程访问管理，新建一条名为 “Sublnc”的访问控制策略，允许来自子公司服务器 2的 VPN访问。在图 6-37所示的配置界面中，应将 “属性类型 (A)”的名称为 (4)的值设置为 “Layer

17、Two Tunneling Protocol”，名称为 (5)的值设置为“Virtual(VPN)”。 编辑 Sublnc策略的配置文件，添加 “入站 IP筛选器 ”，在如图 6-38所示的配置对话框中， IP地址应填为 (6)，子网掩码应填为 (7)。23 子公司的 PC1安装 Windows XP操作系统，打开 “网络和 Internet连接 ”窗口，若要建立与公司总部服务器的 VPN连接，在如图 6-39所示的窗口中应该选择 (8)，在图 6-40所示的配置界面中应填写 (9)。(8)备选答案： A设置或更改您的 Internet连接 B创建一个到您的工作位置的网络连 接 C设置或更改您

18、的家庭或小型办公室网络 D为家庭或小型办公室设置无线网络 E更改 Windows防火墙设置 24 用户建立的 VPN连接 xd2的属性如图 6-41所示，启动该 VPN连接时是否需要输入用户名和密码 ?为什么 ? 25 图 6-42所示的配置窗口中所列协议 “不加密的密码 (PAP)”和 “质询握手身份验证协议 (CHAP)”有何区别 ? 25 阅读以下说明，回答问题。 (2009年上半年，试题四 ) 说明 某公司总部和分支机构的网络配置如图 6-43所示，在路由器 R1和 R2上配置 IPSec安全策略 ，实现分支机构和总部的安全通信。 26 图 6-44中 (a)、 (b)、 (c)、 (

19、d)为不同类型 IPSec数据包的示意图，其中 (1)和 (2)工作在隧道模式； (3)和 (4)支持报文加密。27 下面的命令在路由器 R1中建立 IKE策略，请补充完成命令或说明命令的含义。 R1(config)#crypto isakmp policy 110 进入 ISAKMP配置模式 R1(configisakmp)#encryption des (5) R1(configisakmp)# (6) 采用 MD5散列算法 R1(configisakmp)#authentication pre-share (7) R1(configisakmp)#group 1 R1(configisa

20、kmp)#lifetime (8) 安全关联生存期为 1天 28 R1与 R2之间采用预共享密钥 “12345678”建立 IPSec安全关联，请完成下面配置命令 R1(config)#crypt isakmp key 12345678 addresS (9) R2(config)#crypt is8 kmp key 12345678 address (10) 29 请完成以下 ACL配置，实现总部主机 10 0 1 3和分支机构主机10 0 2 3的通信。 R1(config)#access-list 110 permit ip host (11)host (12) R2(config)#a

21、ccess-list 110 permit ip host (13)host 10 0 1 3 29 阅读以下说明，回答问题 。 说明 2007年春， ARP木马大范围流行。木马发作时，计算机网络连接正常却无法打开网页。由于 ARP木马发出大量欺骗数据包，导致网络用户上网不稳定，甚至网络短时瘫痪。 30 ARP木马利用皿协议设计之初没有任何验证功能这一漏洞而实施破坏。 31 在以太网中，源主机以 (2)上方式向网络发送含有目的主机 IP地址的 ARP请求包；目的主机或另一个代表该主机的系统，以 (3)方式返回一个含有目的主机 IP地址及其 MAC地址对的应答包。源主机将这个地址对缓存起来，以节

22、约不必要的ARP通信开销。 ARP协议 (4)必须在接收到 ARP请求后才可以发送应答包。 (2)备选答案： A单播 B多播 C广播 D任意播 (3)备选答案： A单播 B多播 C广播 D任意播 (4)备选答案： A规定 B没有规定 32 ARP木马利用感染主机向网络发送大量虚假 ARP报文，主机 (5)导致网络访问不稳定。例如，向被攻击主机发送的虚假 ARP报文中，目的 IP地址为 (6)，目的MAC地址为 (7)，这样会将同网段内其他主机发往 网关的数据引向发送虚假 ARP报文的机器，并抓取数据包截取用户口令信息。 (5)备选答案： A只有感染 ARP木马时才会 B没有感染 ARP木马时也

23、有可能 C感染 ARP木马时一定会 D感染 ARP木马时一定不会 (6)备选答案： A网关 IP地址 B感染木马的主机 IP地址 C网络广播 IP地址 D被攻击主机 IP地址 (7)备选答案： A网关 MAC地址 B被攻击主机 MAC地址 C网络广播 MAC地址 D感染木马的主机 MAC地址 33 网络正常时，运行如下命令，可以查看主机 ARP缓存中的 IP地址及其对应的MAC地址。 c： arp(8) (8)备选答案： A -s B -d C all D -a 假设在某主机运行上述命令后，显示如图 6-46中所示信息。 00-10-db-92-aa-30是正确的 MAC地址。在网络感染 AR

24、P木马时，运行上述命令可能显示如图 6-47中所示信息。 当发现主机ARP缓存中的 MAC地址不正确时，可以执行如下命令清除 ARP缓存。 c： ARP(9) (9)备选答案： A -s B -d C -a11 D -a 之后，重新绑定 MAC地址。命令如下。 c： ARP -s (10) (11) (10)备选答案： A 172 30 0 1 B 172 30 1 13 C 00-10-db-92-aa-30 D 00-10-db-92-00-31 (11)备选答案： A 172 30 0 1 B 172 30 1 13 C 00-10-db-92-aa-30 D 00-10-db-92-0

25、0-31 软件水平考试（中级）网络工程师下午应用技 术（网络安全）历年真题试卷汇编 1答案与解析 一、试题一（ 15分） 【知识模块】 网络安全 1 【正确答案】 (1)添加可监听的 FTP服务端口 21 (2)定义外部默认路由 61 144 51 45，跳数为 1 【试题解析】 fixup命令的作用是启用、禁止和改变一个服务或协议。通过 PIX防火墙配置， PIX防火墙侦听由 fixup命令指定的端口。 fixup protocol ftp 2 1 #启用 ftp协议，并指定 ftp的端口号为 21 route命令用于设置指向内网和外网 的静态路由。 route outSide 0 0 0

26、0 0 0 0 0 61 144 51 45 1 #定义外部默认路由 61 144 51 45，跳数为 1 【知识模块】 网络安全 2 【正确答案】 (3)192 168 0 1 (4)255 255 255 248 (5)eth2 (6)10 10 0 1 【试题解析】 程序解释如下。 nameif eth0 outSide security 0 eth0 #被命名为外部接口 (outside)，安全级别是 0 nameif eth1 inside security 100 eth1 #被命名为内部接口 (inside)，安全级别是 100 nameif eth2 dmz security

27、40 dmz #被命名为外部接口 (outside)，安全级别是 40 ip addresS outSide 61 144 51 42 255 255 255 248 #设置外部接口的 IP为 61 144 51 42，子网掩码为 255 255 255 248 ip addreSS inside 192 168 0 1 255 255 255 0 #设置内部接口的 IP为 192 168 0 1，子网掩码为 255 255 255 0 ip addresS dmz 10 10 0 1 255 255 255 0 #设置 DMZ接口的 IP为 10 10 0 1，子网掩码为 255 255 2

28、55 0 【知识模块】 网络安全 3 【正确答案】 (7)61 144 51 46 【试题解析】 global(outside)161 144 51 46表示内网的主机通过 PIX防火墙访问外网时， PIX防火墙将使用 61 144 51 46为要访问外网的主机分配一个全局 IP地址。 nat(inside)10 0 0 0 0 0 0 0表示启用 nat，内网的所有主机都可以访问外网。 【知识模块】 网络安全 4 【正确答案】 (8)10 10 0 1 00 (9)61 144 51 43(10)61 144 51 43 【试题解析】 PIX(config)#statiC(dmz， outs

29、ide)10 10 0 100 61 144 51 43 #任何外部主机访问 61 144 51 43时，防火墙都映射到 10 10 0 100这个地址 PIX(config)#conduit permit tcp host 61 144 51 43 eq WWW any #允许任何外部主机对全局地址 61 144 51 43的这台主机进行 http访问 【知识模块】 网络安全 【知识模块】 网络安全 5 【正确答案】 (1)1 【知识模块】 网络安全 6 【正确答案】 (2)192 168 46 1(3)202 134 135 98(4)10 0 0 1 【知识模块】 网络安全 7 【正确答

30、案】 (5)E或自上而下 (6)B或最小特权 (7)D或 access-list 1 deny ip host 198 168 46 8 any access-list 1 permit ip 1 92 168 46 0 0 0 0 255 any 【知识模块】 网络安全 8 【正确答案】 (8)指定外网口 IP地址范围为 202 134 135 98202 134 135 100 (9)允许任意外网主机访问 202 134 135 99提供的 www服务 (10)允许任意 IP数据包进出 【知识模块】 网络安全 【知识模块】 网络安全 9 【正确答案】 (1)网络层 (2)AH(3)ESP

31、【试题解析】 IPSec(Security Architecture for IP network， IP层协议安全结构 )工作在 TCP IP协议栈的网络层。 IPsec认证头 (AH)提供了数据完整性和数据源认证，但不提供保密服务； IPsec封装安全负荷 (ESP)提供了数据加密功能，它利用对 称密钥对 IP数据进行加密。 【知识模块】 网络安全 10 【正确答案】 (4)传输模式 【试题解析】 IPsec提供了两种模式，即传输模式和隧道模式。在传输模式中，IPsec认证头 (AH)或 IPsec封装安全负荷 (ESP)头插入原来的 IP头之后；而在隧道模式中， IPsec用新的 IP头

32、封装了原来的 IP数据报。 【知识模块】 网络安全 11 【正确答案】 (5)S1(6)192 168 1 2(7)192 168 2 2 【试题解析】 由图 6-25可知，在 PC1和 S1上配置安全策 略，源 IP地址即 PC1的 IP地址 192 168 1 2，目标 IP地址即 Sl的 IP地址 192 168 2 2。 【知识模块】 网络安全 12 【正确答案】 (8)ServerB(9)192 168 1 0(10)192 168 2 0(11)202 113 111 1 【试题解析】 由图 6-25可知，采用隧道模式需要在 ServerA和 ServerB上配置安全策略，源 IP

33、子网的 IP地址， (9)和 (10)分别是 ServerA和 ServerB所对应的网段 IP地址，分别为 192 168 1 0和 192 168 2 0，隧道端点 IP地址如图所示为 202 113 111 1。 【知识模块】 网络安全 【知识模块】 网络安全 13 【正确答案】 (1)PPTP(2)L,2TP(3)I。 PSec 说明： (1)和 (2)答案可调换。 【试题解析】 本题考查的是 VPN隧道技术的基本概念，这里不作详细的解析。 【知识模块】 网络安全 14 【正确答案】 (4)AH (5)ESP (6)ISA KMP Oakley 【试题解析】 本题考查 IPSec协议组

34、的功能。 【 知识模块】 网络安全 15 【正确答案】 (7)192 168 1 0(8)192 168 2 0(9)202 113 111 1 【试题解析】 源子网 IP地址为 ServerA连接的内网网络地址，由图 6-29可知为192 168 1 0；目标子网 IP地址应为 ServerB连接的内网网络地址，由图 6-29可知为 192 168 2 0。 隧道设置中的隧道终点 IP地址应设置为服务器 ServerB的外网地址，为202 113 111 1。 【知识模块】 网络安全 16 【正确答案】 (10)B (11)C (1 2)F 【试题解析】 题目中要求安全措施为 “加密并保持完

35、整性 ”。 IPSec封装安全负荷(ESP)提供了数据加密功能和数据完整性认证。在隧道模式下， IPSec对原来的 IP数据报进行了封装和加密，加上了新的 IP头，其格式如下：【知识模块】 网络安全 【知识模块】 网络安全 17 【正确答案】 (1)policy (2)验证方法为使用预共享密钥 (3)10 10 20 0 (4)10 10 10 0 【知识模块】 网络安全 18 【正确答案 】 (5)10 10 20 0 (6)192 168 1 1 【知识模块】 网络安全 19 【正确答案】 (7)378 (8)192 168 1 1 (9)设置 IPSec变换集 testvpn， AH鉴别

36、采用 ah-md5-hmac， ESP加密采用 esp-des， ESP认证采用 esp-md5-hmac。 (10)testvpn 【知识模块】 网络安全 【知识模块】 网络安全 20 【正确答案】 (1)PPTP (2)PPP 【知识模 块】 网络安全 21 【正确答案】 (3)B 【知识模块】 网络安全 22 【正确答案】 (4)Tunnel-Type (5)NAS-Port-Type (6)202 115 12 34 (7)255 255 255 255 【知识模块】 网络安全 23 【正确答案】 (8)B (9)61 134 1 37 【知识模块】 网络安全 24 【正确答案】 不需

37、要，因为选中了 “自动使用我的 Windows登录名和密码 “复选框，此时用本机 Windows登录的用户 名和密码进行 VPN连接。 【知识模块】 网络安全 25 【正确答案】 PAP使用明文方式在网上传输用户名和密码进行身份验证，这种认证方式是不安全的。 CHAP是一种 3次握手认证协议，并不直接传送用户的明文密码，通过使用MD5和质询相应机制提供一种安全身份验证。 【知识模块】 网络安全 【知识模块】 网络安全 26 【正确答案】 (1)c或 d (2)d或 c(不能与 1相同 ) (3)b或 d (4)d或 b(不能与 3相同 ) 【知识模块】 网络安全 27 【正确答案】 (5) 设

38、置加密算法为 DES (6)hash md5 (7)认证采用预共享密钥方式 (8)86400 【知识模块】 网络安全 28 【正确答案】 (9)172 30 2 2 (10)172 30 1 2 【知识模块】 网络安全 29 【正确答案】 (11)10 0 1 3 (12)10 0 2 3 (13)10 0 2 3 【知识模块】 网络安全 【知识模块】 网络安全 30 【正确答案】 (1)ARP或地址解析协议 【试题解析】 本问题考查 ARP攻击的基本原理。 ARP木马利用 ARP协议在设计之初没有任何验证功能这一漏洞而实施破坏。 【知识模块】 网络安全 31 【正确答案】 (2)C(3)A(

39、4)B 【试题解析】 源主机以广播方式向网络发送含有目的主机 IP地址的 ARP请求包；目的主机或另一个代表该主机的系统，以单播方式返回一个含有目的主机 IP地址及其 MAc地址对的应答包。源主机将这个地址对进行缓存，以节约不必要的ARP通信开销。 ARP协议没有规定必须在接收到 ARP请求后才可以发送应答包，这也是 ARP协议 的重要漏洞之一。 【知识模块】 网络安全 32 【正确答案】 (5)B(6)A(7)D 【试题解析】 感染 ARP木马的主机会向网络发送大量虚假 ARP报文，会影响其他主机正常上网。因此，如果某个主机没有感染 ARP木马，本问有可能受其他感染木马的主机发送的虚假报文的

40、影响而导致网络访问不稳定。本问题中的例子是一个典型的 ARP木马攻击方式，感染 ARP木马的主机向被攻击主机发送的虚假ARP报文中，目的 IP地址为网关 IP地址，目的 MAC地址为感染木马的主机MAC地址，会将同网段内其他主机发往网关的数据引 向发送虚假 ARP报文的机器。 【知识模块】 网络安全 33 【正确答案】 (8)D(9)B(10)A(11)C 【试题解析】 本问题考查使用命令行工具 ARP配置 Windows，解决 ARP攻击的技能。 在 TCP IP中， ARP是一种利用本地网络上的广播通信解析到达其物理硬件的以逻辑方式分配的 IP地址或媒体访问控制层地址的协议。 ARP缓存中

41、包含一个或多个表，它们用于存储 IP地址及其经过解析的以太网或令牌环物理地址。计算机上安装的每一个以太网或令牌环网络适配器都有自己单独的表。如 果在没有参数的情况下使用，则 arp命令将显示帮助信息。 语法与相关参数如下。 -aInetAddr-N IfaceAddr：显示指定 IP地址的 ARP缓存项，要使用带有InetAddr参数的 a11)-a，此处的 InetAddr代表指定的 IP地址。要显示指定接口的 ARP缓存表，使用 -N I face-Addr参数，此处的 IfaceAddr代表分配给指定接口的 IP地址。 N参数分大小写。 -gInetAddr-N IfaceAddr：与

42、-a相同。 -d InetAddrIfaceAddr：删除指定的 IP地址项，此处的 InetAddr代表 IP地址。对 于指定的接口，要删除表中的某项，请使用 IfaceAddr参数，此处的 IfaceAddr代 表分配给该接口的 IP地址。要删除所有项，请使用星号 (*)通配符代替InetAddr。 -s InetAddr EtherAddrIfaceAddr：向 ARP缓存添加可将 IP地址 InetAddr解析成物理地址 EtherAddr的静态项。要向指定接口的表添加静态 ARP缓存项 ，请使用 IfaceAddr参数，此处的 IfaceAddr代表分配给该接口的 IP地址。 InetAddr和 IfaceAddr的 IP地址用带圆点的十进制记数法表示。 物理地址 EtherAddr由六个字节组成，这些字节用十六进制记数法表示并且用连字符隔开 (如， 00一 AA-00-4F一 2A一 9C)。 由本题可知网关的 IP为 172 30 0 1，相对应的正确的物理地址为 00-10-db-92-aa-30。要添加将 IP地址 172 30 0 1解析成物理地址 00-10-db-92-aa-30的静态 ARP缓存项，可输入： arD -s 172 30 0 1 00-10-db-92-aa-30 【知识模块】 网络安全