ARP攻击与防范技术自测试题答案

1、下列关于ARP的叙述哪一项是错误的？(D)
A、ARP全称为Address Resolution Protocol，地址解析协议。
B、ARP病毒向全网发送伪造的ARP欺骗广播，自身伪装成网关。
C、在局域网的任何一台主机中，都有一个ARP缓存表，该表中保存这网络中各个电脑的IP地址和MAC地址的对照关系。
D、ARP协议的基本功能就是通过目标设备的MAC地址，查询目标设备的IP地址，以保证通信的顺利进行。

2、下列哪个命令可以实现静态IP地址和MAC地址的绑定？(B)
A、arp -a
B、arp -s
C、arp -d
D、arp -g

3、下列哪个命令可以清空当前的ARP缓存表？(C)
A、arp -a
B、arp -s
C、arp -d
D、arp -g

4、下列关于ARP的叙述哪一项是错误的？(B)
A、ARP协议的基本功能就是通过目标设备的IP地址，查询目标设备的MAC地址，以保证通信的顺利进行。
B、当局域网内某台主机运行ARP欺骗的木马程序时，会欺骗局域网内所有主机，让所有上网的流量必须经过病毒主机，但不会欺骗路由器。
C、辅助解决ARP地址欺骗，NBTSCAN命令可以取到PC的真实IP地址和MAC地址，相关命令：“nbtscan -r 192.168.16.0/24”
D、通过伪造IP地址和MAC地址实现ARP欺骗，能够在网络中产生大量的ARP通信量使网络阻塞。

5、关于如何防止ARP欺骗，下列措施哪种是正确的？(C)
A、不一定要保持网内的机器IP/MAC是一一对应的关系。
B、基于Linux/BSD系统建立静态IP/MAC捆绑的方法是:建立/etc/ethers文件，然后再/etc/rc.d/rc.local最后添加: arp -s 。
C、网关设备关闭ARP动态刷新，使用静态路由。
D、不能在网关上使用TCPDUMP程序截取每个ARP程序包。

6、由于ARP欺骗导致网吧频繁掉线的叙述下列哪项是错误的？(D)
A、中病毒特征: 网吧不定时的掉线。(重启路由后正常)
B、传奇杀手木马是通过ARP欺骗，来或取局域网内发往外网的数据。从而截获局域内一些网游的用户名和密码。
C、中木马的机器能虚拟出一个路由器的MAC地址IP地址。当病毒发作时，局域网内就会多出一个路由器的MAC地址。
D、网络执法官可以监控局域网内所有机器的MAC地址和IP地址，而且无需设置相同网段，即可实现。

7、下列有关ARP欺骗的叙述哪项是错误的？(D)
A、ARP协议并不只在发送了ARP请求才接收ARP应答。
B、当计算机接收到ARP应答数据包的时候，就会对本地的ARP缓存进行更新，将应答中的IP和MAC地址存储在ARP缓存中。
C、Switch不是把数据包进行端口广播，它将通过自己的ARP缓存来决定数据包传输到那个端口上。
D、局域网的网络数据流通是根据IP地址传输进行，并不是按照MAC地址进行传输的。

8、思科 Dynamic ARP Inspection (DAI)在交换机上提供IP地址和MAC地址的绑定，并动态建立绑定关系，那么下列配置命令哪项是错误的？(B)
A、ip dhcp snooping vlan 100,200 
B、ip dhcp snooping information option
C、ip dhcp snooping
D、ip arp inspection log-buffer logs 1024 interval 10

9、关于如何定位ARP攻击源头的叙述下列哪项是正确的？(A)
A、ARP攻击源的网卡会处于混杂模式，可以通过ARPKiller这样的工具扫描网内有哪台机器的网卡是处于混杂模式的，从而判断这台机器有可能就是“元凶”。
B、在局域网发生ARP攻击时，查看交换机的静态ARP表中的内容，确定攻击源的IP地址。
C、直接Ping网关IP，完成Ping后，用ARP –d查看网关IP对应的MAC地址，此MAC地址应该为欺骗的MAC。
D、使用nbtscan /r命令可以取到PC的真实IP地址、机器名和MAC地址，如果有”ARP攻击”在做怪，可以找到装有ARP攻击的PC的IP、机器名和MAC地址。

10、在《ARP Sinffer攻防实例讲解》文章中，下列哪种工具跟ARP没有直接关系？(C)
A、arp sniffer
B、winpcap
C、server-u
D、sniffer