360在线客服电话:有关ARP，以及ARP攻击的解决方案

有关ARP，以及ARP攻击的解决方案

首先说一下什么是ARP，如果你在电脑命令提示下输入arp-a，你的输出看起来应该是像这样：

Interface:192.254.0.18---0x2

InternetAddressPhysicalAddressType

70.196.198.17300-05-dc-e3-57-bcdynamic

70.196.198.17800-02-55-73-6b-addynamic

这里第一列显示的是，第二列显示的是和ip地址对应的卡的硬件地址（MAC），第三列是该ip和mac的对应关系类型。

可见，arp是一种将ip转化成以ip对应的网卡的的一种，或者说是一种将ip地址转化成的一种协议。它靠维持在内存中保存的一张表来使ip得以在网络上被目标机器应答。

为什么要将ip转化成mac呢？简单的说，这是因为在tcp网络环境下，一个ip包走到哪里，要怎么走是靠路由表定义。但是，当ip包到达该网络后，哪台机器响应这个ip包却是靠该ip包中所包含的mac地址来识别。也就是说，只有机器的mac地址和该ip包中的mac地址相同的机器才会应答这个ip包。因为在网络中，每一台主机都会有发送ip包的时候。所以，在每台主机的内存中，都有一个arp-->mac的转换表。通常是动态的转换表（注意在路由中，该arp表可以被设置成静态）。也就是说，该对应表会被主机在需要的时候刷新。这是由于在子网层上的传输是靠48位的mac地址而决定的。

通常主机在发送一个ip包之前，它要到该转换表中寻找和ip包对应的mac地址。如果没有找到，该主机就发送一个ARP广播包，看起来象这样子；"我是主机xxx.xxx.xxx.xxx，mac是xxxxxxxxxxx，ip为xxx.xxx.xxx.xx1的主机请告之你的mac来"ip为xxx.xxx.xxx.xx1的主机响应这个广播，应答ARP广播为："我是xxx.xxx.xxx.xx1，我的mac为xxxxxxxxxx2"

于是，主机刷新自己的ARP缓存，然后发出该ip包。

了解这些常识后，现在就可以谈在网络中如何实现ARP欺骗了，可以看看这样一个例子：

一个入侵者想非法进入某台主机，他知道这台主机的只对192.0.0.3这个ip

开放23口，而他必须要使用telnet来进入这台主机，所以他要这么做：

1、他先研究192.0.0.3这台主机，发现这台95的机器使用一个oob就可以让他死掉。

2、于是，他送一个洪水包给192.0.0.3的139口，于是，该机器应包而死。

3、这时，主机发到192.0.0.3的ip包将无法被机器应答，系统开始更新自己的arp对应表

。将192.0.0.3的项目搽去。

4、这段时间里，入侵者把自己的ip改成192.0.0.3

5、他发一个ping给主机，要求主机更新主机的arp转换表。

6、主机找到该ip，然后在arp表中加入新的ip-->mac对应关系。

7、防火墙失效了，入侵的ip变成合法的mac地址，可以telnet了。

现在，假如该主机不只提供telnet，它还提供r命令（rsh，rcopy，rlogin等）那么，所有

的安全约定将无效，入侵者可以放心的使用这台主机的资源而不用担心被记录什么。

有人也许会说，这其实就是冒用ip嘛。是冒用了ip，但决不是ip欺骗，ip欺骗的原理比这

要复杂的多，实现的机理也完全不一样。

上面就是一个ARP的欺骗过程，这是在同网段发生的情况。但是，提醒注意的是，利用交

换集线器或网桥是无法阻止ARP欺骗的，只有路由分段是有效的阻止手段。（也就是ip包必须

经过路由转发。在有路由转发的情况下，ARP欺骗如配合ICMP欺骗将对网络造成极大的危害。

从某种角度讲，入侵者可以跨过路由监听网络中任何两点的通讯，如果设置防火墙，请注意

防火墙有没有提示过类似“某某IP是局域IP但从某某路由来”等这样的。

在有路由转发的情况下，发送到达路由的ip的主机其arp对应表中，ip的对应值是路由的mac。

比如:我ping[url]www.abc.com[/url]后，那么在我主机中，www.abc.com的IP对应项不是xxxx

的mac，而是我路由的mac，其ip也是我路由的IP。。

那么，如何防止ARP欺骗呢？

1、不要把你的信任关系建立在ip基础上或mac基础上，（rarp同样存在欺骗的

问题），理想的关系应该建立在ip+mac基础上。

2、设置静态的mac-->ip对应表，不要让主机刷新你设定好的转换表。

3、除非很有必要，否则停止使用ARP，将ARP做为永久条目保存在对应表中。

4、使用ARP服务器。通过该服务器查找自己的ARP转换表来响应其他机器的ARP广播。确

保这台ARP服务器不被黑。

5、使用"proxy"代理ip的传输。

6、使用硬件屏蔽主机。设置好你的路由，确保ip地址能到达合法的路径。（静态路

由ARP条目），注意，使用交换集线器和网桥无法阻止ARP欺骗。

7、管理员定期用响应的ip包中获得一个rarp请求，然后检查ARP响应的真实性。

8、管理员定期轮询，检查主机上的ARP缓存。

9、使用防火墙连续监控网络。注意有使用SNMP的情况下，ARP的欺骗有可能导致陷阱包

丢失。

===================================================================================================

1.首先给大家说说什么是ARP

ARP（AddressResolutionProtocol）是地址解析协议，是一种将IP地址转化成物理地址的协议。从IP地址到物理地址的映射有两种方式：表格方式和非表格方式。ARP具体说来就是将网络层（IP层，也就是相当于OSI的第三层）地址解析为数据连接层（MAC层，也就是相当于OSI的第二层）的MAC地址。

ARP原理：某机器A要向主机B发送报文，会查询本地的ARP缓存表，找到B的IP地址对应的MAC地址后，就会进行数据传输。如果未找到，则广播A一个ARP请求报文（携带主机A的IP地址Ia——物理地址Pa），请求IP地址为Ib的主机B回答物理地址Pb。网上所有主机包括B都收到ARP请求，但只有主机B识别自己的IP地址，于是向A主机发回一个ARP响应报文。其中就包含有B的MAC地址，A接收到B的应答后，就会更新本地的ARP缓存。接着使用这个MAC地址发送数据（由网卡附加MAC地址）。因此，本地高速缓存的这个ARP表是本地网络流通的基础，而且这个缓存是动态的。

ARP协议并不只在发送了ARP请求才接收ARP应答。当计算机接收到ARP应答数据包的时候，就会对本地的ARP缓存进行更新，将应答中的IP和MAC地址存储在ARP缓存中。因此，当中的某台机器B向A发送一个自己伪造的ARP应答，而如果这个应答是B冒充C伪造来的，即IP地址为C的IP，而MAC地址是伪造的，则当A接收到B伪造的ARP应答后，就会更新本地的ARP缓存，这样在A看来C的IP地址没有变，而它的MAC地址已经不是原来那个了。由于局域网的网络流通不是根据IP地址进行，而是按照MAC地址进行传输。所以，那个伪造出来的MAC地址在A上被改变成一个不存在的MAC地址，这样就会造成网络不通，导致A不能Ping通C！这就是一个简单的ARP欺骗。

2.网络执法官利用的就是这个原理！

在网络执法官中，要想限制某台机器上网，只要点击"网卡"菜单中的"权限"，选择指定的网卡号或在用户列表中点击该网卡所在行，从右键菜单中选择"权限"，在弹出的对话框中即可限制该用户的权限。对于未登记网卡，可以这样限定其上线：只要设定好所有已知用户（登记）后，将网卡的默认权限改为禁止上线即可阻止所有未知的网卡上线。使用这两个功能就可限制用户上网。其原理是通过ARP欺骗发给被攻击的电脑一个假的网关IP地址对应的MAC，使其找不到网关真正的MAC地址，这样就可以禁止其上网。

3.修改MAC地址突破网络执法官的封锁

根据上面的分析，我们不难得出结论：只要修改MAC地址，就可以骗过网络执法官的扫描，从而达到突破封锁的目的。下面是修改网卡MAC地址的方法：

在"开始"菜单的"运行"中输入regedit，打开，展开注册表到：HKEY_LOCAL_

MACHINE/System/CurrentControl

Set/Control/Class/子键，在子键下的0000，0001，0002等分支中查找DriverDesc（如果你有一块以上的网卡，就有0001，0002......在这里保存了有关你的网卡的，其中的DriverDesc内容就是网卡的描述，比如我的网卡是Intel210

41basedEthernetController），在这里假设你的网卡在0000子键。

在0000子键下添加一个字符串，命名为"NetworkAddress"，键值为修改后的MAC地址，要求为连续的12个16进制数。然后在"0000"子键下的NDI/params中新建一项名为NetworkAddress的子键，在该子键下添加名为"default"的字符串，键值为修改后的MAC地址。

在NetworkAddress的子键下继续建立名为"ParamDesc"的字符串，其作用为指定Network

Address的描述，其值可为"MACAddress"。这样以后打开网络邻居的"属性"，双击相应的网卡就会发现有一个"高级"设置，其下存在MACAddress的选项，它就是你在注册表中加入的新项"NetworkAddress"，以后只要在此修改MAC地址就可以了。

关闭注册表，重新启动，你的网卡地址已改。打开网络邻居的属性，双击相应网卡项会发现有一个MACAddress的高级设置项，用于直接修改MAC地址。

MAC地址也叫物理地址、硬件地址或链路地址，由制造商生产时写在硬件内部。这个地址与网络无关，即无论将带有这个地址的硬件（如网卡、集线器、路由器等）接入到网络的何处，它都有相同的MAC地址，MAC地址一般不可改变，不能由用户自己设定。MAC地址通常表示为12个16进制数，每2个16进制数之间用冒号隔开，如：08:00:20:0A:8C:6D就是一个MAC地址，其中前6位16进制数，08:00:20代表制造商的编号，它由IEEE分配，而后3位16进制数0A:8C:6D代表该制造商所制造的某个网络产品（如网卡）的系列号。每个网络制造商必须确保它所制造的每个以太网设备都具有相同的前三字节以及不同的后三个字节。这样就可保证世界上每个以太网设备都具有唯一的MAC地址。

另外，网络执法官的原理是通过ARP欺骗发给某台电脑有关假的网关IP地址所对应的MAC地址，使其找不到网关真正的MAC地址。因此，只要我们修改IP到MAC的映射就可使网络执法官的ARP欺骗失效，就隔开突破它的限制。你可以事先Ping一下网关，然后再用ARP-a命令得到网关的MAC地址，最后用ARP-sIP网卡MAC地址命令把网关的IP地址和它的MAC地址映射起来就可以了。

4.找到使你无法上网的对方

解除了网络执法官的封锁后，我们可以利用Arpkiller的"Sniffer杀手"扫描整个局域网IP段，然后查找处在"混杂"模式下的计算机，就可以发现对方了。具体方法是：运行Arpkiller，然后点击"Sniffer监测工具"，在出现的"Sniffer杀手"窗口中输入检测的起始和终止IP，单击"开始检测"就可以了。

检测完成后，如果相应的IP是绿帽子图标，说明这个IP处于正常模式，如果是红帽子则说明该网卡处于混杂模式。它就是我们的目标，就是这个家伙在用网络执法官在捣乱。

扫描时自己也处在混杂模式，把自己不能算在其中哦！

找到对方后怎么对付他就是你的事了，比方说你可以利用网络执法官把对方也给封锁了！:-)

要了解故障原理，我们先来了解一下ARP协议。

在局域网中，通过ARP协议来完成IP地址转换为第二层物理地址（即MAC地址）的。ARP协议对网络安全具有重要的意义。通过伪造IP地址和MAC地址实现ARP欺骗，能够在网络中产生大量的ARP通信量使网络阻塞。

ARP协议是“AddressResolutionProtocol”（地址解析协议）的缩写。在局域网中，网络中实际传输的是“帧”，帧里面是有目标主机的MAC地址的。在以太网中，一个主机要和另一个主机进行直接通信，必须要知道目标主机的MAC地址。但这个目标MAC地址是如何获得的呢？它就是通过地址解析协议获得的。所谓“地址解析”就是主机在发送帧前将目标IP地址转换成目标MAC地址的过程。ARP协议的基本功能就是通过目标设备的IP地址，查询目标设备的MAC地址，以保证通信的顺利进行。

每台安装有的电脑里都有一个ARP缓存表，表里的IP地址与MAC地址是一一对应的，如下表所示。

主机IP地址MAC地址

A192.168.16.1aa-aa-aa-aa-aa-aa

B192.168.16.2bb-bb-bb-bb-bb-bb

C192.168.16.3cc-cc-cc-cc-cc-cc

D192.168.16.4dd-dd-dd-dd-dd-dd

我们以主机A（192.168.16.1）向主机B（192.168.16.2）发送数据为例。当发送数据时，主机A会在自己的ARP缓存表中寻找是否有目标IP地址。如果找到了，也就知道了目标MAC地址，直接把目标MAC地址写入帧里面发送就可以了；如果在ARP缓存表中没有找到相对应的IP地址，主机A就会在网络上发送一个广播，目标MAC地址是“FF.FF.FF.FF.FF.FF”，这表示向同一网段内的所有主机发出这样的询问：“192.168.16.2的MAC地址是什么？”网络上其他主机并不响应ARP询问，只有主机B接收到这个帧时，才向主机A做出这样的回应：“192.168.16.2的MAC地址是bb-bb-bb-bb-bb-bb”。这样，主机A就知道了主机B的MAC地址，它就可以向主机B发送了。同时它还更新了自己的ARP缓存表，下次再向主机B发送时，直接从ARP缓存表里查找就可以了。ARP缓存表采用了老化机制，在一段时间内如果表中的某一行没有使用，就会被删除，这样可以大大减少ARP缓存表的长度，加快查询速度。

从上面可以看出，ARP协议的基础就是信任局域网内所有的人，那么就很容易实现在以太网上的ARP欺骗。对目标A进行欺骗，A去Ping主机C却发送到了DD-DD-DD-DD-DD-DD这个地址上。如果进行欺骗的时候，把C的MAC地址骗为DD-DD-DD-DD-DD-DD，于是A发送到C上的数据包都变成发送给D的了。这不正好是D能够接收到A发送的数据包了么，嗅探成功。

A对这个变化一点都没有意识到，但是接下来的事情就让A产生了怀疑。因为A和C连接不上了。D对接收到A发送给C的数据包可没有转交给C。

做“maninthemiddle”，进行ARP重定向。打开D的IP转发功能，A发送过来的数据包，转发给C，好比一个路由器一样。不过，假如D发送ICMP重定向的话就中断了整个计划。

D直接进行整个包的修改转发，捕获到A发送给C的数据包，全部进行修改后再转发给C，而C接收到的数据包完全认为是从A发送来的。不过，C发送的数据包又直接传递给A，倘若再次进行对C的ARP欺骗。现在D就完全成为A与C的中间桥梁了，对于A和C之间的通讯就可以了如指掌了。

【故障现象】

当局域网内某台主机运行ARP欺骗的时，会欺骗局域网内所有主机和路由器，让所有上网的流量必须经过病毒主机。其他用户原来直接通过路由器上网现在转由通过病毒主机上网，切换的时候用户会断一次线。

切换到病毒主机上网后，如果用户已经登陆了传奇服务器，那么病毒主机就会经常伪造断线的假像，那么用户就得重新登录传奇服务器，这样病毒主机就可以盗号了。

由于ARP欺骗的木马程序发作的时候会发出大量的数据包导致局域网通讯拥塞以及其自身的限制，用户会感觉上网速度越来越慢。当ARP欺骗的木马程序停止运行时，用户会恢复从路由器上网，切换过程中用户会再断一次线。

【HiPER用户快速发现ARP欺骗木马】

在路由器的“系统历史记录”中看到大量如下的（440以后的版本中才有此提示）：

MACChged10.128.103.124

MACOld00:01:6c:36:d1:7f

MACNew00:05:5d:60:c7:18

这个消息代表了用户的MAC地址发生了变化，在ARP欺骗木马开始运行的时候，局域网所有主机的MAC地址更新为病毒主机的MAC地址（即所有的MACNew地址都一致为病毒主机的MAC地址），同时在路由器的“用户统计”中看到所有用户的MAC地址都一样。

如果是在路由器的“系统历史记录”中看到大量MACOld地址都一致，则说明局域网内曾经出现过ARP欺骗（ARP欺骗的木马程序停止运行时，主机在路由器上恢复其真实的MAC地址）。

【在局域网内查找病毒主机】

在上面我们已经知道了使用ARP欺骗木马的主机的MAC地址，那么我们就可以使用NBTSCAN（下载地址：[url][/url]）工具来快速查找它。

NBTSCAN可以取到PC的真实IP地址和MAC地址，如果有””在做怪，可以找到装有木马的PC的IP/和MAC地址。

命令：“nbtscan-r192.168.16.0/24”（搜索整个192.168.16.0/24网段，即

192.168.16.1-192.168.16.254）；或“nbtscan192.168.16.25-137”搜索192.168.16.25-137网段，即192.168.16.25-192.168.16.137。输出结果第一列是IP地址，最后一列是MAC地址。

NBTSCAN的使用范例：

假设查找一台MAC地址为“000d870d585f”的病毒主机。

1）将压缩包中的nbtscan.exe和cygwin1.dll解压缩放到c:/下。

2）在开始—运行—打开，输入cmd（windows98输入“command”），在出现的窗口中输入：C:/nbtscan-r192.168.16.1/24（这里需要根据用户实际网段输入），回车。

C:/DocumentsandSettings/ALAN>C:/nbtscan-r192.168.16.1/24

Warning:-roptionnotsupportedunderWindows.Runningwithoutit.

DoingNBTnamescanforaddressesfrom192.168.16.1/24

IPaddressNetBIOSNameServerUserMACaddress

------------------------------------------------------------------------------

192.168.16.0Sendtofailed:Cannotassignrequestedaddress

192.168.16.50SERVER00-e0-4c-4d-96-c6

192.168.16.111LLFADMINISTRATOR00-22-55-66-77-88

192.168.16.121UTT-HIPER00-0d-87-26-7d-78

192.168.16.175JC00-07-95-e0-7c-d7

192.168.16.223test123test12300-0d-87-0d-58-5f

3）通过查询IP--MAC对应表，查出“000d870d585f”的病毒主机的IP地址为“192.168.16.223”。

【解决思路】

1、不要把你的网络安全信任关系建立在IP基础上或MAC基础上，（rarp同样存在欺骗的问题），理想的关系应该建立在IP+MAC基础上。

2、设置静态的MAC-->IP对应表，不要让主机刷新你设定好的转换表。

3、除非很有必要，否则停止使用ARP，将ARP做为永久条目保存在对应表中。

4、使用ARP服务器。通过该服务器查找自己的ARP转换表来响应其他机器的ARP广播。确保这台ARP服务器不被黑。

5、使用"proxy"代理IP的传输。

6、使用硬件屏蔽主机。设置好你的路由，确保IP地址能到达合法的路径。（静态配置路由ARP条目），注意，使用交换集线器和网桥无法阻止ARP欺骗。

7、管理员定期用响应的IP包中获得一个rarp请求，然后检查ARP响应的真实性。

8、管理员定期轮询，检查主机上的ARP缓存。

9、使用防火墙连续监控网络。注意有使用SNMP的情况下，ARP的欺骗有可能导致陷阱包丢失。

【HiPER用户的】

建议用户采用双向绑定的方法解决并且防止ARP欺骗。

1、在PC上绑定路由器的IP和MAC地址：

1）首先，获得路由器的内网的MAC地址（例如HiPER网关地址192.168.16.254的MAC地址为0022aa0022aa）。

2）编写一个批处理文件rarp.bat内容如下：

@echooff

arp-d

arp-s192.168.16.25400-22-aa-00-22-aa

将文件中的网关IP地址和MAC地址更改为您自己的网关IP地址和MAC地址即可。

将这个批处理软件拖到“windows--开始--程序--启动”中。

3）如果是，可以利用收费软件服务端程序（pubwin或者万象都可以）发送批处理文件rarp.bat到所有客户机的启动目录。的默认启动目录为“C:/DocumentsandSettings/AllUsers「开始」菜单程序启动”。

2、在路由器上绑定用户主机的IP和MAC地址（440以后的路由器软件版本支持）：

在HiPER管理界面--高级配置--用户管理中将局域网每台主机均作绑定。

什么是ARP？以及如何防范ARP欺骗技术

首先还是得说一下什么是ARP。如果你在Shell下输入arp-a这个ip开放23口，而他必须要使用telnet来进入这台主机，所以他要这么做：

1、他先研究192.0.0.3这台主机，发现这台95的机器使用一个oob就可以让他死掉。

2、于是，他送一个洪水包给192.0.0.3的139口，于是，该机器应包而死。

3、这时，主机发到192.0.0.3的ip包将无法被机器应答，系统开始更新自己的arp对应表。将192.0.0.3的项目搽去。

4、这段时间里，入侵者把自己的ip改成192.0.0.3

5、他发一个ping给主机，要求主机更新主机的arp转换表。

6、主机找到该ip，然后在arp表中加入新的ip-->mac对应关系。

7、防火墙失效了，入侵的ip变成合法的mac地址，可以telnet了。

现在，假如该主机不只提供telnet，它还提供r命令（rsh，rcopy，rlogin等）那么，所有的安全约定将无效，入侵者可以放心的使用这台主机的资源而不用担心被记录什么。

有人也许会说，这其实就是冒用ip嘛。是冒用了ip，但决不是ip欺骗，ip欺骗的原理比这要复杂的多，实现的机理也完全不一样。

上面就是一个ARP的欺骗过程，这是在同网段发生的情况。但是，提醒注意的是，利用交换集线器或网桥是无法阻止ARP欺骗的，只有路由分段是有效的阻止手段。（也就是ip包必须经过路由转发。在有路由转发的情况下，ARP欺骗如配合ICMP欺骗将对网络造成极大的危害。从某种角度讲，入侵者可以跨过路由监听网络中任何两点的通讯，如果设置防火墙，请注意防火墙有没有提示过类似“某某IP是局域IP但从某某路由来”等这样的。

在有路由转发的情况下，发送到达路由的ip的主机其arp对应表中，ip的对应值是路由的mac。

比如:我ping[url]www.xxxx.com[/url]后，那么在我主机中，www.xxxx.com的IP对应项不是xxxx的mac，而是我路由的mac，其ip也是我路由的IP。。

有兴趣做深入一步的朋友可以考虑这样一种情况：

假设这个入侵者突然想到：我要经过一个路由才可以走到那台有防火墙的主机！！！

于是这个入侵者开始思考：

1、我的机器可以进入那个网段，但是，不是用192.0.0.3的IP。

2、如果我用那个IP，就算那台正版192.0.0.3的机器死了，那个网络里的机器也不会把ip包丢到路由传给我。

3、所以，我要骗主机把ip包丢到路由。

通过多种欺骗手法可以达到这个目的。所以他开始这样做：

1、为了使自己发出的非法ip包能在网络上活久一点，开始修改ttl为下面的过程中可能带来的问题做准备。他把ttl改成255。

2、他掏出一张软盘，这张软盘中有他以前用sniffer时保存的各种ip包类型。

3、他用一个合法的ip进入网络，然后和上面一样，发个洪水包让正版的192.0.0.3死掉，然后他用192.0.0.3进入网络。

4、在该网络的主机找不到原来的192.0.0.3的mac后，将更新自己的ARP对应表。于是他赶紧修改软盘中的有关ARP广播包的数据，然后对说"能响应ip为192.0.0.3的mac是我"。

5、好了，现在每台主机都知道了，一个新的MAC地址对应ip192.0.0.3，一个ARP欺骗完成了，但是，每台主机都只会在局域网中找这个地址而根本就不会把发送给192.0.0.3的ip包丢给路由。于是他还得构造一个ICMP的重定向广播。

6、他开始再修改软盘中的有关ICMP广播包的数据，然后发送这个包，告诉网络中的主机："到192.0.0.3的路由最短路径不是局域网，而是路由。请主机重定向你们的路由路径，把所有到192.0.0.3的ip包丢给路由哦。"

7、主机接受这个合理的ICMP重定向，于是修改自己的路由路径，把对192.0.0.3的ip通讯都丢给路由器。

8、入侵者终于可以在路由外收到来自路由内的主机的ip包了，他可以开始telnet到主机的23口，用ip192.0.0.3。

注意，这只是一个典型的例子，在实际操作中要考虑的问题还不只这些。

现在想想，如果他要用的是sniffer会怎样？

可见，利用ARP欺骗，一个入侵者可以：

1、利用基于ip的安全性不足，冒用一个合法ip来进入主机。

2、逃过基于ip的许多程序的安全检查，如NSF，R系列命令等。

他甚至可以栽账嫁祸给某人，让他跳到黄河洗不清，永世不得超生！

那么，如何防止ARP欺骗呢？

1、不要把你的网络安全信任关系建立在ip基础上或mac基础上，（rarp同样存在欺骗的问题），理想的关系应该建立在ip+mac基础上。

2、设置静态的mac-->ip对应表，不要让主机刷新你设定好的转换表。

3、除非很有必要，否则停止使用ARP，将ARP做为永久条目保存在对应表中。

4、使用ARP服务器。通过该服务器查找自己的ARP转换表来响应其他机器的ARP广播。确保这台ARP服务器不被黑。

5、使用"proxy"代理ip的传输。

6、使用硬件屏蔽主机。设置好你的路由，确保ip地址能到达合法的路径。（静态配置路由ARP条目），注意，使用交换集线器和网桥无法阻止ARP欺骗。

7、管理员定期用响应的ip包中获得一个rarp请求，然后检查ARP响应的真实性。

8、管理员定期轮询，检查主机上的ARP缓存。

9、使用防火墙连续监控网络。注意有使用SNMP的情况下，ARP的欺骗有可能导致陷阱包丢

失。

以下收集的资料，供做进一步了解ARP协议

ARP的缓存记录格式：

每一行为：

IFIndex:PhysicalAddress:IPAddress:Type

其中：IFIndex为：

1以太网

2实验以太网

3X.25

4ProteonProNET

5混杂方式

6IEEE802.X

7ARC网

ARP广播申请和应答结构

硬件类型：协议类型：协议地址长：硬件地址长：操作码：发送机硬件地址：

发送机IP地址：接受机硬件地址：接受机IP地址。

其中：协议类型为：512XEROXPUP

513PUP地址转换

1536XEROXNSIDP

2048Internet协议

2049X.752050NBS

2051ECMA

2053X.25第3层

2054ARP

2055XNS

4096伯克利追踪者

21000BBSSimnet

24577DECMOP转储/装载

24578DECMOP台

24579DEC网IV段

24580DECLAT

24582DEC

32773HP探示器

32821RARP

32823AppleTalk

32824DEC局域网桥

如果你用过NetXRay，那么这些可以帮助你了解在细节上的ARP欺骗如何配合ICMP欺骗而让一个某种类型的广播包流入一个.

首先还是得说一下什么是ARP。如果你在UNIXShell下输入arp-a这个ip开放23口，而他必须要使用telnet来进入这台主机，所以他要这么做：

1、他先研究192.0.0.3这台主机，发现这台95的机器使用一个oob就可以让他死掉。

2、于是，他送一个洪水包给192.0.0.3的139口，于是，该机器应包而死。

3、这时，主机发到192.0.0.3的ip包将无法被机器应答，系统开始更新自己的arp对应表。将192.0.0.3的项目搽去。

4、这段时间里，入侵者把自己的ip改成192.0.0.3

5、他发一个ping给主机，要求主机更新主机的arp转换表。

6、主机找到该ip，然后在arp表中加入新的ip-->mac对应关系。

7、防火墙失效了，入侵的ip变成合法的mac地址，可以telnet了。

现在，假如该主机不只提供telnet，它还提供r命令（rsh，rcopy，rlogin等）那么，所有的安全约定将无效，入侵者可以放心的使用这台主机的资源而不用担心被记录什么。

有人也许会说，这其实就是冒用ip嘛。是冒用了ip，但决不是ip欺骗，ip欺骗的原理比这要复杂的多，实现的机理也完全不一样。

上面就是一个ARP的欺骗过程，这是在同网段发生的情况。但是，提醒注意的是，利用交换集线器或网桥是无法阻止ARP欺骗的，只有路由分段是有效的阻止手段。（也就是ip包必须经过路由转发。在有路由转发的情况下，ARP欺骗如配合ICMP欺骗将对网络造成极大的危害。从某种角度讲，入侵者可以跨过路由监听网络中任何两点的通讯，如果设置防火墙，请注意防火墙有没有提示过类似“某某IP是局域IP但从某某路由来”等这样的。

在有路由转发的情况下，发送到达路由的ip的主机其arp对应表中，ip的对应值是路由的mac。

比如:我ping[url]www.xxxx.com[/url]后，那么在我主机中，www.xxxx.com的IP对应项不是xxxx的mac，而是我路由的mac，其ip也是我路由的IP。。

有兴趣做深入一步的朋友可以考虑这样一种情况：

假设这个入侵者突然想到：我要经过一个路由才可以走到那台有防火墙的主机！！！

于是这个入侵者开始思考：

1、我的机器可以进入那个网段，但是，不是用192.0.0.3的IP。

2、如果我用那个IP，就算那台正版192.0.0.3的机器死了，那个网络里的机器也不会把ip包丢到路由传给我。

3、所以，我要骗主机把ip包丢到路由。

通过多种欺骗手法可以达到这个目的。所以他开始这样做：

1、为了使自己发出的非法ip包能在网络上活久一点，开始修改ttl为下面的过程中可能带来的问题做准备。他把ttl改成255。

2、他掏出一张软盘，这张软盘中有他以前用sniffer时保存的各种ip包类型。

3、他用一个合法的ip进入网络，然后和上面一样，发个洪水包让正版的192.0.0.3死掉，然后他用192.0.0.3进入网络。

4、在该网络的主机找不到原来的192.0.0.3的mac后，将更新自己的ARP对应表。于是他赶紧修改软盘中的有关ARP广播包的数据，然后对网络广播说"能响应ip为192.0.0.3的mac是我"。

5、好了，现在每台主机都知道了，一个新的MAC地址对应ip192.0.0.3，一个ARP欺骗完成了，但是，每台主机都只会在局域网中找这个地址而根本就不会把发送给192.0.0.3的ip包丢给路由。于是他还得构造一个ICMP的重定向广播。

6、他开始再修改软盘中的有关ICMP广播包的数据，然后发送这个包，告诉网络中的主机："到192.0.0.3的路由最短路径不是局域网，而是路由。请主机重定向你们的路由路径，把所有到192.0.0.3的ip包丢给路由哦。"

7、主机接受这个合理的ICMP重定向，于是修改自己的路由路径，把对192.0.0.3的ip通讯都丢给路由器。

8、入侵者终于可以在路由外收到来自路由内的主机的ip包了，他可以开始telnet到主机的23口，用ip192.0.0.3。

注意，这只是一个典型的例子，在实际操作中要考虑的问题还不只这些。

现在想想，如果他要用的是sniffer会怎样？

可见，利用ARP欺骗，一个入侵者可以：

1、利用基于ip的安全性不足，冒用一个合法ip来进入主机。

2、逃过基于ip的许多程序的安全检查，如NSF，R系列命令等。

他甚至可以栽账嫁祸给某人，让他跳到黄河洗不清，永世不得超生！

那么，如何防止ARP欺骗呢？

1、不要把你的网络安全信任关系建立在ip基础上或mac基础上，（rarp同样存在欺骗的问题），理想的关系应该建立在ip+mac基础上。

2、设置静态的mac-->ip对应表，不要让主机刷新你设定好的转换表。

3、除非很有必要，否则停止使用ARP，将ARP做为永久条目保存在对应表中。

4、使用ARP服务器。通过该服务器查找自己的ARP转换表来响应其他机器的ARP广播。确保这台ARP服务器不被黑。

5、使用"proxy"代理ip的传输。

6、使用硬件屏蔽主机。设置好你的路由，确保ip地址能到达合法的路径。（静态配置路由ARP条目），注意，使用交换集线器和网桥无法阻止ARP欺骗。

7、管理员定期用响应的ip包中获得一个rarp请求，然后检查ARP响应的真实性。

8、管理员定期轮询，检查主机上的ARP缓存。

9、使用防火墙连续监控网络。注意有使用SNMP的情况下，ARP的欺骗有可能导致陷阱包丢

失。

以下收集的资料，供做进一步了解ARP协议

ARP的缓存记录格式：

每一行为：

IFIndex:PhysicalAddress:IPAddress:Type

其中：IFIndex为：

1以太网

2实验以太网

3X.25

4ProteonProNET

5混杂方式

6IEEE802.X

7ARC网

ARP广播申请和应答结构

硬件类型：协议类型：协议地址长：硬件地址长：操作码：发送机硬件地址：

发送机IP地址：接受机硬件地址：接受机IP地址。

其中：协议类型为：512XEROXPUP

513PUP地址转换

1536XEROXNSIDP

2048Internet协议

2049X.752050NBS

2051ECMA

2053X.25第3层

2054ARP

2055XNS

4096伯克利追踪者

21000BBSSimnet

24577DECMOP转储/装载

24578DECMOP远程控制台

24579DEC网IV段

24580DECLAT

24582DEC

32773HP探示器

32821RARP

32823AppleTalk

32824DEC局域网桥

如果你用过NetXRay，那么这些可以帮助你了解在细节上的ARP欺骗如何配合ICMP欺骗而让一个某种类型的广播包流入一个.

===================================================================================================

亲身经历

8月22号ARP攻击问题解决报告

局域网内部个别机器出现网络时断时续的现象，开始考虑到以下几个疑点：

1.是否路由器的处理能力问题，由于公司内部机器访问网络的流量超过了友讯DI-707P处理能力。

2综合布线时小型的端口占用，端口数使用超过规定。

3.网线的质量问题。

4局域网内部存在木马，和病毒。

5电信以及下面机房设备问题。

解决网络时断时续：

使用《AntiArp_防ARP攻击小工具》发现ARP攻击的根源。断开机器的，网络正常。

AntiArp_防ARP攻击小工具

P2P终结者

是两款不错的软件，P2P上传不了，可以自己找下