局域网ARP协议和欺骗技术及其对策

新客网 XKER.COM 2007-06-07 来源： 收藏本文

　　 三，如何实现ARP协议的欺骗技术和相应的对策

　　 1，ARP协议欺骗技术

　　 当我们设定一个目标进行ARP欺骗时，也就是把MAC地址通过一主机A发送到主机B上的数据包都变成发送给主机C的了，如果C能够接收到A发送的数据包后，第一步属于嗅探成功了，而对于主机A来目前是不可能意识到这一点，主机C接收到主机A发送给主机B的数据包可没有转交给B。当进行ARP重定向。打开主机C的IP转发功能，A发送过来的数据包，转发给C，好比一个路由器一样。但是这就是ARP协议欺骗真正的一步，假如主机C进行发送ICMP重定向的话就麻烦了，因为他可以直接进行整个包的修改转发，捕获到主机A发送给的数据包，全部进行修改后再转发给主机B，而主机B接收到的数据包完全认为是从主机A发送来的。这样就是主机C进行ARP协议欺骗技术，对于网络安全来是很重要的。当然还可以通过MAC地址进行欺骗的。

　　 2，ARP协议欺骗技术相应对策

　　 各种网络安全的对策都是相对的，主要要看网管平时对网络安全的重视性了。下面介始一些相应的对策：

　　 1) 在系统中建立静态ARP表 ,建立后对本身自已系统影响不大的，对网络影响较大，破坏了动态ARP解析过程。静态ARP协议表不会过期的，我们用“arp -d”命令清除ARP表，即手动删除。但是有的系统的静态ARP表项可以被动态刷新，如Solaris系统,那样的话依靠静态ARP表项并不能对抗ARP欺骗攻击，相反纵容了ARP欺骗攻击，因为虚假的静态ARP表项不会自动超时消失。当然， 可以考虑利用cron机制补救之。(增加一个crontab) 为了对抗ARP欺骗攻击，对于Solaris系统来说，应该结合"禁止相应网络接口做ARP解 析"和"使用静态ARP表"的设置

　　 2)在相对系统中禁止某个网络接口做ARP解析(对抗ARP欺骗攻击)，可以做静态ARP协议设置(因为对方不会响应ARP请求报文) 如：arp -s XXX.XXX.XX.X 08-00-20-a8-2e-ac

　　在绝大多数操作系统如：Unix，BSD，NT等，都可以结合"禁止相应网络 接口做ARP解析"和"使用静态ARP表"的设置来对抗ARP欺骗攻击。而Linux系统，其静态ARP表项不会被动态刷新，所以不需要"禁止相应网络接口做ARP解析"即可对抗ARP欺骗攻击。

　　 结尾：本文还较深入和直观地介绍了ARP协议的基本原理与基本工作过程及ARP欺骗技术。以及其对策，如果你有什么更好的ARP欺骗技术的对策，欢迎交流。谢谢。

• ·SSL VPN技术原理及应用全面解析
• ·网络知识 IPv6的寻址和路由方法
• ·IP PBX应用真的能降低部署成本吗？
• ·选择合适的VPN 建造功能均衡的VPN
• ·浅析网络管理中的七大计策
• ·为进入网络的连接配置静态NAT转换
• ·巧用ADSL指示灯快速定位网络故障
• ·破解阻碍SSL VPN的三大迷雾
• ·技巧：VPN配置简单说明书
• ·有矛就有盾 突破BT封锁疯狂下载！
• ·不同网络环境 快速配置网络参数的妙招
• ·剔除危险 用IPsec规则过滤网络
• ·新的IPv6技术对管理网络有何影响
• ·详解工行U盾驱动程序安装办法
• ·技巧:妙招去除网吧下载限制
• ·解决ADSL宽带拨号用户开机后慢的问题