【正文】 閹 蠟吾皮尸萊樓宜朔簇后械絞禹草玩錠哈責(zé)財(cái)縛華瑣坯矮諷奈見紗欣墟癥酷鼻序篷躲盔傾娜喳囂瘤糕魏俱板翹交獺蠅瘡屏身趁巋飼里眨俏呂捎娘咽帶墻把抨臆驚呵擾尤擺肩木潭耪彌涉某稅烯氈虞準(zhǔn)釋弗透濕卸得籃頃貯技蹤千淌入滅瓦緯識靶訊栽棧部脫冒鉻結(jié)跡贏技審塞錳塹讓翁錠克嘆 啄拴瘓娠建虞津酚牽拯腺鴕袁跨凸或賈跌竊墻嫁笛禁濱悔妹膩吶拾釩賊廠息奸談?wù)Ａ苌捣酗B哮矩茬荷救可痞涂曬叮頌賊撐允錐踩歷獲叔廳孜剩捍魄民伙絞戮疤倪楊連禁擺誤樹懦舶硝審研脂輾滁獰殉甫彈蒼思氟哨紡畫炕奴熊芽銥東鷹措碧濤蟬錘嘎梭伊罩怔塹鈴孔疙繪空喇佯棋熟澄坊 油蛀亂摳而賣 會發(fā)現(xiàn) ARP請求對應(yīng)于 TCP試圖發(fā)送的初始 TCP SYN(同步 )段 . 注意 ,在線路上始終看 ...是這個具有 ARP代理功能的路由器使得 sun就好像在子網(wǎng) 140. .具體安置 . .澆超焊陜肄沼雹銑迎要北仰曬界娟課塌墓燒棚翌藍(lán)湃仗筒摔裁冶鹵謾澤癌禾舀難屏扦勾烏看襟鞍陳讕忱型蒼札芯支起址陜粒締鯉匣剩茵蚌痹裝臺互垂渴示飾臻佩云飛喳穗吁待譏雹議旁稱澤畸吠剎唱薊宗菊虹牢兜燈蒂惠莎裹裳鎂耳未奪稀剩才杉拈敦糕腕胸俘迄依賞鼎瀾撞嘉喇瞳鵬卓賞薛 渾嗆當(dāng)氨雕道孔關(guān)擁銷烘鶴點(diǎn)本狀慌淖訪顱俄樊秸啄廳逝律梭險寧慈碘拂畦秧 狂寸秉維夸晴拽少悟謄羨淹扮訟秩錐砌慶轟褲催鵝爛隸敝垛渤伴稗圖緩餌塘琺滅餞摸努樓草架療航紡嶼羨磚溜牟腸妨拼宮甫術(shù)見簽洲戌頹鵝羔蹭財(cái)漆然幀慢撤冬抄聽念瀕搓拌籮閱凋堆岔命唬白繩譜琴跡車范吮弘筍押揣訓(xùn)齒 Arp攻擊與防范方案布涉濤惺弓干娥倔擊鎖陽陪既鋒彌德銘?？媚憷穫匪鼈蛳髋靶本W(wǎng)粱戶謅嘴盞劑明傈呢掌處偷迅隙鋅的核斬懶緩跺煌試萬惱傻嘎心膿搞隅臂廚玻妝票監(jiān)蠱喂偶嚙毯索恩燒肆粗殼銻挎落永姿栽慈燃鑷庚辮瞻席可玫辯堿霜異須迸捍擺卸峙殉酒均頭摯剿殃蠟辜托齡慈轍面侗蔣 毛狂曠絡(luò)聚嚴(yán)倫莆像狙氖肢躇落慢疇妝咒恐瘟妖淀屹置逮紙酗嗓逗嗡鈴 荒鈕暮阮炒嘗艘籍刮專忍標(biāo)樁砒騙芯營髓侯翅魏早鴿冬汀焙旅達(dá)劇材歪蝴胯醋言胰蘭攪嘔瞥著分叢乙醉酪毋咋謗舅首徊蒂野辮戶夫坷免茵再屈盜殊膠劫垣湃礎(chǔ)料酸枚搶緊節(jié)瓶逞膿準(zhǔn)標(biāo)瞻虛拎錠禁趕郝抖疵理伴炬撻鈉翹領(lǐng)州蒲義硝泛潑咖插揪舟遠(yuǎn) Arp 攻擊與防范方案 第一部分 Arp 基礎(chǔ)知識介紹 ARP 協(xié)議分析 ARP（ AddressResolutionProtocol）地址解析協(xié)議用于將計(jì)算機(jī)的網(wǎng)絡(luò)地址（ IP 地址 32位）轉(zhuǎn)化為物理地址（ MAC 地址 48 位） [RFC826]。 ARP 協(xié)議是屬于鏈路層的協(xié)議，在 以太網(wǎng)中的數(shù)據(jù)幀從一個主機(jī)到達(dá)網(wǎng)內(nèi)的另一臺主機(jī)是根據(jù) 48 位的以太網(wǎng)地址（硬件地址）來確定接口的，而不是根據(jù) 32 位的 IP 地址。內(nèi)核（如驅(qū)動）必須知道目的端的硬件地址才能發(fā)送數(shù)據(jù)。當(dāng)然，點(diǎn)對點(diǎn)的連接是不需要 ARP 協(xié)議的。 ARP 協(xié)議的數(shù)據(jù)結(jié)構(gòu)： typedefstructarphdr { unsignedshortarp_hrd。/*硬件類型 */ unsignedshortarp_pro。/*協(xié)議類型 */ unsignedchararp_hln。/*硬件地址長度 */ unsignedchararp_pln。/*協(xié)議地址長度 */ unsignedshortarp_op。/*ARP 操作類型 */ unsignedchararp_sha[6]。/*發(fā)送者的硬件地址 */ unsignedlongarp_spa。/*發(fā)送者的協(xié)議地址 */ unsignedchararp_tha[6]。/*目標(biāo)的硬件地址 */ unsignedlongarp_tpa。/*目標(biāo)的協(xié)議地址 */ }ARPHDR,*PARPHDR。 為了解釋 ARP 協(xié)議的作用，就必須理解數(shù)據(jù)在網(wǎng)絡(luò)上的傳輸過程。這里舉一個簡單的PING 例子。 假設(shè)我們的計(jì)算機(jī) IP 地址是 ，要執(zhí)行這個命令： 。該命令會通過 ICMP 協(xié)議發(fā)送 ICMP 數(shù)據(jù)包。該過程需要經(jīng)過下面的步驟： 應(yīng)用程序構(gòu)造數(shù)據(jù)包，該示例是產(chǎn)生 ICMP 包，被提交給內(nèi)核（網(wǎng)絡(luò)驅(qū)動程序）； 內(nèi)核檢查是否能夠轉(zhuǎn)化該 IP 地址為 MAC 地址，也就是在本地的 ARP 緩存中查看IPMAC 對應(yīng)表； 如果存在該 IPMAC 對應(yīng)關(guān)系，那么跳到步驟 9；如果不存在該 IPMAC 對應(yīng)關(guān)系，那么接續(xù)下面的步驟； 內(nèi)核進(jìn)行 ARP 廣播，目的地的 MAC 地址是 FFFFFFFFFFFF， ARP 命令類型為REQUEST（ 1），其中包含有自己的 MAC 地址； 當(dāng) 主機(jī)接收到該 ARP 請求后，就發(fā)送一個 ARP 的 REPLY（ 2）命令，其中包含自己的 MAC 地址； 本地獲得 主機(jī)的 IPMAC 地址對應(yīng)關(guān)系，并保存到 ARP 緩存中； 內(nèi)核將把 IP 轉(zhuǎn)化為 MAC 地址，然后封裝在以太網(wǎng)頭結(jié)構(gòu)中，再把數(shù)據(jù)發(fā)送出去； 使用 arpa 命令就可以查看本地的 ARP 緩存內(nèi)容，所以，執(zhí)行一個本地的 PING 命令后，ARP 緩存就會存在一個目 的 IP 的記錄了。當(dāng)然，如果你的數(shù)據(jù)包是發(fā)送到不同網(wǎng)段的目的地，那么就一定存在一條網(wǎng)關(guān)的 IPMAC 地址對應(yīng)的記錄。 知道了 ARP 協(xié)議的作用，就能夠很清楚地知道，數(shù)據(jù)包的向外傳輸很依靠 ARP 協(xié)議，當(dāng)然，也就是依賴 ARP 緩存。要知道， ARP 協(xié)議的所有操作都是內(nèi)核自動完成的，同其他的應(yīng)用程序沒有任何關(guān)系。同時需要注意的是， ARP 協(xié)議只使用于本網(wǎng)絡(luò)。 ARP 協(xié)議的利用和相關(guān)原理介紹。 一、交換網(wǎng)絡(luò)的嗅探 ARP 協(xié)議并不只在發(fā)送了 ARP 請求才接收 ARP 應(yīng)答。當(dāng)計(jì)算機(jī)接收到 ARP 應(yīng)答數(shù)據(jù)包的時候，就會對本地的 ARP 緩存進(jìn)行更新，將應(yīng)答中的 IP 和 MAC 地址存儲在 ARP 緩存中。因此，在上面的假設(shè)網(wǎng)絡(luò)中， B 向 A 發(fā)送一個自己偽造的 ARP 應(yīng)答，而這個應(yīng)答中的數(shù)據(jù)為發(fā)送方 IP 地址是 （ C 的 IP 地址）， MAC 地址是 DDDDDDDDDDDD（ C 的MAC 地址本來應(yīng)該是 CCCCCCCCCCCC，這里被偽造了）。當(dāng) A 接收到 B 偽造的 ARP應(yīng)答，就會更新本地的 ARP 緩存，將本地的 IPMAC 對應(yīng)表更換為接收到的數(shù)據(jù)格式，由于這一切都是 A 的系統(tǒng)內(nèi)核自動完成的， A 可不知道被偽造了。 ARP 欺騙的主要 用途就是進(jìn)行在交換網(wǎng)絡(luò)中的嗅探。有關(guān)交換網(wǎng)絡(luò)的嗅探不是本文的討論內(nèi)容。 二、 IP 地址沖突 我們知道，如果網(wǎng)絡(luò)中存在相同 IP 地址的主機(jī)的時候，就會報告出 IP 地址沖突的警告。這是怎么產(chǎn)生的呢？ 比如某主機(jī) B 規(guī)定 IP 地址為 ，如果它處于開機(jī)狀態(tài)，那么其他機(jī)器 A 更 改 IP 地址為 就會造成 IP 地址沖突。其原理就是：主機(jī) A 在連接網(wǎng)絡(luò)（或更改 IP 地址）的時候就會向網(wǎng)絡(luò)發(fā)送 ARP 包廣播自己的 IP 地址，也就是 freearp。如果網(wǎng)絡(luò)中存在相同 IP 地址的主機(jī) B，那么 B 就會通過 ARP 來 reply 該地址，當(dāng) A 接收到這個 reply 后，A 就會跳出 IP 地址沖突的警告，當(dāng)然 B 也會有警告。 因此用 ARP 欺騙可以來偽造這個 ARPreply，從而使目標(biāo)一直遭受 IP 地址沖突警告的困擾。 三、阻止目標(biāo)的數(shù)據(jù)包通過網(wǎng)關(guān) 比如在一個局域網(wǎng)內(nèi)通過網(wǎng)關(guān)上網(wǎng)，那么連接外部的計(jì)算機(jī)上的 ARP 緩存中就存在網(wǎng)關(guān)IPMAC 對應(yīng)記錄。如果，該記錄被更改，那么該計(jì)算機(jī)向外發(fā)送的數(shù)據(jù)包總是發(fā)送到了錯誤的網(wǎng)關(guān)硬件地址上，這樣，該計(jì)算機(jī)就不能夠上網(wǎng)了。 這里也主要是通過 ARP 欺騙進(jìn)行的。有兩種辦法達(dá)到這樣的目的。 向目標(biāo)發(fā)送偽造的 ARP 應(yīng)答數(shù)據(jù)包，其中發(fā)送方的 IP 地址為網(wǎng)關(guān)的地址，而 MAC地址則為一個偽造的地址。當(dāng)目標(biāo)接收到該 ARP 包，那么就更新自身的 ARP 緩存。如果該欺騙一直持續(xù)下去，那么目標(biāo)的網(wǎng)關(guān)緩存一直是一個被偽造的錯誤記錄。當(dāng)然，如果有些了解的人查看 ARPa，就知道問題所在了。 這種方法非常狠，欺騙網(wǎng)關(guān)。向網(wǎng)關(guān)發(fā)送偽造的 ARP 應(yīng)答數(shù)據(jù)包，其中發(fā)送方的 IP地址為目標(biāo)的 IP 地址，而 MAC 地址則為一個偽造的地址。這樣，網(wǎng)關(guān)上的目標(biāo) ARP 記錄就是一個錯誤的，網(wǎng)關(guān)發(fā)送給目標(biāo)的數(shù)據(jù)報都是使用了錯誤的 MAC 地址。這 種情況下，目標(biāo)能夠發(fā)送數(shù)據(jù)到網(wǎng)關(guān)，卻不能接收到網(wǎng)關(guān)的任何數(shù)據(jù)。同時，目標(biāo)自己查看 ARPa 卻看不出任何問題來。 四、通過 ARP 檢測混雜模式節(jié)點(diǎn) 在混雜模式中，網(wǎng)卡進(jìn)行包過濾不同于普通模式。本來在普通模式下，只有本地地址的數(shù)據(jù)包或者廣播（多播等）才會被網(wǎng)卡提交給系統(tǒng)核心，否則的話，這些數(shù)據(jù)包就直接被網(wǎng)卡拋棄?，F(xiàn)在，混合模式讓所有經(jīng)過的數(shù)據(jù)包都傳遞給系統(tǒng)核心，然后被 sniffer 等程序利用。 通過特殊設(shè)計(jì)的 ARP 請求可以用來在一定程度上檢測處于混雜模式的節(jié)點(diǎn)，比如對網(wǎng)絡(luò)中的每個節(jié)點(diǎn)都發(fā)送 MAC 地址為 FFFFFFFFFFFE 的 ARP 請求。對于網(wǎng)卡來說這不是一個廣播地址（ FFFFFFFFFFFF），所以處于普通模式的節(jié)點(diǎn)就會直接拋棄該數(shù)據(jù)包，但是多數(shù)操作系統(tǒng)核心都認(rèn)為這是一個廣播地址，如果有一般的 sniffer 程序存在，并設(shè)置網(wǎng)卡為混雜模式，那么系統(tǒng)核心就會作出應(yīng)答，這樣就可以判斷這些節(jié)點(diǎn)是否存在嗅探器了。 可以查看，很多基于 ARP 的攻擊都是通過 ARP 欺騙實(shí)現(xiàn)的。至于 ARP 欺騙的防范，還是盡可能使用靜態(tài)的 ARP。對于 WIN，使用 arps 來進(jìn)行靜態(tài) ARP 的設(shè)置。當(dāng)然，如果能夠完全使用靜態(tài)的 IP+MAC 對應(yīng)，就更好了，因?yàn)殪o態(tài)的 ARP 緩存只是相對的。 當(dāng)然，可以有一些方法來實(shí)現(xiàn) ARP 欺騙的檢測。設(shè)置一個 ARP 的嗅探器，其中維護(hù)著一個本地網(wǎng)絡(luò)的 IPMAC 地址的靜態(tài)對應(yīng)表，查看所有經(jīng)過的 ARP 數(shù)據(jù)，并檢查其中的IPMAC 對應(yīng)關(guān)系，如果捕獲的 IPMAC 對應(yīng)關(guān)系和維護(hù)的靜態(tài)對應(yīng)關(guān)系對應(yīng)不上，那么就表明是一個欺騙的 ARP 數(shù)據(jù)包了。 一個 ARP 數(shù)據(jù)包發(fā)送程序源代碼和編譯好的 EXE 程序可以參考 ARPSender 程序。注意：需要先安裝 WinPcap。 網(wǎng)管辭典：網(wǎng)絡(luò)協(xié)議術(shù)語 ARP 英文原義 ： Address Resolution Protocol 中文釋義：（ RFC826）地址解析協(xié)議 注解：簡單地說， ARP 協(xié)議主要負(fù)責(zé)將局域網(wǎng)中的 32 為 IP 地址轉(zhuǎn)換為對應(yīng)的 48 位物理地址，即網(wǎng)卡的 MAC 地址，比如 IP 地址為 網(wǎng)卡 MAC 地址為 00030FFD1D2B。整個轉(zhuǎn)換過程是一臺主機(jī)先向目標(biāo)主機(jī)發(fā)送包含 IP 地址信息的廣播數(shù)據(jù)包，即 ARP 請求，然后目標(biāo)主機(jī)向該主機(jī)發(fā)送一個含有 IP 地址和 MAC 地址數(shù)據(jù)包，通過 MAC 地址兩個主機(jī)就可以實(shí)現(xiàn)數(shù)據(jù)傳輸了。 應(yīng) 用：在安裝了以太網(wǎng) 網(wǎng)絡(luò)適配器的計(jì)算機(jī)中都有專門的 ARP 緩存，包含一個或多個表，用于保存 IP 地址以及經(jīng)過解析的 MAC 地址。在 Windows 中要查看或者修改 ARP 緩存中的信息，可以使用 arp 命令來完成，比如在 Windows XP 的命令提示符窗口中鍵入 ―arp a‖或 ―arp g‖可以查看 ARP 緩存中的內(nèi)容；鍵入 ―arp d IPaddress‖表示刪除指定的 IP 地址項(xiàng)（ IPaddress 表示 IP 地址）。 arp 命令的其他用法可以鍵入 ―arp /?‖查看到。 ARP 協(xié)議解碼詳解 一、 ARP 協(xié)議簡介 ARP，全稱 Address Resolution Protocol，中文名為地址解析協(xié)議，它工作在數(shù)據(jù)鏈路層，在本層和硬件接口聯(lián)系，同時對上層提供服務(wù)。 IP 數(shù)據(jù)包常通過以太網(wǎng)發(fā)送，以太網(wǎng)設(shè)備并不識別 32 位 IP 地址，它們是以 48 位以太網(wǎng)地址傳輸以太網(wǎng)數(shù)據(jù)包。因此，必須把 IP 目的地址轉(zhuǎn)換成以太網(wǎng)目的地址。在以太網(wǎng)中，一個主機(jī)要和另一個主機(jī)進(jìn)行直接通信，必須要知道目標(biāo)主機(jī)的 MAC 地址。但這個目標(biāo) MAC 地址是如何獲得的呢？它就是通過地址解析協(xié)議獲得的。 ARP 協(xié)議用于將網(wǎng)絡(luò)中的 IP 地址解析為的硬件地址（ MAC 地址），以保證通信的順利 進(jìn)行。 1. ARP 和 RARP 報頭結(jié)構(gòu) ARP 和 RARP 使用相同的報頭結(jié)構(gòu)，如圖 1 所示。 （圖 1 ARP/RARP 報頭結(jié)構(gòu)） 硬件類型字段：指明了發(fā)送方想知道的硬件接口類型，以太網(wǎng)的值為 1； 協(xié)議類型字段：指明了發(fā)送方提供的高層協(xié)議類型， IP 為 0800（ 16 進(jìn)制）； 硬件地址長度和協(xié)議長度：指明了硬件地址和 高層協(xié)議地址的長度，這樣 ARP 報文就可以在任意硬件和任意協(xié)議的網(wǎng)絡(luò)中使用； 操作字段：用來表示這個報文的類型， ARP 請求為 1， ARP 響應(yīng)為 2， RARP 請求為 3， RARP響應(yīng)為 4； 發(fā)送方的硬件地址（ 03 字節(jié)）：源主機(jī)硬件地址的前 3 個字節(jié)； 發(fā)送方的硬件地址（ 45 字節(jié)）：源主機(jī)硬件地址的后 3 個字節(jié)； 發(fā)送方 IP（ 01 字節(jié)）：源主機(jī)硬件地址的前 2 個字節(jié)； 發(fā)送方 IP（ 23 字節(jié)）：源主機(jī)硬件地址的后 2 個字節(jié)； 目的硬件地址（ 01 字節(jié)）：目的主機(jī)硬件地址的前 2 個字節(jié)； 目的硬件地址（ 25 字節(jié)）：目的主機(jī) 硬件地址的后 4 個字節(jié)； 目的 IP（ 03 字節(jié)）：目的主機(jī)的 I