【正文】 的欺騙包的 ARP Frame 的結(jié)構(gòu)，如表 所示。 P C 1I P ： 1 9 2 . 1 6 8 . 1 . 3M A C ： 0 0 0 f 1 f c 7 e 3 3 d攻 擊 P C 2I P ： 1 9 2 . 1 6 8 . 1 . 2M A C ： 0 0 0 f 1 f c 7 e 3 3 c肉 機(jī) P C 3I P ： 1 9 2 . 1 6 8 . 1 . 4M A C ： 0 0 a 7 3 d c 7 e 3 8 9路 由 器I P ： 1 9 2 . 1 6 8 . 1 . 1M A C ： 0 0 1 7 d f 4 a f 4 0 0交 換 機(jī) 圖 16 常見的 ARP 攻擊手段 常見的 ARP 攻擊為兩種類型： ARP 掃描和 ARP 欺騙。 表 ARP 響應(yīng)包中 DLC Header 內(nèi)容 DLC Header 字段 長(zhǎng)度（ Byte） 填充值 接收方 MAC 6 Bbbbbbbbbbbb 發(fā)送方 MAC 6 Aaaaaaaaaaaa Ether 2 0x0806 需要填寫只有三種數(shù)據(jù)： 請(qǐng)求包的操作碼 、 發(fā)送方的 MAC 地址和 IP地址、 接收方的 MAC 地址和 IP地址。首先填充 DLC Header，想要知道某個(gè) 主機(jī) 對(duì)應(yīng)的 MAC 地 址是要給全網(wǎng)發(fā)送廣播的，所以接收方 MAC 肯定是 ffffffffffff， 如表 所示。 //以太網(wǎng)目的地址 unsigned char eh_src[MAC_ADDR_LEN]。發(fā)送包則是相反的過程 ，進(jìn)行添加頭部信息 。主機(jī) A在得到主機(jī) B的 MAC 地址后，就可以與主機(jī) B通信了。然后，尋找 IP地址到實(shí)際 MAC 地址的映射，這需要發(fā)送 ARP數(shù)據(jù)包 消息。 傳輸層及其以下的通信機(jī)制由內(nèi)核提供， 應(yīng)用層由用戶進(jìn)程提供，應(yīng)用程序?qū)νㄐ艛?shù)據(jù)的含義進(jìn)行解釋，可以認(rèn)為是應(yīng)用層之間的協(xié)議。我們不需要了解內(nèi)部數(shù)據(jù)的具體情況，從而縮短了開發(fā)周期。 TCP/IP[5]協(xié)議它由兩個(gè)個(gè)部分組成，一個(gè)是用來檢測(cè)網(wǎng)絡(luò)傳輸中差錯(cuò)的傳輸控制協(xié)議（ TCP），當(dāng)檢測(cè)到傳輸中有差錯(cuò)時(shí)，它能產(chǎn)生重發(fā)信號(hào)，源端收到該信號(hào)后就重新傳輸發(fā)生差錯(cuò)的包，通過這種差錯(cuò)重傳機(jī)制保證數(shù)據(jù)正確傳輸?shù)侥康牡兀涣硪粋€(gè)是專門負(fù)責(zé)對(duì)不同網(wǎng)絡(luò)進(jìn)行互聯(lián)的互聯(lián)網(wǎng)協(xié)議（ IP）。就國內(nèi)來說，網(wǎng)絡(luò)監(jiān)控的研究剛剛起步，為 了解網(wǎng)絡(luò)的實(shí)時(shí)情況，對(duì)存在的網(wǎng)絡(luò)安全威脅進(jìn)行處理 ，各研究機(jī)構(gòu)和企業(yè)相應(yīng)研究和開發(fā)了一些應(yīng)用系統(tǒng)來防范網(wǎng)絡(luò)上的一些非法行為，但在產(chǎn)品的可靠性，檢測(cè)的準(zhǔn)確性方面，與國外的產(chǎn)品還有一定得距離，這些都需要進(jìn)一步的研究來解決。 ARP 協(xié)議 [2]是建立在信任局域網(wǎng)內(nèi)所有結(jié)點(diǎn)的基礎(chǔ)上的，它很高效，但卻不 安全。 關(guān)鍵詞 ： ARP欺騙攻擊 ； Visual C++ ；監(jiān)控 ； Protect；服務(wù)器 ；客戶端 Abstract The rapid development of the work, to human life, but also bring convenience to work security raised taller requirement. The need for further analysis of work protocols, it can be more effective application of security protocols. ARP protocol is TCP / IP protocol an important one, and its main function is to provide work equipment for the LAN IP address to hardware address (MAC address) of the conversion, its design based on the local area work equipment based on mutual trust between the For nontrusted device is not considered, so lots of ARP spoofing attack method. In this paper, the basic principle of ARP protocol to guard against ARP cheating, improve work security purposes. First of all, in the TCP / IP reference model, ARP protocol and other related theoretical study, based on ARP protocol analyzed the operation of mechanisms, including ARP cache, ARP frame format, ARP request and response operation processes. Secondly, the analysis of the principle of ARP deception, ARP deception is through to the target host to send a fake IPMAC mapping contains information on ARP response packet to achieve. Finally, under Windows system ARP cache updating the IP address and MAC address mapping information when the update does not test the reliability of the characteristics of Neirong, a serverbased client ARP deception defense model in order to achieve LAN ARP cheating achievement of the host defense purposes. The software uses the Visual C + + as development tools, using Winpcap (Windows Packet Capture) for work monitoring, to achieve a variety of functional requirements. Keywords: ARP attack ； Visual C++ ； Monitor ； Protect ； Server ；Client 目錄 第一章 概 述 ........................................................... 1 課題來源 .......................................................... 1 國內(nèi)外研究現(xiàn)狀 .................................................... 2 課題分析 .......................................................... 2 第二章 TCP/IP 協(xié)議及 ARP 地址解析協(xié)議概述 .................................. 4 TCP/IP 協(xié)議分析 ................................................... 4 數(shù)據(jù)包的封裝 ................................................................................................... 5 ARP 工作原理 ...................................................... 6 協(xié)議 ......................................................... 6 緩沖區(qū) ....................................................................................................... 8 報(bào)文格式 ................................................................................................... 9 第三章 ARP 欺騙分析及測(cè)試 ................................................ 15 欺騙模型 ...................................................... 15 常見的