【正文】 36。 捕獲局域網(wǎng)內(nèi)所有主機(jī)的發(fā)送和接受到的數(shù)據(jù)包。 如發(fā)現(xiàn)符合ARP欺騙的情況，可嘗試刪除并重建本機(jī)ARP Cache，如能恢復(fù)，則很可能正是受到了ARP攻擊。網(wǎng)絡(luò)問(wèn)題必定需要網(wǎng)絡(luò)的方法去解決，我們只有在日常的維護(hù)過(guò)程中，根據(jù)網(wǎng)絡(luò)的實(shí)際情況結(jié)合自身的ARP防范經(jīng)驗(yàn)，打全系統(tǒng)的補(bǔ)丁、正確配置和使用網(wǎng)絡(luò)防火墻、安裝防病毒軟件并及時(shí)更新病毒庫(kù)、以及部署適合自己網(wǎng)絡(luò)特點(diǎn)的常用的ARP防范方法，即使這些方法無(wú)法在根本上解決ARP攻擊的問(wèn)題，但是在防范基礎(chǔ)的ARP攻擊上還是能夠起到一定的作用。 總結(jié)： 通過(guò)對(duì)以上幾種普遍的ARP防范方法的分析，我們可以看出，現(xiàn)有ARP防范措施都存在一定的問(wèn)題?，F(xiàn)在大多數(shù)路由器都會(huì)在很短時(shí)間內(nèi)不停廣播自己的正確ARP信息，使受騙的主機(jī)回復(fù)正常。但是路由器的這種功能對(duì)于真正意義上的攻擊，是不能解決的。最不能接受的，就是網(wǎng)絡(luò)只能上網(wǎng)用，內(nèi)部其他的共享就不能在PPPoE下進(jìn)行了。不使用PPPoE，在進(jìn)行內(nèi)網(wǎng)訪問(wèn)時(shí)，ARP的問(wèn)題依然存在，什么都沒有解決，網(wǎng)絡(luò)的穩(wěn)定性還是不行。 問(wèn)題主要集中在效率和實(shí)用性上面： PPPoE需要對(duì)封包進(jìn)行二次封裝，在接入設(shè)備上再解封裝，必然降低了網(wǎng)絡(luò)傳輸效率，造成了帶寬資源的浪費(fèi)，要知道在路由等設(shè)備上添加PPPoE Server的處理效能和電信接入商的PPPoE Server可不是一個(gè)數(shù)量級(jí)的。 PPPoE網(wǎng)絡(luò)下面給每一個(gè)用戶分配一個(gè)帳號(hào)、密碼，上網(wǎng)時(shí)必須通過(guò)PPPoE認(rèn)證，這種方法也是防范ARP措施的一種。 因?yàn)榻粨Q網(wǎng)絡(luò)本身就是無(wú)條件支持ARP操作的，就是它本身的漏洞造成了ARP攻擊的可能，它上面的管理手段不是針對(duì)ARP的。在無(wú)線應(yīng)用下，又怎么辦呢？還是需要其他的辦法。 把每一臺(tái)電腦都牢牢地固定在一個(gè)交換機(jī)端口上，這種管理太死板了。這種方法確實(shí)能起到一定的作用。同時(shí)，一些網(wǎng)管交換機(jī)具有MAC地址學(xué)習(xí)的功能，學(xué)習(xí)完成后，再關(guān)閉這個(gè)功能，就可以把對(duì)應(yīng)的MAC和端口進(jìn)行綁定，避免了病毒利用ARP攻擊篡改自身地址。 VLAN和交換機(jī)端口綁定通過(guò)劃分VLAN和交換機(jī)端口綁定，以圖防范ARP，也是常用的防范方法。通過(guò)該服務(wù)器查找自己的ARP 轉(zhuǎn)換表來(lái)響應(yīng)其他機(jī)器的ARP 廣播。最重要的是，它是跟網(wǎng)絡(luò)穩(wěn)定無(wú)關(guān)的措施，它是個(gè)人的，不是網(wǎng)絡(luò)的。ARP個(gè)人防火墻起到的作用，就是防止自己的數(shù)據(jù)不會(huì)被盜取，而整個(gè)網(wǎng)絡(luò)的問(wèn)題，如掉線、卡滯等，ARP個(gè)人防火墻是無(wú)能為力的。2 、ARP是網(wǎng)絡(luò)中的問(wèn)題，ARP既能偽造網(wǎng)關(guān)，也能截獲數(shù)據(jù)，是個(gè)“雙頭怪”。如果一個(gè)網(wǎng)絡(luò)中已經(jīng)發(fā)生了ARP欺騙，有人在偽造網(wǎng)關(guān)，那么，ARP個(gè)人防火墻上來(lái)就會(huì)綁定這個(gè)錯(cuò)誤的網(wǎng)關(guān)，這是具有極大風(fēng)險(xiǎn)的。ARP防火墻使用范圍很廣，有很多人以為有了防火墻，ARP攻擊就不構(gòu)成威脅了，其實(shí)完全不是那么回事。因此，雖然雙綁是ARP防范的最基礎(chǔ)措施，但因?yàn)榉婪赌芰τ邢?，管理太麻煩，現(xiàn)在它的效果越來(lái)越有限了。對(duì)于流動(dòng)性電腦，這個(gè)需要隨時(shí)進(jìn)行的綁定工作，是網(wǎng)絡(luò)維護(hù)的巨大負(fù)擔(dān)。 在路由器上做IPMAC表的綁定工作，費(fèi)時(shí)費(fèi)力，是一項(xiàng)繁瑣的維護(hù)工作。 ARP命令常用參數(shù):arp –a 顯示所有ARP信息 arp –d 刪除所有ARP信息 arp –s 增加一條ARP信息 批處理代碼如下： echo off arp d arp–s 網(wǎng)關(guān)LAN IP 網(wǎng)關(guān)LAN MAC 同時(shí)路由器上做IPMAC表的綁定工作。它對(duì)付最普通的ARP欺騙是有效的。 常見的ARP攻擊防范方法有： 雙綁措施 使用ARP防護(hù)軟件 使用ARP服務(wù)器 VLAN和交換機(jī)端口綁定 PPPoE 具有ARP防護(hù)功能的路由器 雙綁是在路由器和終端上都進(jìn)行IPMAC綁定的措施，它可以對(duì)ARP欺騙的兩邊，偽造網(wǎng)關(guān)和截獲數(shù)據(jù)，都具有約束的作用。 網(wǎng)絡(luò)內(nèi)要有一個(gè)最可依賴的機(jī)構(gòu)，提供對(duì)網(wǎng)關(guān)IPMAC最強(qiáng)大的保護(hù)。 終端對(duì)網(wǎng)關(guān)的綁定要堅(jiān)實(shí)可靠，這個(gè)綁定能夠抵制被病毒搗毀。從實(shí)踐經(jīng)驗(yàn)看最為有效的防范方法即打全系統(tǒng)的補(bǔ)丁、正確配置和使用網(wǎng)絡(luò)防火墻、安裝防病毒軟件并及時(shí)更新病毒庫(kù)。其他用戶原來(lái)直接通過(guò)路由器上網(wǎng)現(xiàn)在轉(zhuǎn)由通過(guò)病毒主機(jī)上網(wǎng)，以截獲用戶私密信息。網(wǎng)絡(luò)剪刀手它盜用其他網(wǎng)絡(luò)主機(jī)IP對(duì)網(wǎng)關(guān)發(fā)送高頻率的單播（點(diǎn)對(duì)點(diǎn)）數(shù)據(jù)包，將網(wǎng)關(guān)與被盜用的合法主機(jī)的正常通訊隔離，導(dǎo)致被攻擊主機(jī)無(wú)法正常進(jìn)行網(wǎng)絡(luò)應(yīng)用。使用這兩個(gè)功能就可限制用戶上網(wǎng)。 ARP攻擊欺騙的典型實(shí)例 在網(wǎng)絡(luò)執(zhí)法官操作中，要想限制某臺(tái)機(jī)器上網(wǎng)，只要點(diǎn)擊網(wǎng)卡菜單中的權(quán)限，選擇指定的網(wǎng)卡號(hào)或在用戶列表中點(diǎn)擊該網(wǎng)卡所在行，從右鍵菜單中選擇權(quán)限，在彈出的對(duì)話框中即可限制該用戶的權(quán)限。網(wǎng)關(guān)發(fā)給該用戶的所有數(shù)據(jù)全部重定向到一個(gè)錯(cuò)誤的MAC地址，導(dǎo)致該用戶無(wú)法正常訪問(wèn)外網(wǎng)。網(wǎng)段內(nèi)的其他主機(jī)發(fā)給該用戶的所有數(shù)據(jù)都被重定向到錯(cuò)誤的MAC地址，同網(wǎng)段內(nèi)的用戶無(wú)法正常互訪。這種攻擊是ARP攻擊中最為常見的攻擊。 ——仿冒網(wǎng)關(guān)攻擊者發(fā)送偽造的網(wǎng)關(guān)ARP報(bào)文，欺騙同網(wǎng)段內(nèi)的其它主機(jī)。 欺騙目的：竊取數(shù)據(jù)，導(dǎo)致斷網(wǎng)。 出現(xiàn)原因：病毒程序、偵聽程序、掃描程序。 ARP掃描（ARP請(qǐng)求風(fēng)暴） 通訊模式(可能)：請(qǐng)求＞請(qǐng)求＞請(qǐng)求＞請(qǐng)求＞應(yīng)答＞請(qǐng)求＞請(qǐng)求＞請(qǐng)求……. 描述：網(wǎng)絡(luò)中出現(xiàn)大量ARP請(qǐng)求廣播包，幾乎都是對(duì)網(wǎng)段內(nèi)的所有主機(jī)進(jìn)行掃描。三、ARP攻擊的危害、癥狀及類型 ARP攻擊的危害 網(wǎng)絡(luò)頻繁掉線網(wǎng)速時(shí)快時(shí)慢網(wǎng)上銀行、網(wǎng)絡(luò)游戲及等賬號(hào)丟失 ARP攻擊盜取數(shù)據(jù)的過(guò)程1. 掃描目標(biāo)計(jì)算機(jī)2. 偽裝服務(wù)器3. 欺騙目標(biāo)計(jì)算機(jī)4. 截取目標(biāo)計(jì)算機(jī)所發(fā)數(shù)據(jù)5. 分析數(shù)據(jù)6. 轉(zhuǎn)發(fā)數(shù)據(jù)至Internet7. 截取Internet返回的數(shù)據(jù)8. 分析數(shù)據(jù)9. 轉(zhuǎn)發(fā)數(shù)據(jù)至目標(biāo)計(jì)算機(jī)10. 截取目標(biāo)計(jì)算機(jī)所發(fā)數(shù)據(jù)11. 分析數(shù)據(jù)12. 盜取重要數(shù)據(jù) ARP攻擊的癥狀1. 網(wǎng)絡(luò)時(shí)斷時(shí)通；2. 網(wǎng)絡(luò)中斷，重啟網(wǎng)關(guān)設(shè)備，網(wǎng)絡(luò)短暫連通；3. 內(nèi)網(wǎng)通訊正常、網(wǎng)關(guān)不通；4. 頻繁提示IP地址沖突；5. 硬件設(shè)備正常，局域網(wǎng)不通；6. 特定IP網(wǎng)絡(luò)不通，更換IP地址，網(wǎng)絡(luò)正常；7. 禁用啟用網(wǎng)卡，網(wǎng)絡(luò)短暫連通；8. 網(wǎng)頁(yè)被重定向。不過(guò)，C發(fā)送的數(shù)據(jù)包又直接傳遞給A，倘若再次進(jìn)行對(duì)C的ARP欺騙。因?yàn)锳和C連接不上了。做法就是：進(jìn)行欺騙的時(shí)候，把C的MAC地址騙為DD:DD:DD:DD:DD:DD ，于是A發(fā)送到C上的數(shù)據(jù)包都變成發(fā)送給D的了，嗅探成功。從上面可以看出，ARP協(xié)議的基礎(chǔ)就是信任局域網(wǎng)內(nèi)所有的人，那么就很容易實(shí)現(xiàn)在以太網(wǎng)上的ARP欺騙。同時(shí)它還更新了自己的ARP緩存表，下次再向主機(jī)B發(fā)送信息時(shí)，直接從ARP緩存表里查找就可以了。如果找到了，也就知道了目標(biāo)MAC地址，直接把目標(biāo)MAC地址寫入幀里面發(fā)送就可以了；如果在ARP緩存表中沒有找到相對(duì)應(yīng)的IP址，主機(jī)A就會(huì)在網(wǎng)絡(luò)上發(fā)送一個(gè)廣播，目標(biāo)MAC地址是“”，這表示向同一網(wǎng)段內(nèi)的所有主機(jī)發(fā)出這樣的詢問(wèn)：“？”網(wǎng)絡(luò)上其他主機(jī)并不響應(yīng)ARP詢問(wèn)，只有主機(jī)B接收到這個(gè)幀時(shí)，才向主機(jī)A做出這樣的回應(yīng)：“:bb:bb:bb:bb:bb”。主機(jī)IP地址MAC地址1aa:aa:aa:aa:aa:aa2bb:bb:bb:bb:bb:bb3cc:cc:cc:cc:cc:cc4dd:dd:dd:dd:dd:dd我們以主機(jī)A（）向主機(jī)B（）發(fā)送數(shù)據(jù)為例。這就為ARP欺騙提供了可能，惡意節(jié)點(diǎn)可以發(fā)布虛假的ARP報(bào)文從而影響網(wǎng)內(nèi)結(jié)點(diǎn)的通信，甚至可以利用此而做中間攻擊。 ARP協(xié)議的缺陷ARP協(xié)議是建立在信任局域網(wǎng)內(nèi)所有結(jié)點(diǎn)的基礎(chǔ)上的，它很高效，但卻不安全。 正常的ARP通訊過(guò)程只需ARP Request和ARP Replay兩個(gè)過(guò)程，簡(jiǎn)單的說(shuō)就是一問(wèn)一答. RARP協(xié)議工作原理RARP反向地址解析協(xié)議：物理地址IP地址 RARP的工作原理： 　　1． 發(fā)送主機(jī)發(fā)送一個(gè)本地的RARP廣播，在此廣播包中，聲明自己的MAC地址并且請(qǐng)求任何收到此請(qǐng)求的RARP服務(wù)器分配一個(gè)IP地址； 　　2． 本地網(wǎng)段上的RARP服務(wù)器收到此請(qǐng)求后，檢查其RARP列表，查找該MAC地址對(duì)應(yīng)的IP地址； 　　3． 如果存在，RARP服務(wù)器就給源主機(jī)發(fā)送一個(gè)響應(yīng)數(shù)據(jù)包并將此IP地址提供給對(duì)方主機(jī)使用； 　　4． 如果不存在，RARP服務(wù)器對(duì)此不做任何的響應(yīng)； 　　5． 源主機(jī)收到從RARP服務(wù)器的響應(yīng)信息，就利用得到的IP地址進(jìn)行通訊；如果一直沒有收到RARP服務(wù)器的響應(yīng)信息，表示初始化失敗。 源主機(jī)收到這個(gè)ARP響應(yīng)數(shù)據(jù)包后，將得到的目的主機(jī)的IP地址和MAC地址添加到自己的ARP列表中，并利用此信息開始數(shù)據(jù)的傳輸。網(wǎng)絡(luò)中所有的主機(jī)收到這個(gè)ARP請(qǐng)求后，會(huì)檢查數(shù)據(jù)包中的目的IP是否和自己的IP地址一致。 (arpa)當(dāng)源主機(jī)需要將一個(gè)數(shù)據(jù)包要發(fā)送到目的主機(jī)時(shí)，會(huì)首先檢查自己ARP列表中是否存在該IP地址對(duì)應(yīng)的MAC地址，如果有，就直接將數(shù)據(jù)包發(fā)送到這個(gè)MAC地址；如果沒有，就向本地網(wǎng)段發(fā)起一個(gè)ARP請(qǐng)求的廣播包，查詢此目的主機(jī)對(duì)應(yīng)的 MAC地址。ARP協(xié)議的基本功能就是通過(guò)目標(biāo)設(shè)備的IP地址，查詢目標(biāo)設(shè)備的MAC地址，以保證通信的順利進(jìn)行。ARP的作用：IP數(shù)據(jù)包不能直接在實(shí)際網(wǎng)絡(luò)中傳輸。但這個(gè)目標(biāo)MAC地址是如何獲得的呢？它就是通過(guò)地址解析協(xié)議獲得的。第四章 ARP病毒的防治一、ARP協(xié)議的工作原理 ARP定義ARP協(xié)議是“Address Resolution Protocol”（地址解析協(xié)議）的縮寫。黑客采用的主要攻擊方法：(1) 重復(fù)執(zhí)行ipconfig –release /all(2) 先執(zhí)行一次正常的DHCP過(guò)程調(diào)用NetXRay，把報(bào)文截取下來(lái)再修改MAC地址，把報(bào)文按順序發(fā)出去。 DHCP安全問(wèn)題DHCP協(xié)議雖然可以實(shí)現(xiàn)為客戶機(jī)動(dòng)態(tài)分配地址，但它的安全性有致命的弱點(diǎn):(1) 由于DHCP 服務(wù)器無(wú)法控制客戶的行為，無(wú)法識(shí)別客戶機(jī)的真假，因此DHCP 服務(wù)器的安全性較差，很容易遭到非法用戶的惡意攻擊。 步驟三，選擇“自動(dòng)獲取IP地址”及“自動(dòng)獲取DNS服務(wù)器地址”選項(xiàng)，單擊“確定”按鈕，完成設(shè)置。 以安裝Windows XP操作的計(jì)算機(jī)為例設(shè)置客戶機(jī)使用DHCP，方法如下： 步驟一，打開“控制面板”，打開“網(wǎng)絡(luò)連接”窗口。 圖318 DHCP管理控制臺(tái)窗口 DHCP客戶端的設(shè)置當(dāng)DHCP服務(wù)器配置完成后，客戶機(jī)就可以使用DHCP功能，可以通過(guò)設(shè)置網(wǎng)絡(luò)屬性中的TCP/IP通訊協(xié)議屬性，設(shè)定采用“DHCP自動(dòng)分配”或者“自動(dòng)獲取IP地址”方式獲取IP地址，設(shè)定“自動(dòng)獲取DNS服務(wù)器地址”獲取DNS服務(wù)器地址。如果不知道DNS服務(wù)器的IP地址，可以輸入DNS服務(wù)器的DNS域名，然后單擊“解析”讓系統(tǒng)自動(dòng)尋找相應(yīng)的IP地址，完成后單擊“確定”。例如，設(shè)置006 DNS服務(wù)器，步驟如下：步驟一，用鼠標(biāo)右鍵單擊“DHCP管理器”中的“作用域選項(xiàng)”/“配置選項(xiàng)”。設(shè)置DHCP選項(xiàng)時(shí)，可以針對(duì)一個(gè)作用域來(lái)設(shè)置，也可以針對(duì)該DHCP服務(wù)器內(nèi)的所有作用域來(lái)設(shè)置。 DHCP選項(xiàng)的設(shè)置DHCP服務(wù)器不僅可以動(dòng)態(tài)地給DHCP客戶端提供IP地址，還可以設(shè)置DHCP客戶端的工作環(huán)境?？梢苑磸?fù)執(zhí)行以上操作繼續(xù)添加保留地址，添加完所有保留地址后，單擊“關(guān)閉”按鈕。在安裝Windows 2000/XP的機(jī)器中，通過(guò)“開始”/“運(yùn)行”，輸入cmd命令啟動(dòng)MS DOS命令窗口，輸入ipconfig/all命令查看本機(jī)網(wǎng)絡(luò)屬性信息。 網(wǎng)卡MAC物理地址是“固化在網(wǎng)卡里的編號(hào)”，是一個(gè)12位的16進(jìn)制數(shù)。在“MAC地址”輸入框中輸入上述IP地址要保留給的客戶機(jī)的網(wǎng)卡MAC地址。在“IP地址”