2024年4月2日发(作者:)

arp欺骗的原理及防范措施

一、理论前提

本着“不冤枉好人,不放过一个坏人的原则”,先说说我的一些想法和理论依据。首

先,肯定发送ARP欺骗包肯定是一个恶毒的程序自动发送的,正常的TCP/IP网络是不会

有这样的错误包发送的。这就假设,如果犯罪嫌疑人没有启动这个破坏程序的时候,网络

环境是正常的,或者说网络的arp环境是正常的,如果我们能在犯罪嫌疑人启动这个犯罪

程序的第一时间,一开始就发现了他的犯罪活动,那么就是人赃俱在,不可抵赖了,因为

刚才提到,前面网络正常的时候证据是可信和可依靠的。好,接下来我们谈论如何在第一

时间发现他的犯罪活动。

arp欺骗的原理如下:

假设这样一个网络,一个Hub接了3台机器

HostA HostB HostC 其中

A的地址为:IP:192.168.10.1 MAC: AA-AA-AA-AA-AA-AA

B的地址为:IP:192.168.10.2 MAC: BB-BB-BB-BB-BB-BB

C的地址为:IP:192.168.10.3 MAC: CC-CC-CC-CC-CC-CC

正常情况下 C:arp -a

Interface: 192.168.10.1 on Interface 0x1000003

Internet Address Physical Address Type

192.168.10.3 CC-CC-CC-CC-CC-CC dynamic

现在假设HostB开始了罪恶的arp欺骗:

B向A发送一个自己伪造的ARP应答,而这个应答中的数据为发送方IP地址是

192.168.10.3(C的IP地址),MAC地址是DD-DD-DD-DD-DD-DD(C的MAC地址

本来应该是CC-CC-CC-CC-CC-CC,这里被伪造了)。当A接收到B伪造的ARP应答,就

会更新本地的arp缓存(A可不知道被伪造了)。而且A不知道其实是从B发送过来的,A

这里只有192.168.10.3(C的IP地址)和无效的DD-DD-DD-DD-DD-DD mac地址,没

有和犯罪分子B相关的证据,这样犯罪分子岂不乐死了。

现在A机器的arp缓存更新了:

C:>arp -a

Interface: 192.168.10.1 on Interface 0x1000003

Internet Address Physical Address Type

192.168.10.3 DD-DD-DD-DD-DD-DD dynamic

这可不是小事。局域网的网络流通可不是根据IP地址进行,而是按照MAC地址进行