域網內如何防止ARP欺騙

　　1、理論前提

　　本着「不冤枉好人，不放過一個壞人的原則」，先說說個人一些想法和理論依據。首先，你們確定發送ARP欺騙包確定是一個惡毒的程序自動發送的，正常的TCP/IP網絡是不會有這樣的錯誤包發送的(板磚扔了過來啊，廢話!)。這就假設，若是犯罪嫌疑人沒有啓動這個破壞程序的時候，網絡環境是正常的，或者說網絡的ARP環境是正常的，若是咱們能在犯罪嫌疑人啓動這個犯罪程序的第一時間，一開始就發現了他的犯罪活動，那麼就是人贓俱在，不可抵賴了，由於剛纔提到，前面網絡正常的時候證據是可信和可依靠的。好，接下來咱們談論如何在第一時間發現他的犯罪活動。

　　ARP欺騙的原理以下：

　　假設這樣一個網絡，一個Hub接了3臺機器 微軟培訓

　　HostA HostB HostC 其中

　　A的地址爲：IP：192.168.10.1 MAC: AA-AA-AA-AA-AA-AA

　　B的地址爲：IP：192.168.10.2 MAC: BB-BB-BB-BB-BB-BB

　　C的地址爲：IP：192.168.10.3 MAC: CC-CC-CC-CC-CC-CC

　　正常狀況下 C:\arp -a

　　Interface: 192.168.10.1 on Interface 0x1000003

　　Internet Address Physical Address Type

　　192.168.10.3 CC-CC-CC-CC-CC-CC dynamic

　　如今假設HostB開始了罪惡的ARP欺騙：

　　B向A發送一個本身僞造的ARP應答，而這個應答中的數據爲發送方IP地址是192.168.10.3(C的IP地址)，MAC地址是DD-DD-DD-DD-DD-DD(C的MAC地址原本應該是CC-CC-CC-CC-CC-CC，這裏被僞造了)。當A接收到B僞造的ARP應答，就會更新本地的ARP緩存(A可不知道被僞造了)。並且A不知道實際上是從B發送過來的，A這裏只有192.168.10.3(C的IP地址)和無效的DD-DD-DD-DD-DD-DD mac地址，沒有和犯罪分子B相關的證據，哈哈，這樣犯罪分子豈不樂死了。

　　如今A機器的ARP緩存更新了：

　　C:\>arp -a

　　Interface: 192.168.10.1 on Interface 0x1000003

　　Internet Address Physical Address Type

　　192.168.10.3 DD-DD-DD-DD-DD-DD dynamic

　　這可不是小事。局域網的網絡流通可不是根據IP地址進行，而是按照MAC地址進行傳輸。如今192.168.10.3的MAC地址在A上被改變成一個本不存在的MAC地址。如今A開始Ping 192.168.10.3，網卡遞交的MAC地址是DD-DD-DD-DD-DD-DD，結果是什麼呢?網絡不通，A根本不能Ping通C!!

　　因此，局域網中一臺機器，反覆向其餘機器，特別是向網關，發送這樣無效假冒的ARP應答信息包，NND，嚴重的網絡堵塞就開始了!網吧管理員的噩夢開始了。個人目標和任務，就是第一時間，抓住他。不過從剛纔的表述好像犯罪分子完美的利用了以太網的缺陷，掩蓋了本身的罪行。但其實，以上方法也有留下了蛛絲馬跡。儘管，ARP數據包沒有留下HostB的地址，可是，承載這個ARP包的ethernet幀卻包含了HostB的源地址。並且，正常狀況下ethernet數據幀中，幀頭中的MAC源地址/目標地址應該和幀數據包中ARP信息配對，這樣的ARP包纔算是正確的。若是不正確，確定是假冒的包，能夠提醒!但若是匹配的話，也不必定表明正確，說不定僞造者也考慮到了這一步，而僞造出符合格式要求，但內容假冒的ARP數據包。不過這樣也不要緊，只要網關這裏擁有本網段全部MAC地址的網卡數據庫，若是和Mac數據庫中數據不匹配也是假冒的ARP數據包。也能提醒犯罪分子動手了。[nextpage]

　　2、防範措施

　　1. 創建DHCP服務器(建議建在網關上，由於DHCP不佔用多少CPU，並且ARP欺騙攻擊通常老是先攻擊網關，咱們就是要讓他先攻擊網關，由於網關這裏有監控程序的，網關地址建議選擇192.168.10.2 ，把192.168.10.1留空，若是犯罪程序愚蠢的話讓他去攻擊空地址吧)，另外全部客戶機的IP地址及其相關主機信息，只能由網關這裏取得，網關這裏開通DHCP服務，可是要給每一個網卡，綁定固定惟一IP地址。必定要保持網內的機器IP/MAC一一對應的關係。這樣客戶機雖然是DHCP取地址，但每次開機的IP地址都是同樣的。

　　2. 創建MAC數據庫，把網吧內全部網卡的MAC地址記錄下來，每一個MAC和IP、地理位置通通裝入數據庫，以便及時查詢備案。

　　3. 網關機器關閉ARP動態刷新的過程，使用靜態路郵，這樣的話，即便犯罪嫌疑人使用ARP欺騙攻擊網關的話，這樣對網關也是沒有用的，確保主機安全。

　　網關創建靜態IP/MAC捆綁的方法是：創建/etc/ethers文件，其中包含正確的IP/MAC對應關係，格式以下：

　　192.168.2.32 08:00:4E:B0:24:47

　　而後再/etc/rc.d/rc.local最後添加：

　　arp -f 生效便可

　　4. 網關監聽網絡安全。網關上面使用TCPDUMP程序截取每一個ARP程序包，弄一個腳本分析軟件分析這些ARP協議。ARP欺騙攻擊的包通常有如下兩個特色，知足之一可視爲攻擊包報警：第一以太網數據包頭的源地址、目標地址和ARP數據包的協議地址不匹配。或者，ARP數據包的發送和目標地址不在本身網絡網卡MAC數據庫內，或者與本身網絡MAC數據庫 MAC/IP 不匹配。這些通通第一時間報警，查這些數據包(以太網數據包)的源地址(也有可能僞造)，就大體知道那臺機器在發起攻擊了。

　　5. 偷偷摸摸的走到那臺機器，看看使用人是否故意，仍是被任放了什麼木馬程序陷害的。若是後者，不聲不響的找個藉口支開他，拔掉網線(不關機,特別要看看Win98裏的計劃任務)，看看機器的當前使用記錄和運行狀況，肯定是不是在攻擊。

　　出幾點增強安全防範的措施。環境是主機或者網關是基於Linux/BSD的。