區域網內ARP攻擊及防範實現

摘要：區域網內有人使用arp欺騙的木馬程式來盜用使用者的資訊。該方法隱蔽性強，對於使用者的危害非常嚴重，但是沒有多少好的解決方法。

總結了一套方法來防止arp欺騙，希望對大家有所幫助。

關鍵詞：arp欺騙；mac位址；防範

要了解攻擊原理，我們先來了解一下arp（address resolution protocol，arp）位址解析協議。它是在僅知道主機的ip位址時確定其實體地址的一種協議。因ipv4和乙太網的廣泛應用，其主要用作將ip位址翻譯為乙太網的mac位址，但其也能在atm和fddi ip網路中使用。

從ip位址到實體地址的對映有兩種方式：**方式和非**方式。arp具體說來就是將網路層（ip層，也就是相當於osi的第三層）位址解析為資料鏈結層（mac層，也就是相當於osi的第二層）的mac位址。

在每台主機的記憶體中，都有乙個 arp--> mac 的轉換表。通常是動態的轉換表（注意在路由中，該arp表可以被設定成靜態）。也就是說，該對應表會被主機在需要的時候重新整理。

這是由於乙太網在子網層上的傳輸是靠48位的mac位址而決定的。通常主機在傳送乙個ip包之前，它要到該轉換表中尋找和ip包對應的mac位址。如果沒有找到，該主機就傳送乙個arp廣播包：

「我是主機 , mac是*********xx ,ip為的主機請告之你的mac來」ip為的主機響應這個廣播，應答arp廣播為：「我是我的mac為*********x2」於是，主機重新整理自己的arp快取，然後發出該ip包。

乙個入侵者想非法進入某台主機，他知道這台主機的防火牆只對192.0.0.

3(假設)這個ip開放23埠(telnet), 而他必須要使用telnet來進入這台主機，所以他要這麼做：①他先研究192.0.

0.3這台主機，發現這台機器使用乙個oob炸彈就可以讓他死掉；②他送乙個洪水包給192.0.

0.3的139埠，於是，該機器應包而死；③主機發到192.0.

0.3的ip包將無法被機器應答，系統開始更新自己的arp對應表。將192.

0.0.3位址丟去；④這段時間裡，入侵者把自己的ip改成192.

0.0.3；⑤他發乙個ping(icmp 0)給主機，要求主機更新主機的arp轉換表；⑥主機找到該ip，然後在arp表中加入新的ip-->mac對應關係；⑦防火牆失效了，入侵的ip變成合法的mac位址，可以telnet了。