注意，這只是一個典型的例子，在實際操作中要考慮的問題還不只這些。 

    現(xiàn)在想想，如果他要用的是sniffer會怎樣？ 

    可見，利用ARP欺騙，一個入侵者可以： 

    1、利用基于ip的安全性不足，冒用一個合法ip來進入主機。 

    2、逃過基于ip的許多程序的安全檢查，如NSF,R系列命令等。 

    他甚至可以栽賬嫁禍給某人，讓他跳到黃河洗不清，永世不得超生！ 

    那么，如何防止ARP欺騙呢？ 

    1、不要把你的網(wǎng)絡(luò)安全信任關(guān)系建立在ip基礎(chǔ)上或mac基礎(chǔ)上，（rarp同樣存在欺騙的問題），理想的關(guān)系應(yīng)該建立在ip+mac基礎(chǔ)上。 

    2、設(shè)置靜態(tài)的mac-->ip對應(yīng)表，不要讓主機刷新你設(shè)定好的轉(zhuǎn)換表。 

    3、除非很有必要，否則停止使用ARP，將ARP做為永久條目保存在對應(yīng)表中。 

    4、使用ARP服務(wù)器。通過該服務(wù)器查找自己的ARP轉(zhuǎn)換表來響應(yīng)其他機器的ARP廣播。確保這臺ARP服務(wù)器不被黑。 

    5、使用"proxy"代理ip的傳輸。 

    6、使用硬件屏蔽主機。設(shè)置好你的路由，確保ip地址能到達(dá)合法的路徑。（靜態(tài)配置路由ARP條目），注意，使用交換集線器和網(wǎng)橋無法阻止ARP欺騙。 

    7、管理員定期用響應(yīng)的ip包中獲得一個rarp請求，然后檢查ARP響應(yīng)的真實性。 

    8、管理員定期輪詢，檢查主機上的ARP緩存。 

    9、使用防火墻連續(xù)監(jiān)控網(wǎng)絡(luò)。注意有使用SNMP的情況下，ARP的欺騙有可能導(dǎo)致陷阱包丟失。
   以下收集的資料，供做進一步了解ARP協(xié)議 

    ARP的緩存記錄格式： 

    每一行為： 

　　IF Index:Physical Address:IP Address:Type 

    其中： IF Index 為： 

    1 以太網(wǎng) 

    2 實驗以太網(wǎng) 

    3 X.25 

    4 Proteon ProNET (Token Ring) 

    5 混雜方式 

    6 IEEE802.X 

    7 ARC網(wǎng) 
ARP廣播申請和應(yīng)答結(jié)構(gòu) 

    硬件類型：協(xié)議類型：協(xié)議地址長：硬件地址長：操作碼：發(fā)送機硬件地址： 

    發(fā)送機IP地址：接受機硬件地址：接受機IP地址。 

    其中：協(xié)議類型為： 512 XEROX PUP 

　　513 PUP 地址轉(zhuǎn)換 

　　1536 XEROX NS IDP 

　　2048 Internet 協(xié)議 (IP) 

　　2049 X.752050NBS 

　　2051 ECMA 

　　2053 X.25第3層 

　　2054 ARP 

　　2055 XNS 

　　4096 伯克利追蹤者 

　　21000 BBS Simnet 

　　24577 DEC MOP 轉(zhuǎn)儲/裝載 

　　24578 DEC MOP 遠(yuǎn)程控制臺 

　　24579 DEC 網(wǎng) IV 段 

　　24580 DEC LAT 

　　24582 DEC

　　32773 HP 探示器 


　　32821 RARP 

　　32823 Apple Talk 

　　32824 DEC 局域網(wǎng)橋 

    如果你用過NetXRay，那么這些可以幫助你了解在細(xì)節(jié)上的ARP欺騙如何配合ICMP欺騙而讓一個某種類型的廣播包流入一個. 

最新評論