ARP以及如何防范ARP欺骗技术

192.0.0.3进入网络。

4、在该网络的主机找不到原来的192.0.0.3的mac后，将更新自己的ARP对应表。于是他赶紧修改软盘中的有关ARP广播包的数据，然后对网络广播说"能响应ip为192.0.0.3的mac是我"。

5、好了，现在每台主机都知道了，一个新的MAC地址对应ip 192.0.0.3,一个ARP欺骗完成了，但是，每台主机都只会在局域网中找这个地址而根本就不会把发送给192.0.0.3的ip包丢给路由。于是他还得构造一个ICMP的重定向广播。

6、他开始再修改软盘中的有关ICMP广播包的数据，然后发送这个包，告诉网络中的主机："到192.0.0.3的路由最短路径不是局域网，而是路由。请主机重定向你们的路由路径，把所有到192.0.0.3的ip包丢给路由哦。"

7、主机接受这个合理的ICMP重定向，于是修改自己的路由路径，把对192.0.0.3 的ip通讯都丢给路由器。

8、入侵者终于可以在路由外收到来自路由内的主机的ip包了，他可以开始telnet到主机的23口，用ip 192.0.0.3。

注意，这只是一个典型的例子，在实际操作中要考虑的问题还不只这些。

现在想想，如果他要用的是sniffer会怎样？

可见，利用ARP欺骗，一个入侵者可以：

1、利用基于ip的安全性不足，冒用一个合法ip来进入主机。

2、逃过基于ip的许多程序的安全检查，如NSF,R系列命令等。

他甚至可以栽账嫁祸给某人，让他跳到黄河洗不清，永世不得超生！那么，如何防止ARP欺骗呢？

1、不要把你的网络安全信任关系建立在ip基础上或mac基础上，（rarp同样存在欺骗的问题），理想的关系应该建立在ip+mac基础上。

2、设置静态的mac-->ip对应表，不要让主机刷新你设定好的转换表。
3、除非很有必要，否则停止使用ARP，将ARP做为永久条目保存在对应表中。

4、使用ARP服务器。通过该服务器查找自己的ARP转换表来响应其他机器的ARP广播。确保这台ARP服务器不被黑。

5、使用"proxy"代理ip的传输。

6、使用硬件屏蔽主机。设置好你的路由，确保ip地址能到达合法的路径。（静态配置路由ARP条目），注意，使用交换集线器和网桥无法阻止ARP欺骗。

7、管理员定期用响应的ip包中获得一个rarp请求，然后检查ARP响应的真实性。

8、管理员定期轮询，检查主机上的ARP缓存。

9、使用防火墙连续监控网络。注意有使用SNMP的情况下，ARP的欺骗有可能导致陷阱包丢
失。

以下收集的资料，供做进一步了解ARP协议

ARP的缓存记录格式：

每一行为：

　　IF Index:Physical Address:IP Address:Type

其中： IF Index 为：

1 以太网

2 实验以太网

3 X.25

4 Proteon ProNET (Token Ring)

5 混杂方式

6 IEEE802.X

7 ARC网

ARP广播申请和应答结构

硬件类型：协议类型：协议地址长：硬件地址长：操作码：发送机硬件地址：

发送机IP地址：接受机硬件地址：接受机IP地址。

其中：协议类型为： 512 XEROX PUP

　　513 PUP 地址转换

　　1536 XEROX NS IDP

　　2048 Internet 协议 (IP)

　　2049 X.752050NBS

　　2051 ECMA

　　2053 X.25第3层

　　2054 ARP

　　2055 XNS

　　4096 伯克利追踪者

　　21000 BBS Simnet

　　24577 DEC MOP 转储/装载

　　24578 DEC MOP 远程控制台

　　24579 DEC 网 IV 段

　　24580 DEC LAT

　　24582 DEC

　　32773 HP 探示器

　　32821 RARP

　　32823 Apple Talk

　　32824 DEC 局域网桥

如果你用过NetXRay，那么这些可以帮助你了解在细节上的ARP欺骗如何配合ICMP欺骗而让一个某种类型的广播包流入一个.