在網絡中，地址是我們應用的基礎。那么根據地址相關的攻擊也是時常發生的。那么如何有效制止這個事情呢？這個還要從ARP地址解析協議來說起。那么本文就針對這個協議來說一下它的應用和原理。

一､交換網絡的嗅探

ARP地址解析協議并不只在發送了ARP請求才接收ARP應答｡當計算機接收到ARP應答數據包的時候,就會對本地的ARP緩存進行更新,將應答中的IP和MAC地址存儲在ARP緩存中｡因此,在上面的假設網絡中,B向A發送一個自己偽造的ARP應答,而這個應答中的數據為發送方IP地址是192.168.10.3(C的IP地址),MAC地址是DD-DD-DD-DD-DD-DD(C的MAC地址本來應該是CC-CC-CC-CC-CC-CC,這里被偽造了)｡當A接收到B偽造的ARP應答,就會更新本地的ARP緩存,將本地的IP-MAC對應表更換為接收到的數據格式,由于這一切都是A的系統內核自動完成的,A可不知道被偽造了｡

ARP欺騙的主要用途就是進行在交換網絡中的嗅探｡有關交換網絡的嗅探不是本文的討論內容｡

二､IP地址沖突

我們知道,如果網絡中存在相同IP地址的主機的時候,就會報告出IP地址沖突的警告｡這是怎么產生的呢?

比如某主機B規定IP地址為192.168.0.1,如果它處于開機狀態,那么其他機器A更改IP地址為192.168.0.1就會造成IP地址沖突｡其原理就是:主機A在連接網絡(或更改IP地址)的時候就會向網絡發送ARP包廣播自己的IP地址,也就是freearp｡如果網絡中存在相同IP地址的主機B,那么B就會通過ARP地址解析協議來reply該地址,當A接收到這個reply后,A就會跳出IP地址沖突的警告,當然B也會有警告｡

因此用ARP欺騙可以來偽造這個ARPreply,從而使目標一直遭受IP地址沖突警告的困擾｡

三､阻止目標的數據包通過網關

比如在一個局域網內通過網關上網,那么連接外部的計算機上的ARP緩存中就存在網關IP-MAC對應記錄｡如果,該記錄被更改,那么該計算機向外發送的數據包總是發送到了錯誤的網關硬件地址上,這樣,該計算機就不能夠上網了｡

這里也主要是通過ARP欺騙進行的｡有兩種辦法達到這樣的目的｡

1､向目標發送偽造的ARP應答數據包,其中發送方的IP地址為網關的地址,而MAC地址則為一個偽造的地址｡當目標接收到該ARP包,那么就更新自身的ARP緩存｡如果該欺騙一直持續下去,那么目標的網關緩存一直是一個被偽造的錯誤記錄｡當然,如果有些了解的人查看ARP-a,就知道問題所在了｡

2､這種方法非常狠,欺騙網關｡向網關發送偽造的ARP地址解析協議的應答數據包,其中發送方的IP地址為目標的IP地址,而MAC地址則為一個偽造的地址｡這樣,網關上的目標ARP記錄就是一個錯誤的,網關發送給目標的數據報都是使用了錯誤的MAC地址｡這種情況下,目標能夠發送數據到網關,卻不能接收到網關的任何數據｡同時,目標自己查看ARP-a卻看不出任何問題來｡

四､通過ARP檢測混雜模式節點

在混雜模式中,網卡進行包過濾不同于普通模式｡本來在普通模式下,只有本地地址的數據包或者廣播(多播等)才會被網卡提交給系統核心,否則的話,這些數據包就直接被網卡拋棄｡現在,混合模式讓所有經過的數據包都傳遞給系統核心,然后被sniffer等程序利用｡

通過特殊設計的ARP請求可以用來在一定程度上檢測處于混雜模式的節點,比如對網絡中的每個節點都發送MAC地址為FF-FF-FF-FF-FF-FE的ARP請求｡對于網卡來說這不是一個廣播地址(FF-FF-FF-FF-FF-FF),所以處于普通模式的節點就會直接拋棄該數據包,但是多數操作系統核心都認為這是一個廣播地址,如果有一般的sniffer程序存在,并設置網卡為混雜模式,那么系統核心就會作出應答,這樣就可以判斷這些節點是否存在嗅探器了｡

可以查看,很多基于ARP的攻擊都是通過ARP欺騙實現的｡至于ARP欺騙的防范,還是盡可能使用靜態的ARP｡對于WIN,使用arp-s來進行靜態ARP的設置｡當然,如果能夠完全使用靜態的IP+MAC對應,就更好了,因為靜態的ARP緩存只是相對的｡

當然,可以有一些方法來實現ARP欺騙的檢測｡設置一個ARP地址解析協議的嗅探器,其中維護著一個本地網絡的IP-MAC地址的靜態對應表,查看所有經過的ARP數據,并檢查其中的IP-MAC對應關系,如果捕獲的IP-MAC對應關系和維護的靜態對應關系對應不上,那么就表明是一個欺騙的ARP數據包了｡

一個ARP數據包發送程序源代碼和編譯好的EXE程序可以參考ARPSender程序｡注意:需要先安裝WinPcap｡