什么是ARP？如何防范ARP欺骗技术?

< type="text/javascript"> < type="text/javascript" src="http://pagead2.googlesyndication.com/pagead/show_ads.js"> 什么是ARP？如何防范ARP欺骗技术?

　　首先说一下什么是ARP。若是你在UNIX Shell下输入 arp -a (9x下也是），你的输出看起来应该是这样的：

　　Interface: xxx.xxx.xxx.xxx

　　Internet Address Physical Address Type

xxx.xxx.xxx.xxx 00-00-93-64-48-d2 dynamic

　　xxx.xxx.xxx.xxx 00-00-b4-52-43-10 dynamic

　　...... ......... ....

    这里第一列显示的是ip地址，第二列显示的是和ip地址对应的网络接口卡的硬件地址（MAC），第三列是该ip和mac的对应关系类型。

    可见，arp是一种将ip转化成以ip对应的网卡的物理地址的一种协议，或者说ARP协议是一种将ip地址转化成MAC地址的一种协议。它靠维持在内存中保存的一张表来使ip得以在网络上被目标机器应答。

    为何要将ip转化成mac呢？简单的说，这是由于在tcp网络环境下，一个ip包走到哪里，要怎么走是靠路由表定义。可是，当ip包到达该网络后，哪台 机器响应这个ip包倒是靠该ip包中所包含的mac地址来识别。也就是说，只有机器的mac地址和该ip包中的mac地址相同的机器才会应答这个ip包。 由于在网络中，每一台主机都会有发送ip包的时候。因此，在每台主机的内存中，都有一个 arp--> mac 的转换表。一般是动态的转换表（注意在路由中，该arp表能够被设置成静态）。也就是说，该对应表会被主机在须要的时候刷新。这是因为以太网在子网层上的 传输是靠48位的mac地址而决定的。

    一般主机在发送一个ip包以前，它要到该转换表中寻找和ip包对应的mac地址。若是没有找到，该主机就发送一个ARP广播包，看起来象这样子：

　　"我是主机xxx.xxx.xxx.xxx , mac是xxxxxxxxxxx ,ip为xxx.xxx.xxx.xx1的主机请告之你的mac来"

　　ip为xxx.xxx.xxx.xx1的主机响应这个广播，应答ARP广播为：

　　"我是xxx.xxx.xxx.xx1,个人mac为xxxxxxxxxx2"

    因而，主机刷新本身的ARP缓存，而后发出该ip包。

    了解这些常识后，如今就能够谈在网络中如何实现ARP欺骗了，能够看看这样一个例子：

    一个***者想非法进入某台主机，他知道这台主机的防火墙只对192.0.0.3(假设)这个ip开放23口(telnet),而他必需要使用telnet来进入这台主机，因此他要这么作：

    一、他先研究192.0.0.3这台主机，发现这台95的机器使用一个oob就可让他死掉。

    二、因而，他送一个洪水包给192.0.0.3的139口，因而，该机器应包而死。

    三、这时，主机发到192.0.0.3的ip包将没法被机器应答，系统开始更新本身的arp对应表。将192.0.0.3的项目搽去。

    四、这段时间里，***者把本身的ip改为192.0.0.3

    五、他发一个ping(icmp 0)给主机，要求主机更新主机的arp转换表。

    六、主机找到该ip，而后在arp表中加入新的ip-->mac对应关系。

    七、防火墙失效了，***的ip变成合法的mac地址，能够telnet了。 

如今，假如该主机不仅提供telnet，它还提供r命令（rsh,rcopy,rlogin等）那么，全部的安全约定将无效，***者能够放心的使用这台主机的资源而不用担忧被记录什么。

    有人也许会说，这其实就是冒用ip嘛。是冒用了ip,但决不是ip欺骗，ip欺骗的原理比这要复杂的多，实现的机理也彻底不同。

    上面就是一个ARP的欺骗过程，这是在同网段发生的状况。可是，提醒注意的是，利用交换集线器或网桥是没法阻止ARP欺骗的，只有路由分段是有效的阻止手 段。（也就是ip包必须通过路由转发。在有路由转发的状况下，ARP欺骗如配合ICMP欺骗将对网络形成极大的危害。从某种角度讲，***者能够跨过路由监 听网络中任何两点的通信，若是设置防火墙，请注意防火墙有没有提示过相似“某某IP是局域IP但从某某路由来”等这样的信息。

    在有路由转发的状况下，发送到达路由的ip的主机其arp对应表中，ip的对应值是路由的mac。

　　好比: 我ping www.xxxx.com后，那么在我主机中，www. xxxx.com的IP对应项不是xxxx的mac，而是我路由的mac，其ip也是我路由的IP。(有些网络软件经过交换路由ARP能够获得远程IP的MAC)。   有兴趣作深刻一步的朋友能够考虑这样一种状况：

    假设这个***者忽然想到：我要通过一个路由才能够走到那台有防火墙的主机！！！

    因而这个***者开始思考：

    一、个人机器能够进入那个网段，可是，不是用192.0.0.3的IP。

    二、若是我用那个IP，就算那台正版192.0.0.3的机器死了，那个网络里的机器也不会把ip包丢到路由传给我。

    三、因此，我要骗主机把ip包丢到路由。

    经过多种欺骗手法能够达到这个目的。因此他开始这样作：

   一、为了使本身发出的非法ip包能在网络上活久一点，开始修改ttl为下面的过程当中可能带来的问题作准备。他把ttl改为255。 (ttl定义一个ip包若是在网络上到不了主机后在网络上能存活的时间，改长一点在本例中有利于作充足的广播)

    二、他掏出一张软盘，这张软盘中有他之前用sniffer时保存的各类ip包类型。

    三、他用一个合法的ip进入网络，而后和上面同样，发个洪水包让正版的192.0.0.3死掉，而后他用192.0.0.3进入网络。

    四、在该网络的主机找不到原来的192.0.0.3的mac后，将更新本身的ARP对应表。因而他赶忙修改软盘中的有关ARP广播包的数据，而后对网络广播说"能响应ip为192.0.0.3的mac是我"。

    五、好了，如今每台主机都知道了，一个新的MAC地址对应ip 192.0.0.3,一个ARP欺骗完成了，可是，每台主机都只会在局域网中找这个地址而根本就不会把发送给192.0.0.3的ip包丢给路由。因而他还得构造一个ICMP的重定向广播。

    六、他开始再修改软盘中的有关ICMP广播包的数据，而后发送这个包，告诉网络中的主机："到192.0.0.3的路由最短路径不是局域网，而是路由。请主机重定向大家的路由路径，把全部到192.0.0.3的ip包丢给路由哦。"

    七、主机接受这个合理的ICMP重定向，因而修改本身的路由路径，把对192.0.0.3 的ip通信都丢给路由器。

    八、***者终于能够在路由外收到来自路由内的主机的ip包了，他能够开始telnet到主机的23口，用ip 192.0.0.3。

注意，这只是一个典型的例子，在实际操做中要考虑的问题还不仅这些。

    如今想一想，若是他要用的是sniffer会怎样？

    可见，利用ARP欺骗，一个***者能够：

    一、利用基于ip的安全性不足，冒用一个合法ip来进入主机。

    二、逃过基于ip的许多程序的安全检查，如NSF,R系列命令等。

    他甚至能够栽帐嫁祸给某人，让他跳到黄河洗不清，永世不得超生！

    那么，如何防止ARP欺骗呢？

    一、不要把你的网络安全信任关系创建在ip基础上或mac基础上，（rarp一样存在欺骗的问题），理想的关系应该创建在ip+mac基础上。

    二、设置静态的mac-->ip对应表，不要让主机刷新你设定好的转换表。

    三、除非颇有必要，不然中止使用ARP，将ARP作为永久条目保存在对应表中。

    四、使用ARP服务器。经过该服务器查找本身的ARP转换表来响应其余机器的ARP广播。确保这台ARP服务器不被黑。

    五、使用"proxy"代理ip的传输。

    六、使用硬件屏蔽主机。设置好你的路由，确保ip地址能到达合法的路径。（静态配置路由ARP条目），注意，使用交换集线器和网桥没法阻止ARP欺骗。

    七、管理员按期用响应的ip包中得到一个rarp请求，而后检查ARP响应的真实性。

    八、管理员按期轮询，检查主机上的ARP缓存。

    九、使用防火墙连续监控网络。注意有使用SNMP的状况下，ARP的欺骗有可能致使陷阱包丢失。    如下收集的资料，供作进一步了解ARP协议

    ARP的缓存记录格式：

    每一行为：

　　IF Index:Physical Address:IP Address:Type

    其中： IF Index 为：

    1 以太网

    2 实验以太网

    3 X.25

    4 Proteon ProNET (Token Ring)

    5 混杂方式

    6 IEEE802.X

    7 ARC网 

ARP广播申请和应答结构

    硬件类型：协议类型：协议地址长：硬件地址长：操做码：发送机硬件地址：

    发送机IP地址：接受机硬件地址：接受机IP地址。

    其中：协议类型为： 512 XEROX PUP

　　513 PUP 地址转换

　　1536 XEROX NS IDP

　　2048 Internet 协议 (IP)

　　2049 X.752050NBS

　　2051 ECMA

　　2053 X.25第3层

　　2054 ARP

　　2055 XNS

　　4096 伯克利追踪者

　　21000 BBS Simnet

　　24577 DEC MOP 转储/装载

　　24578 DEC MOP 远程控制台

　　24579 DEC 网 IV 段

　　24580 DEC LAT

　　24582 DEC

　　32773 HP 探示器

　　32821 RARP

　　32823 Apple Talk

　　32824 DEC 局域网桥

    若是你用过NetXRay，那么这些能够帮助你了解在细节上的ARP欺骗如何配合ICMP欺骗而让一个某种类型的广播包流入一个. 

< type="text/JavaScript"> alimama_pid="mm_10809884_1047205_2647463"; alimama_titlecolor="898989"; alimama_descolor ="275689"; alimama_bgcolor="FFFFFF"; alimama_bordercolor="E1E1E1"; alimama_linkcolor="C1C1C1"; alimama_bottomcolor="FFFFFF"; alimama_anglesize="10"; alimama_bgpic="0"; alimama_icon="0"; alimama_sizecode="16"; alimama_width=658; alimama_height=60; alimama_type=2; < src="http://a.alimama.cn/inf.js" type=text/javascript>