注意，這只是一個(gè)典型的例子，在實(shí)際操作中要考慮的問(wèn)題還不只這些。 

    現(xiàn)在想想，如果他要用的是sniffer會(huì)怎樣？ 

    可見(jiàn)，利用ARP欺騙，一個(gè)入侵者可以： 

    1、利用基于ip的安全性不足，冒用一個(gè)合法ip來(lái)進(jìn)入主機(jī)。 

    2、逃過(guò)基于ip的許多程序的安全檢查，如NSF,R系列命令等。 

    他甚至可以栽賬嫁禍給某人，讓他跳到黃河洗不清，永世不得超生！ 

    那么，如何防止ARP欺騙呢？ 

    1、不要把你的網(wǎng)絡(luò)安全信任關(guān)系建立在ip基礎(chǔ)上或mac基礎(chǔ)上，（rarp同樣存在欺騙的問(wèn)題），理想的關(guān)系應(yīng)該建立在ip+mac基礎(chǔ)上。 

    2、設(shè)置靜態(tài)的mac-->ip對(duì)應(yīng)表，不要讓主機(jī)刷新你設(shè)定好的轉(zhuǎn)換表。 

    3、除非很有必要，否則停止使用ARP，將ARP做為永久條目保存在對(duì)應(yīng)表中。 

    4、使用ARP服務(wù)器。通過(guò)該服務(wù)器查找自己的ARP轉(zhuǎn)換表來(lái)響應(yīng)其他機(jī)器的ARP廣播。確保這臺(tái)ARP服務(wù)器不被黑。 

    5、使用"proxy"代理ip的傳輸。 

    6、使用硬件屏蔽主機(jī)。設(shè)置好你的路由，確保ip地址能到達(dá)合法的路徑。（靜態(tài)配置路由ARP條目），注意，使用交換集線器和網(wǎng)橋無(wú)法阻止ARP欺騙。 

    7、管理員定期用響應(yīng)的ip包中獲得一個(gè)rarp請(qǐng)求，然后檢查ARP響應(yīng)的真實(shí)性。 

    8、管理員定期輪詢(xún)，檢查主機(jī)上的ARP緩存。 

    9、使用防火墻連續(xù)監(jiān)控網(wǎng)絡(luò)。注意有使用SNMP的情況下，ARP的欺騙有可能導(dǎo)致陷阱包丟失。
   以下收集的資料，供做進(jìn)一步了解ARP協(xié)議 

    ARP的緩存記錄格式： 

    每一行為： 

　　IF Index:Physical Address:IP Address:Type 

    其中： IF Index 為： 

    1 以太網(wǎng) 

    2 實(shí)驗(yàn)以太網(wǎng) 

    3 X.25 

    4 Proteon ProNET (Token Ring) 

    5 混雜方式 

    6 IEEE802.X 

    7 ARC網(wǎng) 
ARP廣播申請(qǐng)和應(yīng)答結(jié)構(gòu) 

    硬件類(lèi)型：協(xié)議類(lèi)型：協(xié)議地址長(zhǎng)：硬件地址長(zhǎng)：操作碼：發(fā)送機(jī)硬件地址： 

    發(fā)送機(jī)IP地址：接受機(jī)硬件地址：接受機(jī)IP地址。 

    其中：協(xié)議類(lèi)型為： 512 XEROX PUP 

　　513 PUP 地址轉(zhuǎn)換 

　　1536 XEROX NS IDP 

　　2048 Internet 協(xié)議 (IP) 

　　2049 X.752050NBS 

　　2051 ECMA 

　　2053 X.25第3層 

　　2054 ARP 

　　2055 XNS 

　　4096 伯克利追蹤者 

　　21000 BBS Simnet 

　　24577 DEC MOP 轉(zhuǎn)儲(chǔ)/裝載 

　　24578 DEC MOP 遠(yuǎn)程控制臺(tái) 

　　24579 DEC 網(wǎng) IV 段 

　　24580 DEC LAT 

　　24582 DEC

　　32773 HP 探示器 


　　32821 RARP 

　　32823 Apple Talk 

　　32824 DEC 局域網(wǎng)橋 

    如果你用過(guò)NetXRay，那么這些可以幫助你了解在細(xì)節(jié)上的ARP欺騙如何配合ICMP欺騙而讓一個(gè)某種類(lèi)型的廣播包流入一個(gè). 

最新評(píng)論