arp攻擊現在越來越多。 一些強悍的病毒也都應用了這個技術。 對局域網的影響特別大。 雖然目前有很多的ARP防火墻。 但是真正能打到防御ARP攻擊的是少之又少。 這里就簡單的說說ARP的對抗策略。

不懂ARP協議和ARP欺騙的可以找一些文章看看。 下面呢就簡單模擬一下局域網的情況(這次可不是說的很簡單咯。 哈哈。 )

一個中毒的局域網。 有網關。 欺騙主機和受騙主機。

這里有3中欺騙方法:

1.雙向欺騙。 欺騙主機使得網關認為欺騙主機是受騙主機同時讓受騙主機認為欺騙主機是網關

2.單向欺騙網關。 欺騙主機只使網關認為欺騙主機是受騙主機

3.單向欺騙目標主機. 欺騙主機只使受騙主機認為它是網關

arp除了能做嗅探之外還能HTTP進行掛馬。

網關簡單的分為2種

1、支持IP和MAC綁定的。

2. 不支持IP和mac綁定的。

由于支持IP和MAC綁定的網關能很好的防御ARP攻擊。 這里就不說了。 說說不支持的。 這里說說。 如果受騙主機綁定了正確網關的mac一般的arp欺騙都會失效。 但是如果ARP手段支持gzip解碼。 把原本發給受騙主機的數據重組并且解碼后在發送給受騙主機。 就能欺騙了。

一般的arp防火墻的防御步驟是

1、獲得網關（通過防火墻本身的方式獲得）

2.發送廣播包。 獲得網關的mac

3.抓包對比。 如果第一步。 和第二步獲得的網關MAC是一致的。 則認為mac為真。 如果出現異常。 則以第二步獲得的mac和第一次的mac進行對比、（這里要注意的是。 如果有欺騙存在。 則第二步會出現2個網關MAC）

呵呵。 相信有人已經看出這樣的設計很不理想了。 這樣的情況下防御的arp是在發送arp欺騙數據包的時候有時間間隔的arp木馬。 而如果有病毒沒有這個間隔呢。 ？

這里測試金山的arp防火墻和360的防火墻。 很遺憾的。 2款防火墻都掛了。

金山測試的時候我沒有改ARP發包時間間隔就掛了。 而且360arp防火墻還認為正確網關發送的數據包是惡意的、

瑞xing的我沒測試。 一方面不用想。 一定會掛。 另一方面。 我懶的用。 。 浪費時間。

這里再講講為什么更改時間間隔會突破ARP的防火墻呢。 在上面說的第二步的時候。 受騙的主機會向網關發送一個消息。 讓網關發送其正確的mac過來。 而這個時間是3秒。 而我在正確網關還沒有發送正確mac的時候我就把錯誤的mac發送給了受騙的主機。 那么受騙主機的會更改他的mac、而正確網關的正確mac會發送給欺騙主機。 呵呵。 受騙的主機永遠就找不到正確的mac了。

其實解決的方法就很簡單了。 不管用什么方法。 都必須要主機獲得正確的mac。 這里我也就不說什么方法了。 反正大家是明白了arp欺騙的簡單道理。 局域網內由于arp欺騙。 導致原先屬于你的數據丟失。 甚至是在獲得ip和mac沖突的情況下很可能就上不了網。 。 上了網的話。 原本發送給你的消息也不知道發送到那里去。 原本不屬于你的數據（木馬之類的）就會瘋狂的涌過來。 甚至有的人可以更改所有http請求在接受數據的時候在每個網頁下面添加代碼。 來達到掛馬的目的。