摘要：ARP攻擊泛濫給眾多局域網用戶帶來巨大的安全隱患和不便， 由于惡意ARP病毒的肆意攻擊， 您的網絡可能會時斷時通， 個人帳號信息可能在毫不知情的情況就被攻擊者盜取惡意攻擊者而在局域網中任意構造一個ARP包或者傳播ARP病毒， 這樣導致局域網ARP。 。 。 。

近來與Arp相關惡意軟件越來越猖獗， 受害者的也不少， 國內的各大殺毒廠商也紛紛推出Arp防火墻， 這篇文章不是科普， 主要是思路， 更想起到拋磚引玉的作用。 此外， 末學接觸并熟悉Arp協議到寫出Arp欺騙和反欺騙的test code， 前前后后也不過一個星期多一點的時間。 經驗有限， 疏漏之處， 再所難免， 各位見諒。

Arp協議和Arp欺騙這里就不做介紹了， 網絡這方面的文章比比皆是。

為了便于理解， 下面構造一些名詞：

受騙主機：假如局域網內， 有網關， 發起欺騙的主機（以下簡稱欺騙主機）， 受騙主機。

雙向欺騙：欺騙主機使得網關認為欺騙主機是受騙主機， 同時讓受騙主機認為欺騙主機是網關；

單向欺騙網關：欺騙主機只使網關認為欺騙主機是受騙主機；

單向欺騙目標主機：欺騙主機只使受騙主機認為它是網關；

Arp除了能sniffer之外， 現在比較流行的做法就是利用Arp進行HTTP掛馬的情況， 所以下面考慮的影響基本以這個角度的方面來衡量。

由于環境不同， 繼續往下分， 一個機房被Arp欺騙的情況， 機房一般以服務器為主， 對外發的數據多以http應答包為主， 此時單向欺騙目標主機的危害比較大。 另外一個普通的公司、家庭及網吧之類的局域網環境， 對外發的數據多以http請求為主， 接收的數據多以http應答包為主， 此時單向欺騙網關危害比較大。

還有的就是和網關有關了， 網關簡單的先分兩種：

1、支持IP和MAC綁定的；

2、不支持IP和MAC綁定。

支持IP和MAC綁定的網關都好辦， 所以這里就不討論這種情況了， 主要討論不支持IP和MAC綁定的情況：

下面舉的例子都是Arp雙向欺騙已經存在的情況， 裝上Arp FW后FW將處理以下一些情況。

第一種情況：普通公司， 家庭及網吧之類局域網環境下， 網關不支持IP和MAC綁定。

先說欺騙策略， 說到這里不得不提Arpspoof（以下簡稱AS）， 最近流行這個工具， 并且開源， 好分析， 也確實寫的不錯。 我手頭拿到的3.1版本的源代碼。 若不修改AS代碼， 在當前情況下， 并處在雙向欺騙時， 只要把配置文件稍微改改， 就能夠實現利用ARP掛馬。 但如果受騙主機綁定了正確網關的MAC， 就不靈了。 但如果有人修改了AS代碼， 使其能支持gzip解碼， 并且把本應發給受害主機的包， 重組并解碼然后再發給受害主機， 就又能欺騙了。

然后再回來看看現在國內的Arp FW。 比較弱的， FW一進去， 連正確的網關MAC都檢測不出來， 需要手動填。 好點的能自動檢測正確的網關的MAC， 一般步驟是：

1．獲取當前網關MAC（如利用sendARP函數等等）；

2．利用網關IP發一個廣播包， 獲取網關的MAC；

3．抓包對比， 如果第一步和第二步獲得網關的MAC相同， 則認為網關MAC不是偽造的。 如過第二步獲得兩個Arp reply， 則把這兩個包與第一步的MAC對比， 相同的說明是偽造的。 如果第二步只獲得一個Arp reply， 以第二步獲得MAC為準。

檢測到正確網關MAC后， 就靜態的綁定網關IP和MAC， 防止別人偽造網關。

基本上都這么搞， 這個思路是有缺陷的。 沒錯， 是可以防得住現在的AS。 因為AS發Arp欺騙包間隔是3s， 如果不改源代碼的話。 在這個的時間間隔下， 這三步是有能力獲得正確的網關， 但是如果把間隔設短， 甚至沒有間隔發Arp欺騙包的話， 現在國內市面上的Arp FW全都得倒下。

先說為什么間隔3s的話， 能檢測到正確網關MAC， 在執行第二步時， 在發廣播包之前必須先發一個Arp reply給網關， 告訴網關自己正確的MAC， 然后網關才能把它本身的MAC發給受騙主機， 這個過程必須在3s內完成。 因此如果AS的spoof不設間隔的話。 那么網關在接收了你的IP和MAC之后， 發起欺騙的主機馬上就去網關那把它改回來， 這樣受騙主機雖然發了廣播包， 但是網關根據MAC， 會把它本身的MAC發給欺騙主機而不是發給受騙主機， 這樣受騙主機依然得不到正確網關的MAC。 另外， 哪怕受騙主機得到了正確的網關MAC， 也只能保證自己對外發包不受欺騙， 但是收到的包還是會被欺騙的。 當然FW可以和AS玩拉鋸， 二者都爭先恐后的去網關那邊刷自己的MAC。 但是這樣容易導致丟包。

其實這種狀況還是有一個相對的解決方案， 就是徹底的改頭換面掉。 同時改自己的IP和MAC， 不論FW用什么添加ndis虛擬網卡， 或者通過代碼直接就把當前IP和MAC替掉， 獲得正確網關MAC才有保證， 否則連正確網關MAC都拿不到。 其它的就更不用說了， 至于什么手動填網關MAC之類的， 就先不討論了。

說這是一個相對的解決方案， 是因為前提是局域網內得有富余的IP資源。 另外它還有一些弊端。 就是如果有些機器關機的話， 而受害者替換了它的IP之后， 以后將造成沖突。 當然也是有解決方案， 比較多， 這里就先不討論了。

因此， 先要確定哪些IP是未被使用的， 可以廣播Arp request局域網各個IP的MAC， 如果有人應答的話說明這個IP被用， 沒人應答的話， 就是富余的IP了。

只要把自己的IP和MAC修改后， 迅速刷新網關， 獲得正確網關的MAC之后， 可以詢問用戶是否改回來， 改回來， 因為無法避免丟包， 網速也容易受影響。

第二種關于機房Arp欺騙的情況這里就不多說， 參考上面文字。 有幾點要說明的是， 機房里， 外網IP和內網IP是映射的， 同時改IP和MAC是會導致斷網的， 有一定危險性。 另外獲得正確網關的MAC后， IP和MAC必須改回來。 也就是說在機房這種情況下， 丟包是免不了的。