局域网内若何避免ARP的拐骗[菜鸟入门]

1、理论前提
    本着“不冤枉好人,不放过一个坏人的原则”,先说说我的一些设法和理论根据.首先,大家必定发送ARP拐骗包必定是一个毒辣的程序自动发送的,正常的TCP/IP网络是不会有这样的错误包发送的(板砖扔了过来啊,废话!).这就假定,假如犯罪嫌疑人没有启动这个破坏程序的时刻,网络环境是正常的,大概说网络的arp环境是正常的,假如我们能在犯罪嫌疑人启动这个犯罪程序的第一时间,一开始就发现了他的犯罪活动,那么就是人赃俱在,不可抵赖了,因为方才提到,前面网络正常的时刻证据是可托和可依靠的.好,接下来我们评论如安在第一时间发现他的犯罪活动.
    arp拐骗的原理以下:
    假定这样一个网络,一个Hub接了3台机械
    HostA HostB HostC 此中
    A的地址为:IP:192.168.10.1 MAC: AA-AA-AA-AA-AA-AA
    B的地址为:IP:192.168.10.2 MAC: BB-BB-BB-BB-BB-BB
    C的地址为:IP:192.168.10.3 MAC: CC-CC-CC-CC-CC-CC
    正常情形下 C:\arp -a
    Interface: 192.168.10.1 on Interface 0x1000003
    Internet Address Physical Address Type
    192.168.10.3 CC-CC-CC-CC-CC-CC dynamic
    目前假定HostB开始了恶行的arp拐骗:
    B向A发送一个自己假造的ARP应答,而这个应答中的数据为发送方IP地址是192.168.10.3（C的IP地址）,MAC地址是DD-DD-DD-DD-DD-DD（C的MAC地址本来应当是CC-CC-CC-CC-CC-CC,这里被假造了）.当A接纳到B假造的ARP应答,就会更新本地的arp缓存（A可不知道被假造了）.并且A不知道其实是从B发送过来的,A这里只有192.168.10.3（C的IP地址）和无效的DD-DD-DD-DD-DD-DD mac地址,没有和犯罪分子B相关的证据,哈哈,这样犯罪分子岂不乐死了.
    目前A机械的arp缓存更新了:
    C:\>arp -a
    Interface: 192.168.10.1 on Interface 0x1000003
    Internet Address Physical Address Type
    192.168.10.3 DD-DD-DD-DD-DD-DD dynamic
    这可不是小事.局域网的网络畅通可不是按照IP地址举行,而是按照MAC地址举行传输.目前192.168.10.3的MAC地址在A上被改变成一个本不存在的MAC地址.目前A开始Ping 192.168.10.3,网卡递交的MAC地址是DD-DD-DD-DD-DD-DD,后果是什么呢?网络不通,A根本不能Ping通C!!
    所以,局域网中一台机械,反复向其他机械,分外是向网关,发送这样无效假充的arp应答信息包,NND,严重的网络堵塞就开始了!网吧管理员的恶梦开始了.我的目标和任务,就是第一时间,抓住他.不过从方才的表述仿佛犯罪分子完善的操纵了以太网的缺陷,掩盖了自己的恶行.但其实,以上办法也有留下了蛛丝马迹.固然,ARP数据包没有留下HostB的地址,但是,承载这个ARP包的ethernet帧却包含了HostB的源地址.并且,正常情形下ethernet数据帧中,帧头中的MAC源地址/目标地址应当和帧数据包中ARP信息配对,这样的ARP包才算是精确的.假如不精确,必定是假充的包,可以提醒!但假如匹配的话,也不一定代表精确,说不定假造者也考虑到了这一步,而假造出符合格局要求,但内容假充的ARP数据包.不过这样也不要紧,只要网关这里拥有本网段全部MAC地址的网卡数据库,假如和Mac数据库中数据不匹配也是假充的arp数据包.也能提醒犯罪分子着手了.

[1] [2]  下一页