防御法子，局域网内怎样防备ARP诱骗

一、理论条件
    本着“不冤枉大好人，不放过一个暴徒的原则”，先说说我的一些设法和理论依据。起首，各人必定发送ARP诱骗包必定是一个恶毒的措施自动发送的，正常的TCP/IP收集是不会有这样的错误包发送的(板砖扔了过来啊，空话！)。这就假设，假如犯法怀疑人没有启动这个粉碎措施的时辰，收集情形是正常的，可能说收集的ARP情形是正常的，假如我们能在犯法怀疑人启动这个犯法措施的第一时刻，一开始就发明白他的犯法勾当，那么就是人赃俱在，不行诡辩了，由于适才提到，前面收集正常的时辰证据是可信和可依赖的。好，接下来我们评论如安在第一时刻发明他的犯法勾当。
    ARP诱骗的道理如下：
    假设这样一个收集，一个Hub接了3台呆板
    HostA HostB HostC 个中
    A的地点为：IP：192.168.10.1 MAC: AA-AA-AA-AA-AA-AA
    B的地点为：IP：192.168.10.2 MAC: BB-BB-BB-BB-BB-BB
    C的地点为：IP：192.168.10.3 MAC: CC-CC-CC-CC-CC-CC
    正常环境下 C:arp -a
    Interface: 192.168.10.1 on Interface 0x1000003
    Internet Address Physical Address Type
    192.168.10.3 CC-CC-CC-CC-CC-CC dynamic
    此刻假设HostB开始了罪恶的ARP诱骗：
    B向A发送一个本身伪造的ARP应答，而这个应答中的数据为发送方IP地点是192.168.10.3（C的IP地点），MAC地点是DD-DD-DD-DD-DD-DD（C的MAC地点原来应该是CC-CC-CC-CC-CC-CC，这里被伪造了）。当A吸取到B伪造的ARP应答，就会更新当地的ARP缓存（A可不知道被伪造了）。并且A不知道着实是从B发送过来的，A这里只有192.168.10.3（C的IP地点）和无效的DD-DD-DD-DD-DD-DD mac地点，没有和犯法分子B相干的证据，哈哈，这样犯法分子岂不乐死了。
    此刻A呆板的ARP缓存更新了：
    C:>arp -a
    Interface: 192.168.10.1 on Interface 0x1000003
    Internet Address Physical Address Type
    192.168.10.3 DD-DD-DD-DD-DD-DD dynamic
    这可不是小事。局域网的收集畅通可不是按照IP地点举办，而是凭证MAC地点举办传输。此刻192.168.10.3的MAC地点在A上被改酿成一个本不存在的MAC地点。此刻A开始Ping 192.168.10.3，网卡递交的MAC地点是DD-DD-DD-DD-DD-DD，功效是什么呢？收集不通，A基础不能Ping通C！！
    以是，局域网中一台呆板，重复向其他呆板，出格是向网关，发送这样无效假意的ARP应答信息包，NND，严峻的收集堵塞就开始了！网吧打点员的恶梦开始了。我的方针和使命，就是第一时刻，抓住他。不外从适才的表述仿佛犯法分子美满的操作了以太网的缺陷，袒护了本身的罪行。但着实，以上要领也有留下了蛛丝马迹。尽量，ARP数据包没有留下HostB的地点，可是，承载这个ARP包的ethernet帧却包括了HostB的源地点。并且，正常环境下ethernet数据帧中，帧头中的MAC源地点/方针地点应该和帧数据包中ARP信息配对，这样的ARP包才算是正确的。假如不正确，必定是假意的包，可以提示！但假如匹配的话，也不必然代表正确，说不定伪造者也思量到了这一步，而伪造出切及名目要求，但内容假意的ARP数据包。不外这样也不要紧，只要网关这里拥有本网段全部MAC地点的网卡数据库，假如和Mac数据库中数据不匹配也是假意的ARP数据包。也能提示犯法分子下手了。[nextpage]
    二、防御法子
    1. 成立DHCP处事器(提议建在网关上，由于DHCP不占用几多CPU，并且ARP诱骗进攻一样平常老是先辈攻网关，我们就是要让他先辈攻网关，由于网关这里有监控措施的，网关地点提议选择192.168.10.2 ，把192.168.10.1留空，假如犯法措施愚笨的话让他去进攻安定点吧)，其它全部客户机的IP地点及其相干主机信息，只能由网关这里取得，网关这里开通DHCP处事，可是要给每个网卡，绑定牢靠独一IP地点。必然要保持网内的呆板IP/MAC逐一对应的相关。这样客户机固然是DHCP取地点，但每次开机的IP地点都是一样的。
    2. 成立MAC数据库，把网吧内全部网卡的MAC地点记录下来，每个MAC和IP、地理位置完好装入数据库，以便实时查询存案。
    3. 网关呆板封锁ARP动态革新的进程，行使静态路邮，这样的话，纵然犯法怀疑人行使ARP诱骗进攻网关的话，这样对网关也是没有效的，确保主机安详。
    网关成立静态IP/MAC绑缚的要领是：成立/etc/ethers文件，个中包括正确的IP/MAC对应相关，名目如下：
    192.168.2.32 08:00:4E:B0:24:47
    然后再/etc/rc.d/rc.local最后添加：
    arp -f 见效即可
    4. 网关监听收集安详。网关上面行使TCPDUMP措施截取每个ARP措施包，弄一个脚天职析软件说明这些ARP协议。ARP诱骗进攻的包一样平常有以下两个特点，满意之一可视为进攻包报警：第一以太网数据包头的源地点、方针地点和ARP数据包的协议地点不匹配。可能，ARP数据包的发送和方针地点不在本身收集网卡MAC数据库内，可能与本身收集MAC数据库 MAC/IP 不匹配。这些完好第一时刻报警，查这些数据包（以太网数据包）的源地点(也有也许伪造)，就大抵知道那台呆板在提倡进攻了。
    5. 鬼鬼祟祟的走到那台呆板，看看行使人是否存心，照旧被任放了什么木马措施陷害的。假如后者，不声不响的找个捏词支开他，拔掉网线(不关机,出格要看看Win98里的打算使命)，看看呆板的当前行使记录和运行环境，确定是否是在进攻。
    出几点增强安详防御的法子。情形是主机可能网关是基于Linux/BSD的。