专家支招防止局域网内ARP欺骗

	政务公开
	办事大厅
	政民互动
	电子信息产品制造业
	软件业
	无线电管理
	信息化推进

	省无线电监测站
	省电子信息产品监督检验院
	省信息技术教育培训中心

	南昌市无线电管理局
	九江市无线电管理局
	宜春市无线电管理局
	上饶市无线电管理局
	赣州市无线电管理局
	新余市无线电管理局
	萍乡市无线电管理局
	吉安市无线电管理局
	景德镇无线电管理局
	抚州市无线电管理局
	鹰谭市无线电管理局


首页
厅长之窗	李春燕李江河赖厚明吴海平熊远国唐国栋
机构设置及职能	厅办公室综合规划处科学技术处无线电管理处信息化推进处网络及通信管理处机关党委（人事处）纪检组（监察室）机关后勤服务中心
工作动态	综合动态电子信息产品制造业动态软件业动态无线电管理动态信息化推进动态
公告公示	公告无线电管理公告电子信息产品制造业公告软件业公告信息化推进公告
领导讲话	部省领导讲话厅领导讲话李春燕李江河赖厚明吴海平熊远国唐国栋年度工作报告其他
政府文件	赣信人赣信字赣信综赣信科赣信无赣信信赣信监 <赣信发赣信厅办赣信党字
工作简报	信息产业厅大事记厅简报专项工作简报专项工作简报政务双评保持共产党先进性教育惩治商业腐败
政策法规	法律行政法规部门规章地方性法规省政府规章无线电管理专门法律法规规范性文件法律法规频率台站管理规定设备管理规定收费规定规章制度
统计信息	全国通信行业运行情况我省电子信息产业经济运行情况我省软件产业经济运行情况我省无线电台登记情况
人事教育	人才招聘人事教育文件选编文件选编
纪检监察	工作部署党纪法规动态信息警示教育
规划部署	电子信息产品制造业规划部署软件业规划部署无线电管理规划部署信息化规划部署
产业动态	电子信息产品制造业动态软件业动态信息化推进动态无线电管理业动态
知识园地	电子信息产品制造业知识软件业知识信息化知识无线电知识

频道首页
政务公开指南
行政执法目录
办事项目	综合规划处科学技术处信息化推进处无线电管理处
相关法规文件
办结通知
行政处罚
收费标准
数据库查询

频道首页
厅长信箱
行政投诉中心
信访、纠风热线
纪检举报
便民服务
常见问题	办公室综合规划处科学技术处无线电管理处信息化推进处人事处省无线电监测站其他问题
民意调查
便民服务
数据库查询

网站群导航

网站全目录

简体

本页面支持自定义版面拖动排版，欢迎您根据自己需要更改页面排版模式。如需恢复默认排版可点击此处还原。谢谢使用!
>>查看使用帮助

电子信息产品制造业

无线电管理

信息化推进

首页 | 机构设置 | 政策法规 | 政府文件 | 领导讲话 | 规划部署 | 工作动态 | 公告公示 | 产业动态 | 专项资金 | 统计信息 | 工作简报 | 人事教育 | 纪检监察 | 知识园地

您现在的位置：江西信息产业厅 >> 政务公开 >> 知识园地 >> 软件业知识 >> 文章正文

专家支招防止局域网内ARP欺骗

【打印此文】【字体：小大】

专家支招防止局域网内ARP欺骗

作者：不详文章来源：赛迪网点击数：更新时间：2008-9-27

本文对于ARP欺骗，提出几点加强安全防范的措施。环境是主机或者网关是基于Linux/BSD的。

　　一、理论前提

　　本着“不冤枉好人，不放过一个坏人的原则”，先说说我的一些想法和理论依据。首先，大家肯定发送ARP欺骗包肯定是一个恶毒的程序自动发送的，正常的TCP/IP网络是不会有这样的错误包发送的。这就假设，如果犯罪嫌疑人没有启动这个破坏程序的时候，网络环境是正常的，或者说网络的ARP环境是正常的，如果我们能在犯罪嫌疑人启动这个犯罪程序的第一时间，一开始就发现了他的犯罪活动，那么就是人赃俱在，不可抵赖了，因为刚才提到，前面网络正常的时候证据是可信和可依靠的。好，接下来我们谈论如何在第一时间发现他的犯罪活动。

　　ARP欺骗的原理如下：

　　假设这样一个网络，一个Hub接了3台机器

　　HostA HostB HostC 其中

　　A的地址为：IP：192.168.10.1 MAC: AA-AA-AA-AA-AA-AA

　　B的地址为：IP：192.168.10.2 MAC: BB-BB-BB-BB-BB-BB

　　C的地址为：IP：192.168.10.3 MAC: CC-CC-CC-CC-CC-CC

　　正常情况下 C:\arp -a

　　Interface: 192.168.10.1 on Interface 0x1000003

　　Internet Address Physical Address Type

　　192.168.10.3 CC-CC-CC-CC-CC-CC dynamic

　　现在假设HostB开始了罪恶的ARP欺骗：

　　B向A发送一个自己伪造的ARP应答，而这个应答中的数据为发送方IP地址是192.168.10.3（C的IP地址），MAC地址是DD-DD-DD-DD-DD-DD（C的MAC地址本来应该是CC-CC-CC-CC-CC-CC，这里被伪造了）。当A接收到B伪造的ARP应答，就会更新本地的ARP缓存（A可不知道被伪造了）。而且A不知道其实是从B发送过来的，A这里只有192.168.10.3（C的IP地址）和无效的DD-DD-DD-DD-DD-DD mac地址，没有和犯罪分子B相关的证据，哈哈，这样犯罪分子岂不乐死了。

　　现在A机器的ARP缓存更新了：

　　C:\>arp -a

　　Interface: 192.168.10.1 on Interface 0x1000003

　　Internet Address Physical Address Type

　　192.168.10.3 DD-DD-DD-DD-DD-DD dynamic

　　这可不是小事。局域网的网络流通可不是根据IP地址进行，而是按照MAC地址进行传输。现在192.168.10.3的MAC地址在A上被改变成一个本不存在的MAC地址。现在A开始Ping 192.168.10.3，网卡递交的MAC地址是DD-DD-DD-DD-DD-DD，结果是什么呢？网络不通，A根本不能Ping通C！！

　　所以，局域网中一台机器，反复向其他机器，特别是向网关，发送这样无效假冒的ARP应答信息包，NND，严重的网络堵塞就开始了！网吧管理员的噩梦开始了。我的目标和任务，就是第一时间，抓住他。不过从刚才的表述好像犯罪分子完美的利用了以太网的缺陷，掩盖了自己的罪行。但其实，以上方法也有留下了蛛丝马迹。尽管，ARP数据包没有留下HostB的地址，但是，承载这个ARP包的ethernet帧却包含了HostB的源地址。而且，正常情况下ethernet数据帧中，帧头中的MAC源地址/目标地址应该和帧数据包中ARP信息配对，这样的ARP包才算是正确的。如果不正确，肯定是假冒的包，可以提醒！但如果匹配的话，也不一定代表正确，说不定伪造者也考虑到了这一步，而伪造出符合格式要求，但内容假冒的ARP数据包。不过这样也没关系，只要网关这里拥有本网段所有MAC地址的网卡数据库，如果和Mac数据库中数据不匹配也是假冒的ARP数据包。也能提醒犯罪分子动手了。

　　二、防范措施

　　1. 建立DHCP服务器(建议建在网关上，因为DHCP不占用多少CPU，而且ARP欺骗攻击一般总是先攻击网关，我们就是要让他先攻击网关，因为网关这里有监控程序的，网关地址建议选择192.168.10.2 ，把192.168.10.1留空，如果犯罪程序愚蠢的话让他去攻击空地址吧)，另外所有客户机的IP地址及其相关主机信息，只能由网关这里取得，网关这里开通DHCP服务，但是要给每个网卡，绑定固定唯一IP地址。一定要保持网内的机器IP/MAC一一对应的关系。这样客户机虽然是DHCP取地址，但每次开机的IP地址都是一样的。

　　2. 建立MAC数据库，把网吧内所有网卡的MAC地址记录下来，每个MAC和IP、地理位置统统装入数据库，以便及时查询备案。

　　3. 网关机器关闭ARP动态刷新的过程，使用静态路邮，这样的话，即使犯罪嫌疑人使用ARP欺骗攻击网关的话，这样对网关也是没有用的，确保主机安全。

　　网关建立静态IP/MAC捆绑的方法是：建立/etc/ethers文件，其中包含正确的IP/MAC对应关系，格式如下：

　　192.168.2.32 08:00:4E:B0:24:47

　　然后再/etc/rc.d/rc.local最后添加：

　　arp -f 生效即可

　　4. 网关监听网络安全。网关上面使用TCPDUMP程序截取每个ARP程序包，弄一个脚本分析软件分析这些ARP协议。ARP欺骗攻击的包一般有以下两个特点，满足之一可视为攻击包报警：第一以太网数据包头的源地址、目标地址和ARP数据包的协议地址不匹配。或者，ARP数据包的发送和目标地址不在自己网络网卡MAC数据库内，或者与自己网络MAC数据库 MAC/IP 不匹配。这些统统第一时间报警，查这些数据包（以太网数据包）的源地址(也有可能伪造)，就大致知道那台机器在发起攻击了。

　　5. 偷偷摸摸的走到那台机器，看看使用人是否故意，还是被任放了什么木马程序陷害的。如果后者，不声不响的找个借口支开他，拔掉网线(不关机,特别要看看Win98里的计划任务)，看看机器的当前使用记录和运行情况，确定是否是在攻击。

文章录入：高琨责任编辑：高琨

相关文章：

美国高科技对华出口大逆差专家呼吁再放宽
专家为TD鸣不平中移动千亿GSM投资喧宾夺主
专家建议北京等十城市小灵通为TD先行退市
无线通信领域专家称T-MMB有关性能优于DVB-H
无线上网技术PK 专家说“选技术先看需求”
专家：重组有利于中国无线增值服务产业发展
手机终端定制近40% 专家提移动互联终端新要求
专家：语音Wi-Fi正推动Wi-Fi市场持续增长
专家:4G是新一代宽带无线移动通信发展方案重点
专家曝WiMAX遭运营商冷遇无意进行大规模建网
10月全球半导体市场大会专家探讨节能话题
“克隆思想”成为现实，人工智能专家研究获美国资助
iNEMI举办电子工业创新研讨会众专家共论
专家称Vista是微软的最大败笔
小巧实用的注册表管理专家RegShot
新余市信息化(2008—2012年)发展规划通过专家评审
百度知道招募知识专家打造权威团队
Gmail漏洞可致钓鱼攻击专家演示全过程
文件保护专家个人隐私的安全卫士
安全专家图解网游账号被盗四途径

上一篇文章：用火狐+支付宝网络支付更加安全

下一篇文章：从网关防护根治病毒及恶意软件

政务公开的内容

政务详细指南

行政执法主体

行政执法依据目录

政务详细指南

	无线电频率指配
	无线电台（站）设置审批
	船舶、机车、航空器上的制式无线电台（站）强制备案
	无线电台（站）呼号指配
	无线电发射设备进关核准
	建立卫星通信网和设置卫星地球站审批
	无线电发射设备型号初审
	卫星电视广播地面接收设备的定点生产许可的初审
	申请军工电子装备科研生产许可证的推荐
	计算机信息系统集成资质认定的初审
	信息系统工程监理资质认证
	信息系统工程监理工程师资质认定的初审

执业资格考试（认定）合…

2008年上半年软考系统分…

2008年上半年软考信息系…

2008年上半年软考信息系…

2008年上半年软考信息系…

2008年上半年软考网络工…

2008年上半年软考数据库…

2008年上半年软考软件设…

2008年上半年软考软件评…

关于我厅 | About Jxdii | 法律声明 | 个人隐私声明 |

网站帮助 | 网站地图 |

电子邮局 | 个性化订阅 |

旧版网站回顾

Copy-right © 2000 - 2009 JXDII GOV.All Rights Reserved

主办单位：江西省信息产业厅地址：江西省政府大院北二路102号邮编：330046 联系电邮：master@jxdii.gov.cn

赣洪备2-4-3-0856214