對(duì)于ARP欺騙，提出幾點(diǎn)加強(qiáng)安全防范的措施。環(huán)境是主機(jī)或者網(wǎng)關(guān)是基于Linux/BSD的。

　　一、理論前提

　　本著“不冤枉好人，不放過一個(gè)壞人的原則”，先說說我的一些想法和理論依據(jù)。首先，大家肯定發(fā)送ARP欺騙包是一個(gè)惡毒的程序自動(dòng)發(fā)送的，正常的TCP/IP網(wǎng)絡(luò)是不會(huì)有這樣的錯(cuò)誤包發(fā)送的(板磚扔了過來啊，廢話！)。這就假設(shè)，如果犯罪嫌疑人沒有啟動(dòng)這個(gè)破壞程序的時(shí)候，網(wǎng)絡(luò)環(huán)境是正常的，或者說網(wǎng)絡(luò)的ARP環(huán)境是正常的，如果我們能在犯罪嫌疑人啟動(dòng)這個(gè)犯罪程序的第一時(shí)間，一開始就發(fā)現(xiàn)了他的犯罪活動(dòng)，那么就是人贓俱在，不可抵賴了，因?yàn)閯偛盘岬剑懊婢W(wǎng)絡(luò)正常的時(shí)候證據(jù)是可信和可依靠的。好，接下來我們談?wù)撊绾卧诘谝粫r(shí)間發(fā)現(xiàn)他的犯罪活動(dòng)。

　　ARP欺騙的原理如下：

　　假設(shè)這樣一個(gè)網(wǎng)絡(luò)，一個(gè)Hub接了3臺(tái)機(jī)器

　　HostA HostB HostC 其中

　　A的地址為：IP：192.168.10.1 MAC: AA-AA-AA-AA-AA-AA

　　B的地址為：IP：192.168.10.2 MAC: BB-BB-BB-BB-BB-BB

　　C的地址為：IP：192.168.10.3 MAC: CC-CC-CC-CC-CC-CC

　　正常情況下 C:arp -a

　　Interface: 192.168.10.1 on Interface 0x1000003

　　Internet Address Physical Address Type

　　192.168.10.3 CC-CC-CC-CC-CC-CC dynamic

　　現(xiàn)在假設(shè)HostB開始了罪惡的ARP欺騙：

　　B向A發(fā)送一個(gè)自己偽造的ARP應(yīng)答，而這個(gè)應(yīng)答中的數(shù)據(jù)為發(fā)送方IP地址是192.168.10.3（C的IP地址），MAC地址是DD-DD-DD-DD-DD-DD（C的MAC地址本來應(yīng)該是CC-CC-CC-CC-CC-CC，這里被偽造了）。當(dāng)A接收到B偽造的ARP應(yīng)答，就會(huì)更新本地的ARP緩存（A可不知道被偽造了）。而且A不知道其實(shí)是從B發(fā)送過來的，A這里只有192.168.10.3（C的IP地址）和無效的DD-DD-DD-DD-DD-DD mac地址，沒有和犯罪分子B相關(guān)的證據(jù)，哈哈，這樣犯罪分子豈不樂死了。