ARP欺騙相信大家都不陌生吧，但有人知道欺騙的這2個字的真實意義嗎？呵呵，那ARP欺騙發(fā)的都是些什么樣的ARP包呢？ARP欺騙該如何防止呢？ARP欺騙對我門有什么有用價值呢？ARP欺騙對我門有什么壞處呢？好了和大家說說吧~

ARP欺騙實際就是刷新你本地的ARP緩存表，因為ARP表一般都是動態(tài)的，這就給欺騙者一個好的機會了，他們發(fā)的其實就是ARP的單播回復，也就是欺騙方主動發(fā)起回復來刷新被欺騙方的ARP表，你想一想在一個局網(wǎng)里，欺騙者把網(wǎng)關的IP與一個不存在的MAC映射好并且以回復方式發(fā)給你，那你的結(jié)果會如何呵呵，找不到網(wǎng)關的真實地址了。

注意回復是必須接受的因為協(xié)議沒有規(guī)定要提出請求才會響應，這是一個缺陷哦，它僅僅發(fā)給被欺騙者，不信可以抓包看看并且，隱藏了自己的MAC也就是源MAC是個假地址（ARP-回復報文的源填的就是個假的）。所以根本發(fā)現(xiàn)不了欺騙者，除非利用一些工具來查看出某些網(wǎng)卡此時正處于混亂模式因為從它那里出來的每一個幀的源MAC都不一樣，而它自身的MAC沒有被發(fā)送過。
 
當你是被欺騙者你接收到了一個不存在的網(wǎng)關MAC時那你就與公網(wǎng)斷開了。當你接收到的網(wǎng)關MAC是欺騙者的MAC時，那你就會把數(shù)據(jù)都指向欺騙者從而欺騙者利用一些密碼繡探工具和抓包工具監(jiān)視到你的明文密碼以及你的訪問信息。這是十分危險的，欺騙者接到了你門的數(shù)據(jù)時，它再提交給網(wǎng)關，網(wǎng)關會認為數(shù)據(jù)就是它發(fā)的，它會修改源MAC地址，當然源IP是不會變的，從而網(wǎng)關回應你時根本不會去找你，它會直接提交給欺騙者包過你要與外部建立的TCP連接都會經(jīng)過欺騙者的MAC，這樣的話你所與外部的通信完全是要經(jīng)過欺騙者的監(jiān)視，它可以采取任何手段管理你。包過流量限制，從而使其自身稱霸整個局網(wǎng)。要防止這樣的事ARP -s 網(wǎng)關IP  網(wǎng)關MAC  靜態(tài)捆綁是個很不錯的選擇。在本機哦！

注意ARP欺騙有些利用工具是會發(fā)2份請求的，一份發(fā)給網(wǎng)關告訴網(wǎng)關，被欺騙的主機IP對應的MAC地址是（一個假的MAC）網(wǎng)關就被欺騙了，從而你起碼要等20分鐘因為這是一個刷新時間，如果這段時間內(nèi)欺騙者不發(fā)假消息了，你可以得到恢復，但如果持續(xù)的話，那估計你一直都上不了就算你在本地ARP -s 捆綁了網(wǎng)關與網(wǎng)關自己的MAC，因為網(wǎng)關不知道你的位置，所以它不會發(fā)數(shù)據(jù)給你。這樣的話我本必須在網(wǎng)關接口上把下面的主機IP與MAC地址綁定住，讓網(wǎng)關不被欺騙，同時要在下面主機上把網(wǎng)關的IP與網(wǎng)關的MAC捆綁在一起。這樣做就很安全了，同時防止了更高層的欺騙，如ICMP重定向。

在廣網(wǎng)中一般不存在這樣的問題，因為大多情況都是PPP 或是PPPOE，PPP根本沒有物理地址字段，PPPOE則要看MAC地址，但它也是點對點的，也就是說對方只能看見你，不存在這樣的欺騙手段了，最多就是能夠把接受者對換一下，很多ADSL用戶為了突破電信的限制使多人路由NAT上網(wǎng)，做的就是一個MAC地址克隆把原本接入的PCMAC 克壟到進行PPPOE撥號的設備上。對方首先要進行PPPOE的認證之后才會進行PPP協(xié)商的2個階段LCP NCP！
 
另外有很多朋友都知道吧，2個MAC地址一樣，也能上網(wǎng)并且不會提示沖突，這樣是一種錯誤的方式，你會發(fā)現(xiàn)有時你依然會掉線，對方的ARP表里會緩存2個IP對應一個MAC的情況這不是關鍵，關鍵的地方是交換機的接口設計的時候是不允許同一個MAC地址出現(xiàn)在多個接口的，也就是說MAC表里不會存在2個接口對應一個MAC的情況，這樣的做的后果是，交換機MAC表動蕩，一會發(fā)給第1接口一會發(fā)給第2接口?；蛟S 你在同一個交換機的接口下又接了一個交換機，但結(jié)果還是一樣，2層交換機只認識MAC表，2個接口對應一個MAC將引起MAC動蕩使數(shù)據(jù)時通時不通。建議不要這樣使用，以為是突破認證實際無任何意義！

IP沖突，很多黑軟都帶有這個功能，原理上來說就是一個IP對應了2個MAC，在你的PC剛開機的時候你的PC會以廣播方式告訴大家，我的IP192.168.1.1對應的MAC是BBBB ，這樣如果還有個PC也發(fā)了一個IP192.168.1.1，MACAAAA，那這個IP就會出現(xiàn)2個MAC了這樣的話就會提示有沖突，黑軟就是利用了這一點，他發(fā)這樣的免費ARP給大家，制造IP沖突，但它自己不會提示，說過了，它只是在偽造數(shù)據(jù)包，所以源地址那里寫的根本就是個假的！這是無法解決的，除非那家伙覺得沒樂趣了停止使用，但這樣對你沒有什么影響，只是煩人的提示！只要被更改你的ARP緩存就不會存在問題。

查找這樣的欺騙者，我門只能通過抓包手段仔細分析，而且要有以前沒混亂時IP與MAC的對應關系，從而一一對照。

記得一點看包流向是看源IP與目標IP，當然經(jīng)過地址翻譯時有所改變，但對用戶自己來說是透明的操作。我依然可以抓到外網(wǎng)的源IP，提示一下源地址轉(zhuǎn)換其實就是轉(zhuǎn)換的我門本身內(nèi)網(wǎng)的IP為我門的出口地址，當回來的時候，目標的IP是我門的出口并且端口也是在出口處開放的端口不滿足這2個條件的我門就會扔了！所以反向NAT實際上只是固定了一些關系固定了內(nèi)部端口與出口端口的關系讓出口不改變我門的接口，而后允許可更多的外部地址能訪問出口處，從而出口原版的將數(shù)據(jù)遞交給內(nèi)網(wǎng)中。大家抓包分析就能發(fā)現(xiàn)，其實ping是不帶端口的，別人ping不到你內(nèi)網(wǎng)只是因為沒有到內(nèi)部的路由！

呵呵扯了點題外話！大家看幀的流向是看MAC地址這個東西是每經(jīng)過一次轉(zhuǎn)發(fā)就要改變的。它才是網(wǎng)絡的基礎！如果有人擾亂它的流向，那就是一種欺騙以及入侵方式。

推薦大家的軟件密碼監(jiān)聽器2.5綠色版，該軟件使用了ARP欺騙方式讓整個局網(wǎng)的數(shù)據(jù)都投遞到欺騙者這里，從而對數(shù)據(jù)過濾取得明文密碼。同時我門利用它，加上一個P2P網(wǎng)絡終結(jié)者2.07企業(yè)綠色版。就能對整個局網(wǎng)進行管理，結(jié)合局網(wǎng)QQ繡探工具！甚至可以管理別人的QQ。（P2P網(wǎng)絡終結(jié)者選擇交換模式就可以實現(xiàn)強制ARP代理了?。┭a充一點，我門是在交換網(wǎng)絡，共享的半雙工方式已經(jīng)過時了老套的方法是不能上戰(zhàn)場的。

以上工具本人都有網(wǎng)上也有下載的，大家看清楚版本，小心中招。

【編輯推薦】

1. 專題：ARP攻擊防范與解決方案
2. ARP Sinffer攻防實例講解
3. 教你使用Anti ARP Sniffer查找ARP攻擊者
4. ARP欺騙攻擊原理也可以這樣理解