“教你怎么辨别ARP欺骗原理及防范被骗的做法”

今天，我们来谈谈arp诈骗的原理和教你如何防止诈骗的文案。 这里简要介绍了arp诈骗的原理和反诈骗的方法。 希望能帮到大家。

一个，arp诈骗的原理如下。

假设在这样的互联网上，一个集线器连接了三台机器

主机主机主机其中

的地址为: IP:192.168.10.1 MAC:aa-aa-aa-aa-aa-aa-aa-aa-aa中的一个

b的地址是IP:192.168.10.2 MAC:B B B-B B-B B-B-B-B-B-B-B-B-B-B-B-B-B-B-B-B-B-B-B的地址

的地址为IP:192.168.10.3 MAC :抄送-抄送-抄送-抄送-抄送-抄送-抄送-抄送

通常为c:\arp -a

接口: 192.168.10.1 on接口0x 1000003

internetaddressphysicaladdresstype

192.168.10.3抄送-抄送-抄送-抄送-抄送动态

假设hostb现在开始了罪恶的arp诈骗:

b表示发送源ip地址为192.168.10.3(c的ip地址)，mac地址为DD-DD-DD-DD-DD-DD ) DD(c的mac地址原本为cc-cc-cc-cc地址 而且，a其实不知道是b发来的。 a只有192.168.10.3(c的ip地址)和无效的DD-DD-DD-DD-DD-DD MAC地址，没有与分子b有关的证据。 哈哈，这样分子不是很容易就死了吗？

目前，已更新了a机器的arp缓存:

c:\美联储

接口: 192.168.10.1 on接口0x 1000003

internetaddressphysicaladdresstype

192.168.10.3光驱-光驱-光驱动态

这不是小事。 的网络分销基于mac地址而不是ip地址进行。 目前，192.168.10.3的mac地址已更改为在a中不存在的mac地址。 现在，a将于192.168.10.3开始对其进行平标。 网卡传入的mac地址是DD-DD-DD-DD-DD地址。 结果是什么？ 网络不通，a不能ping！ ！

于是，局域网中的一台机器，反复向其他机器，特别是网关，发送这种无效的虚假arp响应新闻包，nnd，严重的网络堵塞开始了！ 网吧管理员的噩梦开始了。 我的目标和任务是第一时间留住他。 但从刚才的表现来看，分子似乎完美地利用了以太网的缺陷，掩盖了自己的罪行。 但实际上，这些做法也留有蛛丝马迹。 虽然arp包中没有保留主机的地址，但是承载该arp包的以太网帧中包含了主机的源地址。 另外，通常在以太网数据帧中，帧头的mac源地址/目标地址必须与帧包的arp新闻配对。 可以说这样的arp数据包是正确的。 如果不正确的话，一定是假货包，可以注意！ 但是，如果一致的话，并不一定正确，造假者也考虑到了这一步，满足了样式的要求，但是副本可能是伪造了假的arp包。 但是，这样也没关系。 网关如果这里有本网段所有mac地址的网卡数据库，如果和mac数据库中的数据不一致，就是伪arp包。 也能注意对分子下手了

二、防止措施

1 .建立DHCP服务器( DHCP不怎么占用cpu，所以建议建在网关上。 另外，arp欺骗攻击通常先攻击网关。 我们让他先攻击网关。 由于网关有监视程序，所以建议网关地址选择192.168.10.2，并保留192.168.10.1 ) )/k0/另外，所有客户端计算机的ip添加 网关将启动dhcp服务，但在每个网卡上绑定并固定唯一的ip地址。 网络中的设备ip/mac必须维持一对一的关系。 这样，客户机由dhcp获取地址，但每次接通电源的ip地址相同。

2、建立mac数据库，记录网吧内所有网卡的mac地址，各mac和ip、地理位置均放入数据库，及时查询备案。

3 .网关机关闭arp动态刷新的过程，采用静态路由邮件。 这样一来，即使嫌疑人用arp诈骗攻击了网关，那对网关也没用，确保主机的安全。

网关建立静态ip/mac包的方法是建立/etc/ethers文件，其中包含正确的ip/mac兼容关系，按照以下方式:

192.168.2.32 08:00:4e:b0:24:47

另外，在最后添加/etc/rc.d/rc.local。

只要arp -f有效就可以了

4 .网关拦截互联网安全。 网关使用tcpdump程序剪切各个arp包，制作脚本分解软件分解这些arp协议。 arp欺骗攻击的数据包通常有以下两个优点。 如果满足一个，则可以视为攻击数据包警报。 第一个以太网标头的源地址、目标地址和arp包的协议地址不匹配。 或者，arp数据包的发送目的地和目的地不在自己的因特网卡mac数据库内，或者与自己的因特网mac数据库mac/ip不一致。 在所有这些第一时间报警，查看这些数据包(以太网数据包)的源地址，就可以大致知道该机器开始攻击了。

5 .偷偷去那台机器，看看是招聘者故意做的，还是被什么木马程序陷害了。 后者的情况下，默默地找借口拉开他，拔掉网线(不要切断电源，特别是看win98的计划任务)，看看机器现在的录取记录和运行情况，明确是否在攻击。

通过教授arp诈骗的原理和防止诈骗的方法，我相信这个复印件会对你有帮助。 和好朋友分享的时候，也欢迎感兴趣的朋友们一起探讨。

本文：《“教你怎么辨别ARP欺骗原理及防范被骗的做法”》