龙源期刊网httpwwwqika
comc
局域网内ARP攻击及防范实现
作者：杜卫军来源：《软件导刊》2011年第01期
摘要：局域网内有人使用ARP欺骗的木马程序来盗用用户的信息。该方法隐蔽性强，对于用户的危害非常严重，但是没有多少好的解决方法。总结了一套方法来防止ARP欺骗，希望对大家有所帮助。
关键词：ARP欺骗；MAC地址；防范
中图分类号：TP39308文献标识码：A文章编号：16727800（2011）01016403
作者简介：杜卫军1978男江苏姜堰人，江苏省姜堰中等专业学校中学一级教师，研究方向为数字媒体技术与网络技术。1攻击原理
要了解攻击原理，我们先来了解一下ARP（AddressResolutio
Protocol，ARP）地址解析协议。它是在仅知道主机的IP地址时确定其物理地址的一种协议。因IPv4和以太网的广泛应用，其主要用作将IP地址翻译为以太网的MAC地址，但其也能在ATM和FDDIIP网络中使用。从IP地址到物理地址的映射有两种方式：表格方式和非表格方式。ARP具体说来就是将网络层（IP层，也就是相当于OSI的第三层）地址解析为数据链接层（MAC层，也就是相当于OSI的第二层）的MAC地址。
在每台主机的内存中，都有一个arpmac的转换表。通常是动态的转换表（注意在路由中，该arp表可以被设置成静态）。也就是说，该对应表会被主机在需要的时候刷新。这是由于以太网在子网层上的传输是靠48位的mac地址而决定的。通常主机在发送一个ip包之前，它要到该转换表中寻找和ip包对应的mac地址。如果没有找到，该主机就发送一个ARP广播包：“我是主机xxxxxxxxxxxxmac是xxxxxxxxxxxip为xxxxxxxxxxx1的主机请告之你的mac来”ip为xxxxxxxxxxx1的主机响应这个广播，应答ARP广播为：“我是xxxxxxxxxxx1我的mac为xxxxxxxxxx2”于是，主机刷新自己的ARP缓存，然后发出该ip包。
一个入侵者想非法进入某台主机，他知道这台主机的防火墙只对192003假设这个ip开放23端口tel
et而他必须要使用tel
et来进入这台主机，所以他要这么做：①他先研究192003这台主机，发现这台机器使用一个oob炸弹就可以让他死掉；②他送一个洪水包给192003的139端口，于是，该机器应包而死；③主机发到192003的ip包将无法被机器应答，系统开始更新自己的arp对应表。将192003地址丢去；④这段时间里，入侵者把自己的ip改成192003；⑤他发一个pi
gicmp0给主机，要求主机更新主机的arp转换表；⑥主机
f龙源期刊网httpwwwqika
comc
找到该ip，然后在arp表中加入新的ipmac对应关系；⑦防火墙失效了，入侵的ip变r