ARP攻击原理及解决方法

第一种：分析ARP 攻击原理及解决方法 【故障原因】 局域网内有人使用ARP 欺骗的木马程序（比如：传奇盗号的软件，某些传奇外挂中也被恶意加载了此程序）。 【故障原理】 要了解故障原理，我们先来了解一下 ARP 协议。 在局域网中，通过 ARP 协议来完成 IP 地址转换为第二层物理地址（即 MAC 地址）的。ARP 协议对网络安全具有重要的意义。通过伪造 IP 地址和 MAC 地址实现 ARP 欺骗，能够在网络中产生大量的ARP 通信量使网络阻塞。 ARP 协议是“Address Resolution Protocol”（地址解析协议）的缩写。在局域网中，网络中实际传输的是“帧”，帧里面是有目标主机的MAC 地址的。在以太网中，一个主机要和另一个主机进行直接通信，必须要知道目标主机的MAC 地址。但这个目标 MAC 地址是如何获得的呢？它就是通过地址解析协议获得的。所谓“地址解析”就是主机在发送帧前将目标 IP地址转换成目标 MAC 地址的过程。ARP 协议的基本功能就是通过目标设备的IP 地址，查询目标设备的MAC 地址，以保证通信的顺利进行。 每台安装有TCP/IP 协议的电脑里都有一个 ARP 缓存表，表里的IP 地址与 MAC 地址是一一对应的，如下表所示。 主机 IP 地址 MAC 地址 A 192.168.16.1 aa-aa-aa-aa-aa-aa B 192.168.16.2 bb-bb-bb-bb-bb-bb C 192.168.16.3 cc-cc-cc-cc-cc-cc D 192.168.16.4 dd-dd-dd-dd-dd-dd 我们以主机 A（192.168.16.1）向主机 B（192.168.16.2）发送数据为例。当发送数据时，主机 A 会在自己的ARP 缓存表中寻找是否有目标 IP 地址。如果找到了，也就知道了目标MAC 地址，直接把目标 MAC 地址写入帧里面发送就可以了；如果在 ARP 缓存表中没有找到相对应 的IP 地址，主 机 A 就会在网络上发送一个 广播，目 标 MAC 地址是“FF.FF.FF.FF.FF.FF”，这表示向同一网段内的所有主机发出这样的询问：“192.168.16.2的MAC地址是什么？” 网络上其他主机并不响应ARP 询问，只有主机B 接收到这个帧时，才向主机A 做出这样的回应：“ 192.168.16.2的MAC 地址是bb-bb-bb-bb-bb-bb” 。这样，主机A 就知道了主机B 的MAC 地址，它就可以向主机B 发送信息了。同时它还更新了自己的ARP缓存表，下次再向主机B 发送信息时，直接从 ARP 缓存表里查找就可以了。ARP 缓存表采用了老化机制，在一段时间内如果表中的某一行没有使用，就会被删除，这样可以大大减少ARP 缓存...