防止arp欺骗的方法
arp欺骗,根本的源头是在局域网里,是将IP地址转换为MAC地址后,使用MAC地址寻找相应的主机进行通讯。但在局域网里,IP相同是不允许的,系统会报IP冲突,但MAC相同,却是可以的。
假设这么一个场景,局域网里有A,B,C 三台机器,,AB正常通讯,C想窃听。于是C给B进行攻击,让B断网,于是AB的链接中断,然后C再告诉A,B的IP的MAC地址就是C的MAC地址(当然,C也可以伪造一个新的MAC地址发给A,只要保持IP,MAC配对就可以了)。于是A发往B IP的数据实际上却到了C那里,于是C就可以看到AB通讯的内容了。
这是一个比较复杂的过程,还包括C需要将A的数据包转发给B,让AB看起来像是直接联系一样。
发生ARP欺骗的一个前兆就是网络突然会慢,断,然后过会又好了。
从上面的描述可以看出,arp欺骗主要是由于IP 和MAC对应关系的不稳定 。所以最简单的一个办法,就是把IP 和 MAC绑定。在交换机端口做IP,MAC绑定。然后保证每个MAC一个IP。
个人电脑自我防范,可以将arp和ip固定,起码要固定网关那台机器的IP和MAC。
如果在linux环境下,可以这么操作:
建立/etc/ethers文件,其中包含正确的IP/MAC对应关系,格式如下:
192.168.0.196 00:12:3F:C8:5E:EA
192.168.8.1 00:D0:D0:6C:A8:27
192.168.0.1 00:15:E9:47:D1:00
然后再/etc/rc.d/rc.local最后添加:
arp -f 生效即可
使用arp -a 可以看到
? (192.168.0.196) at 00:12:3F:C8:5E:EA [ether] PERM on eth0
? (192.168.8.1) at 00:D0:D0:6C:A8:27 [ether] PERM on eth0
? (192.168.0.1) at 00:15:E9:47:D1:00 [ether] PERM on eth0
注:未经允许,做arp欺骗,网络监听是非常无耻的行为!非常BS!一点技术含量都没有。 不要以为从网上下个软件就可以为所欲为。
