静态ARP欺骗包 IP地址冲突

对于ARP欺骗，提出几点加强安全防范的措施。环境是主机或者网关是基于Linux/BSD的。

一、理论前提

本着“不冤枉好人，不放过一个坏人的原则”，先说说我的一些想法和理论依据。首先，大家肯定发送ARP欺骗包肯定是一个恶毒的程序自动发送的，正常的TCP/IP网络是不会有这样的错误包发送的。

这就假设，如果犯罪嫌疑人没有启动这个破坏程序的时候，网络环境是正常的，或者说网络的ARP环境是正常的，如果我们能在犯罪嫌疑人启动这个犯罪程序的第一时间，一开始就发现了他的犯罪活动，那么就是人赃俱在，不可抵赖了，因为刚才提到，前面网络正常的时候证据是可信和可依靠的。好，接下来我们谈论如何在第一时间发现他的犯罪活动。

ARP欺骗的原理如下:

假设这样一个网络，一个Hub接了3台机器

HostA HostB HostC 其中

A的地址为:IP:192.168.10.1 MAC: AA-AA-AA-AA-AA-AA

B的地址为:IP:192.168.10.2 MAC: BB-BB-BB-BB-BB-BB

C的地址为:IP:192.168.10.3 MAC: CC-CC-CC-CC-CC-CC

正常情况下 C:arp -a

Interface: 192.168.10.1 on Interface 0x1000003

Internet Address Physical Address Type

192.168.10.3 CC-CC-CC-CC-CC-CC dynamic

现在假设HostB开始了罪恶的ARP欺骗:

B向A发送一个自己伪造的ARP应答，而这个应答中的数据为发送方IP地址是192.168.10.3(C的IP地址)，MAC地址是DD-DD-DD-DD-DD-DD(C的MAC地址本来应该是CC-CC-CC-CC-CC-CC，这里被伪造了)。当A接收到B伪造的ARP应答，就会更新本地的ARP缓存(A可不知道被伪造了)。而且A不知道其实是从B发送过来的，A这里只有192.168.10.3(C的IP地址)和无效的DD-DD-DD-DD-DD-DD mac地址，没有和犯罪分子B相关的证据，哈哈，这样犯罪分子岂不乐死了。

现在A机器的ARP缓存更新了:

C:>arp -a
Interface: 192.168.10.1 on Interface 0x1000003
Internet Address Physical Address Type
192.168.10.3 DD-DD-DD-DD-DD-DD dynamic

这可不是小事。局域网的网络流通可不是根据IP地址进行，而是按照MAC地址进行传输。现在192.168.10.3的MAC地址在A上被改变成一个本不存在的MAC地址。现在A开始Ping 192.168.10.3，网卡递交的MAC地址是DD-DD-DD-DD-DD-DD，结果是什么呢?网络不通，A根本不能Ping通C!

所以，局域网中一台机器，反复向其他机器，特别是向网关，发送这样无效假冒的ARP应答信息包，NND，严重的网络堵塞就开始了!网吧管理员的噩梦开始了。我的目标和任务，就是第一时间，抓住他。

不过从刚才的表述好像犯罪分子完美的利用了以太网的缺陷，掩盖了自己的罪行。但其实，以上方法也有留下了蛛丝马迹。尽管，ARP数据包没有留下HostB的地址，但是，承载这个ARP包的ethernet帧却包含了HostB的源地址。

而且，正常情况下ethernet数据帧中，帧头中的MAC源地址/目标地址应该和帧数据包中ARP信息配对，这样的ARP包才算是正确的。如果不正确，肯定是假冒的包，可以提醒!但如果匹配的话，也不一定代表正确，说不定伪造者也考虑到了这一步，而伪造出符合格式要求，但内容假冒的ARP数据包。

不过这样也没关系，只要网关这里拥有本网段所有MAC地址的网卡数据库，如果和Mac数据库中数据不匹配也是假冒的ARP数据包。也能提醒犯罪分子动手了。

二、防范措施

1.建立DHCP服务器(建议建在网关上，因为DHCP不占用多少CPU，而且ARP欺骗攻击一般总是先攻击网关，我们就是要让他先攻击网关，因为网关这里有监控程序的，网关地址建议选择192.168.10.2，把192.168.10.1留空，如果犯罪程序愚蠢的话让他去攻击空地址吧)，另外所有客户机的IP地址及其相关主机信息，只能由网关这里取得，网关这里开通DHCP服务，但是要给每个网卡，绑定固定唯一IP地址。

一定要保持网内的机器IP/MAC一一对应的关系。这样客户机虽然是DHCP取地址，但每次开机的IP地址都是一样的。

2.建立MAC数据库，把网吧内所有网卡的MAC地址记录下来，每个MAC和IP、地理位置统统装入数据库，以便及时查询备案。

3.网关机器关闭ARP动态刷新的过程，使用静态路邮，这样的话，即使犯罪嫌疑人使用ARP欺骗攻击网关的话，这样对网关也是没有用的，确保主机安全。

网关建立静态IP/MAC捆绑的方法是:建立/etc/ethers文件，其中包含正确的IP/MAC对应关系，格式如下:

192.168.2.32 08:00:4E:B0:24:47

然后再/etc/rc.d/rc.local最后添加:

arp -f 生效即可

4.网关监听网络安全。网关上面使用TCPDUMP程序截取每个ARP程序包，弄一个脚本分析软件分析这些ARP协议。ARP欺骗攻击的包一般有以下两个特点，满足之一可视为攻击包报警:第一以太网数据包头的源地址、目标地址和ARP数据包的协议地址不匹配。

或者，ARP数据包的发送和目标地址不在自己网络网卡MAC数据库内，或者与自己网络MAC数据库 MAC/IP不匹配。这些统统第一时间报警，查这些数据包(以太网数据包)的源地址(也有可能伪造)，就大致知道那台机器在发起攻击了。

5.偷偷摸摸的走到那台机器，看看使用人是否故意，还是被任放了什么木马程序陷害的。如果后者，不声不响的找个借口支开他，拔掉网线(不关机,特别要看看Win98里的计划任务)，看看机器的当前使用记录和运行情况，确定是否是在攻击。

“又掉线了！！！”每当听到客户的抱怨声一片响起，网管员就坐立不安。其实，此起彼伏的瞬间掉线或大面积的断网大都是ARP欺骗在作怪。ARP欺骗攻击已经成了破坏网吧经营的罪魁祸首，是网吧老板和网管员的心腹大患。
目前知道的带有ARP欺骗功能的软件有“QQ第六感”、“网络执法官”、“P2P终结者”、“网吧传奇杀手”等，这些软件中，有些是人为手工操作来破坏网络的，有些是做为病毒或者木马出现，使用者可能根本不知道它的存在，所以更加扩大了ARP攻击的杀伤力。
在局域网中，通信前必须通过ARP协议来完成IP地址转换为第二层物理地址（即MAC地址）。ARP协议对网络安全具有重要的意义。通过伪造IP地址和MAC地址实现ARP欺骗，对网络的正常传输和安全都是一个很严峻的考验。
从影响网络连接通畅的方式来看，ARP欺骗有两种攻击可能，一种是对路由器ARP表的欺骗；另一种是对内网电脑ARP表的欺骗，当然也可能两种攻击同时进行。不管理怎么样，欺骗发送后，电脑和路由器之间发送的数据可能就被送到错误的MAC地址上，从表面上来看，就是“上不了网”，“访问不了路由器”，“路由器死机了”，因为一重启路由器，ARP表会重建，如果ARP攻击不是一直存在，就会表现为网络正常，所以网吧业主会更加确定是路由器“死机”了，而不会想到其他原因。为此，宽带路由器背了不少“黑锅”，但实际上应该ARP协议本身的问题。好了，其他话就不多说，让我们来看看如何来防止ARP的欺骗吧。
上面也已经说了，欺骗形式有欺骗路由器ARP表和欺骗电脑ARP两种，我们的防护当然也是两个方面的，首先在路由器上进行设置，来防止路由器的ARP表被恶意的ARP数据包更改；其次，我们也会在电脑上进行一下设置，来防止电脑的ARP表受恶意更改。两个方面的设置都是必须的，不然，如果您只设置了路由器的防止ARP欺骗功能而没有设置电脑，电脑被欺骗后就不会把数据包发送到路由器上，而是发送到一个错误的地方，当然无法上网和访问路由器了。
一、设置前准备
当使用了防止ARP欺骗功能（IP和MAC绑定功能）后，最好是不要使用动态IP，因为电脑可能获取到和IP与MAC绑定条目不同的IP，这时候可能会无法上网，通过下面的步骤来避免这一情况发生吧。
1.把路由器的DHCP功能关闭：打开路由器管理界面，“DHCP服务器”－＞“DHCP服务”，把状态由默认的“启用”更改为“不启用”，保存并重启路由器。
2.给电脑手工指定IP地址、网关、DNS服务器地址，如果您不是很清楚当地的DNS地址，可以咨询您的网络服务商。
二、设置路由器防止ARP欺骗
具备这种一功能的路由器产品很多，下面我们以某一款路由器为例，设置路由器防止ARP欺骗。
打开路由器的管理界面可以看到如下的左侧窗口：

可以看到比之前的版本多出了“IP与MAC绑定”的功能，这个功能除了可以实现IP和MAC绑定外，还可以实现防止ARP欺骗功能。
打开“静态ARP绑定设置”窗口如下：

注意，默认情况下ARP绑定功能是关闭，请选中启用后，点击保存来启用。
打开“ARP映射表”窗口如下：

这是路由器动态学习到的ARP表，可以看到状态这一栏显示为“未绑定”。 如果确认这一个动态学习的表没有错误，也就是说当时不存在arp欺骗的情况下（如果网络是正常运行的，而且不同的IP对应的MAC地址不一样，一般是没有错误的） ，我们把这一个表进行绑定，并且保存为静态表，这样路由器重启后这些条目都会存在，达到一劳永逸的效果。
点击“全部绑定”，可以看到下面界面：

可以看到状态中已经为已绑定，这时候，路由器已经具备了防止ARP欺骗的功能，上面的示范中只有三个条目，如果您的电脑多，操作过程也是类似的。有些条目如果没有添加，也可以下次补充上去。除了这种利用动态学习到的ARP表来导入外，也可以使用手工添加的方式，只要知道电脑的MAC地址，手工添加相应条目就可。
为了让下一次路由器重新启动后这些条目仍然存在，我们点击了“全部导入”，然后再次打开“静态ARP绑定设置”窗口：

可以看到静态条目已经添加，而且在绑定这一栏已经打上勾，表示启用相应条目的绑定。到此，我们已经成功设置路由器来防止192.168.1.111、192.168.1.112、222.77.77.1这三个IP受ARP欺骗的攻击，如果有更多的电脑，只是条目数不同，设置过程当然是一样的，不是很难吧？
三、设置电脑防止ARP欺骗
路由器已经设置了防止ARP欺骗功能，接下来我们就来设置电脑的防止ARP欺骗了。微软的操作系统中都带有ARP这一命令行程序，我们可以在windows的命令行界面来使用它。打开windows的命令行提示符如下：

通过“arp-s ＋路由器IP如192.168.1.1＋路由器的MAC地址”这一条命令来实现对路由器的ARP条目的静态绑定，可以看到在arp -a 命令的输出中，已经有了我们刚才添加的条目，Type类型为static表示是静态添加的。至此，我们也已经设置了电脑的静态ARP条目，这样电脑发送到路由器的数据包就不会发送到错误的地方去了。
怎么知道路由器的MAC地址是多少呢？可以打开路由器的管理界面，进入“网络参数”－＞“LAN口设置”：

LAN口的MAC地址就是电脑的网关的MAC地址。
细心的人可能已经发现了，如果使用上面的方法，电脑每次在重启后都需要输入上面的命令来实现防止ARP欺骗，有没有更简单的方法自动来完成，不用手工输入呢？有！
我们可以新建一个批处理文件如static_arp.bat，注意后缀名为bat。编辑它，在里面加入我们刚才的命令：

保存就可以了，以后可以通过双击它来执行这条命令，还可以把它放置到系统的启动目录下来实现启动时自己执行。打开电脑“开始”－＞“程序”，双击“启动”打开启动的文件夹目录，把刚才建立的static_arp.bat复制到里面去：

好了，以后电脑每次启动时就会自己执行arp –s命令了，网吧网管和老板终于可以好好休息一下，不再受到ARP攻击的干扰

你的应该是在局域网的啦,找到根源的办法是 找到 发送ARP攻击包的 主机 杀毒
或者把那台机的断网

你肯定在局域网,有人发出arp攻击包让你掉网,下载一个anti arp软件