第一， 前提的理論

在“一個好人委屈， 而不是讓一個壞的原則， ”我現在談論的一些想法和理論。 首先， 我們將發送給ARP協議欺騙數據包將是一個惡意程序自動發送正常的TCP / IP網絡是不會這樣的錯誤包發送。 這種假設， 如果嫌疑人沒有啟動銷毀過程， 它是正常的網絡環境， 或環境中， ARP協議的網絡是正常的， 如果我們能啟動嫌疑人在刑事訴訟程序第一次開始， 發現他的罪行， 處理贓物， 使人們在所有的不可抵賴性， 如前所述， 前面網絡正常的時候證據是可信和可依靠的。 好吧， 那么我們談論如何時， 他發現在第一的犯罪活動。

ARP協議的原則欺騙如下：

假設這樣一個網絡， 那么， 集線器的3機

主機主機HostC之一

A是位于：的IP ： 192.168.10.1的MAC ： AA型AA型AA型AA型AA型機管局

B是位于：的IP ： 192.168.10.2的MAC ：體一BB一BB一BB一BB一BB

C是位于：的IP ： 192.168.10.3的MAC ：循環循環循環循環循環循環

在正常情況下ç ： \ ARP協議一

接口： 192.168.10.1接口0x1000003

互聯網地址物理地址類型

192.168.10.3的CC -的CC -的CC -的CC -的CC -連鑄動態

現在假設開始刑事欺騙主機ARP協議：

A到B發送偽造的ARP協議自身的反應， 反應中的數據的IP地址， 發件人是192.168.10.3 （ C的IP地址） ， MAC地址的DD - DD -雙刀盤差異差異差異差異（ C的這應該是MAC地址的CC -連鑄循環循環循環循環， 這里是一個偽造） 。 A到B偽造的， 當收到ARP協議的反應， 我們將更新本地ARP高速緩存（甲無法判斷這是否是偽造的） 。 事實上， 但不知道從B發送回來， 在這里只有阿192.168.10.3 （ C的IP地址）和無效的差異差異差異差異差異差異MAC地址， 也沒有相關的犯罪證據向B ， 河公頃， 使犯罪分子將萊西。

一部是ARP高速緩存的更新：

ç ： \ “ ARP協議一

接口： 192.168.10.1接口0x1000003

互聯網地址物理地址類型

192.168.10.3差異差異差異差異差異差異動態

這是不小的問題。 局域網絡基礎上的IP地址是不容談判的， 但根據MAC地址的傳遞時間。 192.168.10.3現在在A的MAC地址發生了變化的MAC地址不存在。 現在開始192.168.10.3平提交的MAC地址卡的DD - DD -雙刀盤差異差異差異差異， 其結果是什么呢？互聯網接入， 一個不能平碳！ ！

因此， 局域網中一臺機器反復向其他機器， 特別是向網關， 發送這樣無效假冒ARP協議響應數據包， NND ， 嚴重堵塞在網絡上開始了！網吧管理員的噩夢開始了。 我的目標和任務是第一次， 抓住他。 但早先的聲明罪犯一樣完美的使用以太網的缺陷， 以掩蓋他們的罪行。 但事實上， 上述方法已經離開的線索。 盡管， ARP協議數據包主機沒有留下地址， 但是， 對ARP包帶有以太網幀， 但主機包含源地址。 此外， 在正常情況下， 以太網的幀， 標題中的MAC地址的源/目的地址和幀應在ARP協議的信息包匹配， 因此對ARP包是正確的。 如果不正確， 肯定是偽造的封裝， 可以提醒！但是， 如果比賽中， 這并不一定意味著正確的可能偽造這樣一個步驟已經考慮到， 并偽造出符合格式， 但內容的數據包地址解析協議假。 然而， 這并不重要， 只要網關本王有一個部分， 所有的MAC地址的信用卡數據庫， 如果蘋果不匹配數據庫中的數據也是偽造的數據包地址解析協議。 也提醒手中的罪犯。

其次， 預防措施

1 。 DHCP服務器的設置（在建議建立網關的DHCP ， 因為人數的CPU ， 以及ARP欺騙攻擊一般總是第一個網關， 我們希望讓他第一次攻擊網關， 網關， 因為有監測程序， 網關地址建議選擇192.168.10.2 ， 在192.168.10.1留空， 如果犯罪程序這么笨， 讓他地址欄和空中襲擊） ， 和所有客戶端的IP地址和主機有關的信息， 才能取得在這里網關， 網關這里開幕DHCP服務， 但給每個信用卡， 唯一的具有約束力的固定IP地址。 必須保持網絡的機器的IP / MAC的一個映射。 這是客戶端的DHCP地址， 但每次開機是相同的IP地址。

2 。 陸委會建立一個數據庫， 以網吧的所有網卡的MAC地址記錄， 每個MAC和知識產權， 所有的地理位置到數據庫， 以便查詢記錄及時。

3 。 網關機器關閉ARP協議動態刷新過程中， 使用靜態路由， 這種情況下， 即使嫌疑人使用ARP欺騙網關， 這個網關是沒有用的， 確保主機安全。

網關建立靜態IP / MAC的捆綁起來：的/ etc /醚文件， 其中包含正確的IP / Mac的信件格式如下：

192.168.2.32 8時00分04秒電子郵件：本B0 ： 24:47

然后的/ etc / rc.d / rc.local最后添加：

ARP協議口才能生效

4 。 網關監聽網絡安全。 網關TCPDUMP使用上述程序截取每個ARP協議包， 得到一個腳本分析軟件分析這些ARP協議的協議。 ARP協議欺騙攻擊的包一般有以下特點的兩個， 以滿足一個包可以被看作是攻擊警察：第一以太網包頭源地址， 目的地地址和ARP協議包不匹配的地址協議。 或者， ARP協議和發送數據包的目的地地址是不是自己的數據庫網絡卡的MAC ， MAC或網絡數據庫有自己的MAC / IP協議不相符。 所有這些首先向警方報案， 調查這些數據包（以太網數據包）源地址（可能是偽造的） ， 或多或少知道自己的電腦中的攻擊。

5 。 偷偷來的機器， 看看是否使用故意或任何釋放什么木馬了。 如果是后者， 悄悄地， 他要尋找的借口愷， 掏出電纜（而不是關閉， 特別是看該計劃的使命Win98下） ， 看看目前使用的機械和創紀錄的業績， 看是否是在這次襲擊中。