谈Arp反诈骗策略防御恶意攻击

　　近来与Arp相关恶意软件越来越猖狂，受益者的也不少，国际的各大杀毒厂商也纷繁推出Arp防火墙，这篇文章不是科普，首要是思绪，更想起到抛砖引玉的作用。此外，末学接触并熟习Arp协议到写出Arp诈骗和反诈骗的test code，前前后后也不过一个星期多一点的工夫。阅历有限，疏漏之处，再所难免，各位见谅。 　　Arp协议和Arp诈骗这里就不做引见了，网络这方面的文章比比皆是。 　　为了便于明白，上面结构一些名词： 　　受骗主机：假设局域网内，有网关，发起诈骗的主机（以下简称诈骗主机），受骗主机。 　　双向诈骗：诈骗主机使得网关以为诈骗主机是受骗主机，同时让受骗主机以为诈骗主机是网关； 　　单向诈骗网关：诈骗主机只使网关以为诈骗主机是受骗主机； 　　单向诈骗目标主机：诈骗主机只使受骗主机以为它是网关； 　　Arp除了能sniffer之外，如今相比盛行的做法就是运用Arp停止HTTP挂马的情况，所以上面思考的影响基本以这个角度的方面来权衡。 　　由于环境不一样，继续往下分，一个机房被Arp诈骗的情况，机房通常以效劳器为主，对外发的数据多以http应对包为主，此时单向诈骗目标主机的危害相比大。另外一个普通的公司、家庭及网吧之类的局域网环境，对外发的数据多以http央求为主，接纳的数据多以http应对包为主，此时单向诈骗网关危害相比大。 　　尚有的就是和网关相关了，网关庞杂的先分两种： 　　1、支持IP和MAC绑定的； 　　2、不支持IP和MAC绑定。 　　支持IP和MAC绑定的网关都好办，所以这里就不讨论这种情况了，首要讨论不支持IP和MAC绑定的情况： 　　上面举的例子都是Arp双向诈骗曾经存在的情况，装上Arp FW后FW将处置以下一些情况。 　　第一种情况：普通公司，家庭及网吧之类局域网环境下，网关不支持IP和MAC绑定。 　　先说诈骗战略，说到这里不得不提Arpspoof（以下简称AS），近来盛行这个工具，并且开源，好剖析，也确实写的不错。我手头拿到的3.1版本的源代码。若不修正AS代码，在当前情况下，并处在双向诈骗时，只需把配置文件稍微改改，就能够完成运用ARP挂马。但假设受骗主机绑定了正确网关的MAC，就不灵了。但假设有人修正了AS代码，使其能支持gzip解码，并且把本应发给受益主机的包，重组并解码然后再发给受益主机，就又能诈骗了。 　　然后再回来看看如今国际的Arp FW。相比弱的，FW一出来，连正确的网关MAC都检测不出来，需求手动填。好点的能自动检测正确的网关的MAC，通常步骤是：