企业ARP诈骗类型分析及防御方法 有效防御需对症！

对于众多企业来说，遭遇最多的网络诈骗当属ARP诈骗。这种诈骗方式将ARP欺骗和ICMP重定向组合，以实现跨网段欺骗为目的。企业ARP诈骗类型多样，要做到有效的预防就需要做到对症下药！不同的企业ARP诈骗拥有不同的防御措施！

ARP诈骗类型一、不同网段ARP欺骗分析

假设A、C位于同一网段而主机B位于另一网段，三台机器的ip地址和硬件地址如下：

A: IP地址 192.168.0.1 硬件地址 AA:AA:AA:AA:AA:AA;

B: IP地址 192.168.1.2 硬件地址 BB:BB:BB:BB:BB:BB;

C: IP地址 192.168.0.3 硬件地址 CC:CC:CC:CC:CC:CC。

在现在的情况下，位于192.168.1网段的主机B如何冒充主机C欺骗主机A呢?显然用上面的办法的话，即使欺骗成功，那么由主机B和主机A之间也无法建立telnet会话，因为路由器不会把主机A发给主机B的包向外转发，路由器会发现地址在192.168.0.这个网段之内。

ARP诈骗类型二、ICMP重定向

把ARP欺骗和ICMP重定向结合在一起就可以基本实现跨网段欺骗的目的。

ICMP重定向报文是ICMP控制报文中的一种。在特定的情况下，当路由器检测到一台机器使用非优化路由的时候，它会向该主机发送一个ICMP重定向报文，请求主机改变路由。路由器也会把初始数据报向它的目的地转发。

结合ARP欺骗和ICMP重定向进行攻击的步骤解析如下：

为了使自己发出的非法IP包能在网络上能够存活长久一点，开始修改IP包的生存时间TTL为下面的过程中可能带来的问题做准备。把TTL改成255。(TTL定义一个IP包如果在网络上到不了主机后，在网络上能存活的时间，改长一点在本例中有利于做充足的广播)。

下载一个可以自由制作各种包的工具

然后和上面一样，寻找主机C的漏洞按照这个漏洞宕掉主机C。

在该网络的主机找不到原来的192.0.0.3后，将更新自己的ARP对应表。于是他发送一个原IP地址为192.168.0.3硬件地址为BB:BB:BB:BB:BB:BB的ARP响应包。

现在每台主机都知道了，一个新的MAC地址对应192.0.0.3，一个ARP欺骗完成了，但是，每台主机都只会在局域网中找这个地址而根本就不会把发送给192.0.0.3的IP包丢给路由。于是他还得构造一个ICMP的重定向广播。

接下来ARP诈骗的防御原则放松时刻到：

ARP诈骗防御原则一、

不要把你的网络安全信任关系建立在IP地址的基础上或硬件MAC地址基础上，(RARP同样存在欺骗的问题)，理想的关系应该建立在IP+MAC基础上。

ARP诈骗防御原则二、设置静态的MAC→IP对应表，不要让主机刷新你设定好的转换表。

尽量停止使用ARP，将ARP作为永久条目保存在对应表中。在Linux下用ifconfig -arp可以使网卡驱动程序停止使用ARP。

ARP诈骗防御原则三、使用代理网关发送外出的通信

修改系统拒收ICMP重定向报文。在Linux下可以通过在防火墙上拒绝ICMP重定向报文或者是修改内核选项重新编译内核来拒绝接收ICMP重定向报文。在Win 2000下可以通过防火墙和IP策略拒绝接收ICMP报文。

责任编辑:黄淑蓉