基于arp欺骗的,无需安装客户端就可以对局域网内电脑进行,但是,被控计算机只需要安装一个ARP防火墙(如360),就可以轻松逃避监控.

        熟悉网络的人都明白，交换机已经不采用广播式转发机制，连接某端口的主机不会收到不是发给它的数据（除非FDB表中没有对应MAC），当你使用嗅探软件时，可以发现根本收不到其它主机的数据，这就是非广播转发机制起作用。同样，正常情况，网管软件安装在交换网络中，只能看到安装网管软件服务器的传输数据，管理不到本IP网内的其它主机。但该网管软件 却称对网络环境没有任何要求，换句话说即时在交换网络也能管理IP网内主机。这违反了交换机的转发机制，为什么呢，现在来xx之。

        首先，IP的目的是什么？它的目的是打造一个可连接多个物理网络的虚拟网络（见《也说IP协议》），看似数据传输时，是以IP确定对方的地址，但当我们把观察范围从整个IP网络缩小到用IP连接的单个物理网络（以太网为例）时，却发现packet是被放到frame中传输的，主机使用MAC地址确定对方。那么IP是如何对应到MAC呢？使用ARP。

        ARP是工作在底层的、提供IP与MAC绑定的协议。虽然高层协议使用IP确定对方，但传输时底层协议发送ARP包查询目的IP对应的MAC地址，再以该MAC地址为目的向网络送出帧，如果目的IP不在本网段内，则以网关MAC地址为目的。很多人在网上询问包在网络上传送时什么地址会改变，这也是因为没有搞清楚IP与MAC的关系。

        小帖仕：IPv6不再使用ARP将IP与MAC绑定，而使用将MAC地址直接编码进IP地址的映射方法。

        ARP提供了IP与MAC对应的方法，A主机要想通过以太网发送数据给本IP网段内的B主机，A会先发送一个ARP查询广播包，向连接在本IP网内的所有主机广播：B主机，你的IP是xxx.xxx.xxx.xxx，请问你? 腗AC地址是什么？当B主机收到这个包，会回应：A，我的MAC地址是xx。A收到回应后，在自己的ARP表中记录：B的IP对应B的MAC。A发送数据时，把带有发送源A的IP和目的B的IP的packet封装进带有发送源A的MAC地址和目的B的MAC地址的frame中，把这个frame送到网络中。这就是ARP正常的工作状态，我们设想一下，如果IP对应MAC的过程被人故意修改了会怎么样？

        假设C想攻击A，但A防护的很严密，经过一番努力，C发现A与B建立了IP信任，就是说A信任来自B的数据。这时，C可以向A发送一个ARP主动通告（有别于上面的被动回复）：我的IP是xxx.xxx.xxx.xxx（B的IP），对应的MAC地址是xxx（C的MAC）。A收到后，刷新ARP表，以后从A发往B的包，都被发到C了。而C不用修改为B的IP，只需将发往A的包中将源IP改为B的IP，因为C知道A发往IP　B的包都会发到我这来。这样攻击就可以实施了。

         通过上面的例子可以看出，通过精心设计的ARP表是可以改变通信路径的。要在使用交换机的网络中，能让随便一台主机管理到本IP网内的所有对外通信的方法就是让所有主机的对外数据都通过这台网管主机，再根据网管设置的策略允许或禁止某些通信。如何做到呢？

        网管主机向全网发送ARP主动通? 妫和 豂P对应的MAC地址是本网管主机的MAC。所有主机收到该ARP包，刷新自己的ARP表，设置网关IP<－>网管MAC。当主机对外通信时，它们认为数据是发往网关的，其实都被发往网管了，网管收到数据后，根据设置的规则和策略选择是否将数据再次转发、以什么速度转发到真正的网关。这样就实现网管主机对对外通信的管理。

        这里举一个证据证实我的观点：注意该网管的使用手册，它要求停止监控前要首先停止网管引擎，如果不停止就直接关机其它主机会有暂时的上不了网的现象，这个暂时就是主机上ARP表失效时间。因为网管直接关机时，其它主机上的网关IP还是对应着网管主机上的MAC地址，还一直向这个MAC地址发送数据包。经过一段时间，ARP表记录失效后，主机会再次询问网关的MAC地址，这时真实的网关把自己的MAC地址返回给其它主机，这样其它主机会恢复对外通信。如果在关机前停止引擎，网管会发送一个ARP包，重新指明网关IP对应的真正的MAC地址，这样其它主机会无缝的转向真正的网关。

1、该工作原理的缺点：使用ARP欺骗破坏了网络原有的正常运作，扭曲了通信路径，破坏了网络建造前精心设计的网络方案和拓扑结构，加重交换机及网管机所连接端口的负荷。而且不光只有网管机能使用ARP通告包，其它主机和网关（路由器或三层交换机）也能使用，虽然网管机定期、多次的向所有主机通告欺骗性的ARP，但网关仍可能发送正常的ARP通告，这就可能导致管理失败。如果主机使用静态ARP表（可能由公司策略决定）也将导致无法实施。因此，此种原理不适合在中大型网络及服务器区中使用。在此点一下，透明网桥方式是更好的选择。

2、该网管软件的不足：该网管只会向主机发送ARP欺骗通告，不会向网关发送某主机与MAC绑定的ARP通告，因此，它只能管理到上行通信，无法对网关送回主机的数据进行监控，因为网关中的ARP表还是正常的IP与MAC对应项，下行数据不会流经网管机。其所谓的下行流量应该是它根据上行数据包计算出来的，这样导致一个问题，它的下行流量不真实。其实网管仍可以用ARP欺骗网关，把网络中所有主机的MAC都替换成 网管机的MAC，这样下行数据都会先通过网管机再转发到真实的主机，但这样的缺点是网管主的负载会非常大，我想正是这个原因，才没有这样做，而转向采用通过计算上行数据包来推算下行流量的方案。同时，该公司只提供软件产品，并未提供一整套解决方案，所以网络监控还取决于用户自行购置的硬件，导致不同公司的网络性能参差不齐。最近，该公司将该网管软件从网站下架取而代之一种新的软硬件整体方案，我猜和上面有一点关系。因此，该网管软件不适合在中大型网络及服务器区中使用。

3、ARP欺骗攻击防范：ARP欺骗之所有会成功，是因为ARP表的更新造成的。ARP表的超时及更新可以减少机器的开销，使其适应更大型的网络，也就是动态ARP表。要想防范，只需将动态ARP表改为静态ARP表。原先由机器自动添加ARP记录，改为手动添加，同时设置为不超时。在Windows XP/2003中为ARP -s “IP” “MAC”。这里点到为止，网络上有许多相关文章，这里再写的话不符合我“不写别人写过的东西”的风格，在google里搜一下“ARP”就找到了。在交换机或路由器（以CISCO为例）为ip static-arp。这种方法有缺点，首先，工作量太大，如果网络主机过多，手动添加费时费力，特别是在主机上添加， 一般多使用脚本。第二，网络主机过多时，静态ARP表过大会占用机器过多的资源。第三，“防”只能治标，不能治本，防范虽然可以挡住攻击，但攻击源并未消失，而且大量ARP包充斥网络会加大网络的负荷，严重的会产生拥塞。当务之急是找出谁在捣蛋，一举歼灭之。使用嗅探软件捕获几个ARP包，分析ARP包中的信息多半有蛛丝马迹，再不行每个端口挨个嗅过去。能深入了解TCP/IP协议、独立开发攻击软件的人很少，大部分人在安全公司，又有一部分人去黑银行去了，也犯不着跟你的小局域网较劲，所以多半是些使用网络执法者等工具的“点击黑客”。等找到这些人，还要依据公司规章进行处罚，一方面惩戒个人，一方面警告他人，我们要知道技术不是{wn}的。当然这是后话了

局域网ARP欺骗的应对

　　一、故障现象及原因分析
　　情况一、当局域网内某台主机感染了ARP病毒时，会向本局域网内（指某一网段，比如：10.10.75.0这一段）所有主机发送ARP欺骗攻击谎称自己是这个网端的网关设备，让原本流向网关的流量改道流向病毒主机，造成受害者正常上网。
　　情况二、局域网内有某些用户使用了ARP欺骗程序（如：网络执法官,QQxx软件等）发送ARP欺骗数据包，致使被攻击的电脑出现突然不能上网，过一段时间又能上网，反复掉线的现象。
　　关于APR欺骗的具体原理请看我收集的资料ARP欺骗的原理
　　二、故障诊断
　　如果用户发现以上疑似情况，可以通过如下操作进行诊断：
　　点击“开始”按钮->选择“运行”->输入“arp–d”->点击“确定”按钮，然后重新尝试上网，如果能恢复正常，则说明此次掉线可能是受ARP欺骗所致。
　　注：arp-d命令用于xx并重建本机arp表。arp–d命令并不能抵御ARP欺骗，执行后仍有可能再次遭受ARP攻击。
　　三、故障处理
　　1、中毒者：建议使用趋势科技SysClean工具或其他杀毒软件xx病毒。
　　2、被害者：(1)绑定网关mac地址。具体方法如下：
　　1）首先，获得路由器的内网的MAC地址（例如网关地址10.10.75.254的MAC地址为0022aa0022aa）。2）编写一个批处理文件AntiArp.bat内容如下： @echooffarp-darp-s10.10.75.25400-22-aa-00-22-aa
　　将文件中的网关IP地址和MAC地址更改为您自己的网关IP地址和MAC地址即可，计算机重新启动后需要重新进行绑定，因此我们可以将该批处理文件AntiArp.bat文件拖到“windows–开始–程序–启动”中。这样开机时这个批处理就被执行了。
　　(2)使用ARP防火墙(例如AntiArp)软件抵御ARP攻击。
　　AntiArp软件会在提示框内出现病毒主机的MAC地址
　　四，找出ARP病毒源
　　{dy}招：使用Sniffer抓包
　　在网络内任意一台主机上运行抓包软件，捕获所有到达本机的数据包。如果发现有某个IP不断发送
　　ARP　Request请求包，那么这台电脑一般就是病毒源。原理：无论何种ARP病毒变种，行为方式有两种，一是欺骗网关，二是欺骗网内的所有主机。最终的结果是，在网关的ARP缓存表中，网内所有活动主机的MAC地址均为中毒主机的MAC地址；网内所有主机的ARP缓存表中，网关的MAC地址也成为中毒主机的MAC地址。前者保证了从网关到网内主机的数据包被发到中毒主机，后者相反，使得主机发往网关的数据包均发送到中毒主机。
　　第二招：使用arp-a命令任意选两台不能上网的主机，在DOS命令窗口下运行arp-a命令。例如在结果中，两台电脑除了网关的IP，MAC地址对应项，都包含了192.168.0.186的这个IP，则可以断定192.168.0.186这台主机就是病毒源。原理：一般情况下，网内的主机只和网关通信。正常情况下，一台主机的ARP缓存中应该只有网关的MAC地址。如果有其他主机的MAC地址，说明本地主机和这台主机{zh1}有过数据通信发生。如果某台主机（例如上面的192.168.0.186）既不是网关也不是服务器，但和网内的其他主机都有通信活动，且此时又是ARP病毒发作时期，那么，病毒源也就是它了。
　　第三招：使用tracert命令在任意一台受影响的主机上，在DOS命令窗口下运行如下命令：tracert61.135.179.148。假定设置的缺省网关为10.8.6.1，在跟踪一个外网地址时，{dy}跳却是10.8.6.186，那么，10.8.6.186就是病毒源。原理：中毒主机在受影响主机和网关之间，扮演了“中间人”的角色。所有本应该到达网关的数据包，由于错误的MAC地址，均被发到了中毒主机。此时，中毒主机越俎代庖，起了缺省网关的作用。