微软不能解决ARP欺骗问题吗？

sysjs · 发表于 2007-9-27 14:30:26

被ARP欺骗搞得很狼狈，整天查找解决办案，可惜到目前为止没有完善的解决办法。突然想：

ARP欺骗是源主机发送不真实的ARP信息，而目标主机并不能证实信息的正确性造成的。而ARP协议又是不能修改的，因此在目标主机上防范ARP欺骗就难上加难了。反过来想，如果确保源主机发送的ARP信息是正确的，那就不存在ARP欺骗了。

怎样保证源主机发送ARP信息的正确？
我不知道ARP数据包是哪个程序封包和发送的，应该不是网卡吧。如果是WINDOWS程序，那么在封包的时候是不是应该检查一下ARP信息的真实性呢？与自己的真实IP、MAC一致的包就放行，与自己真实IP、MAC不同的就抛弃。这样是不是就解决问题了？

不知道我想的对不对，不懂技术，瞎说一通。

luxxsys · 发表于 2007-9-27 14:42:22

ARP是2层协议，应该就是网卡封装的吧。

菜鸟人飞 · 发表于 2007-9-27 14:48:17

楼主发起的这个讨论很有意义。

数据包在传输的时候，都会经过网卡，但我想不应该由网卡进行封装。
任何数据包，不管其由什么程序发出，都会按照OSI标准，一层一层的封装，直至封装以太网层的报头以后，再将其交给网卡传送，即最后的封装层次是数据链路层。
要想做到检测一下数据包中的IP和MAC与自己本机是否相符，然后再发出，个人认为不太现实，至少目前是这样。因为OSI的各个层次目前都不做此工作。

luxxsys · 发表于 2007-9-27 14:52:12

那2层的协议不应该是由2层的设备进行封装吗？网卡确实是承担着一部分封装工作的啊

希望高人能够指点

[ 本帖最后由 luxxsys 于 2007-9-27 15:10 编辑 ]

luotao251 · 发表于 2007-9-27 15:37:26

下一代的IP协议即IPv6将不使用ARP协议，故将不会存在ARP欺骗问题。
从IPv4转向IPv6的原因众所周知.在基于TCP/IP的网络中,地址解析(以及逆向地址解析)是一个十分重要的问题.IPv4中使用了ARP和RARP两个协议来解决.IPv6对于这个问题使用一种新的协议,即邻居发现协议,这些功能包括在ICMPv6中,其中邻居宣告和邻居请求合在一起代替了IPv4中的ARP协议

sysjs · 发表于 2007-9-27 16:07:38

IPV6太遥远了，我们需要解决问题呀！
验证ARP数据包的真实性并未改变OSI协议的任何东西，只是在封包时做点处理，我想不是难事。。

qzyuanmu · 发表于 2007-9-27 17:01:32

原帖由 sysjs 于 2007-9-27 16:07 发表
IPV6太遥远了，我们需要解决问题呀！
验证ARP数据包的真实性并未改变OSI协议的任何东西，只是在封包时做点处理，我想不是难事。。

如果网内的机器都不响应ARP请求更不发送任何ARP数据包，直接在MAC表中定义好，不知道可否--针对网吧用户？

ronsun · 发表于 2007-9-27 19:40:21

估计不是网卡做的事情，你可以用sniffer发送ARP欺骗数据包，MAC想改成什么就改成什么。
Omnipeek5不可以随意修改MAC地址，即使你产生的数据包的源MAC是随便写的，发送的时候也会被Opeek.exe修改成真实的MAC。
我前几天把Omnipeek5的Opeek.exe文件修改了一下，可以发送伪MAC了。
另，如果网卡在发送前能查看一下MAC是否是自己的MAC就可以避免这种问题了。

robur · 发表于 2007-9-27 20:48:58

Windows里面的分层，和ISO/OSI的分层不是很匹配，呵呵

应用程序生成的内容，比如IE生成的请求，实在程序内部完成的。（应用层）
一般应用程序调用的是API接口，就是那个Socket，或者RAW Socket。
这个相当于网络层或更高，Socket就是TCP或udp，raw socket可以发大部分的IP包。

如果安装了中间层驱动，还有一层在这里，可以用二进制字符串的形式收发处理各种数据包。（数据包本身就是一个二进制串啊）

剩下的东西就是系统内核或者网卡驱动了，理论上网卡驱动只是负责系统内核与网卡通信的，本身不会制造数据包。

所以，处理ARP的应该是系统内核。

hudeg632 · 发表于 2007-9-27 21:54:07

我用LNS防火墙来防ARP,就做到了楼主说的那一点.

只的我的IP和MAC才能出去,网关的IP和MAC才能进来.

[ 本帖最后由 hudeg632 于 2007-9-27 21:56 编辑 ]

sysjs · 发表于 2007-9-28 09:01:06

原帖由 hudeg632 于 2007-9-27 21:54 发表
我用LNS防火墙来防ARP,就做到了楼主说的那一点.

只的我的IP和MAC才能出去,网关的IP和MAC才能进来.

呵呵，能下载吗，我要试一试！

微软做一个补丁应该不难吧，但为什么没有呢？

qzyuanmu · 发表于 2007-9-28 09:31:15

原帖由 hudeg632 于 2007-9-27 21:54 发表
我用LNS防火墙来防ARP,就做到了楼主说的那一点.

只的我的IP和MAC才能出去,网关的IP和MAC才能进来.

和双向绑定差不多，照你这样说，应该在XP中的什么地方可以自己定义

sysjs · 发表于 2007-9-28 09:40:41

原帖由 hudeg632 于 2007-9-27 21:54 发表
我用LNS防火墙来防ARP,就做到了楼主说的那一点.

只的我的IP和MAC才能出去,网关的IP和MAC才能进来.

没看出来有什么高明之处。

sysjs · 发表于 2007-9-28 13:24:33

又仔细看了一下antiARP文档：
antiARP有三个功能，1）阻止向外发送ARP欺骗包。2）阻止外来的ARP欺骗包。3）主动防御就是主动向网关发送ARP包证实自己的身份，阻止网关被其他主机欺骗。

我不知道它的阻止向外发送ARP欺骗包是如何实现的，从道理上来说，只要第1）功能100％好用，并且100％的计算机都安装了该软件，那么网内的ARP欺骗就不会发生了。上面的双100％有一个达不到，第3）功能也不可能100％实现。

有哪位兄弟知道antiARP的“阻止向外发送ARP欺骗包”是如何实现？
如果真的好用，那就是如何部署的问题了！

xmubbs · 发表于 2007-9-28 15:08:09

原帖由 hudeg632 于 2007-9-27 21:54 发表
我用LNS防火墙来防ARP,就做到了楼主说的那一点.

只的我的IP和MAC才能出去,网关的IP和MAC才能进来.

IP可以伪造，MAC也可以伪造啊。。。。

ld1978 · 发表于 2007-9-28 16:13:28

其实微软的补丁打全了，能解决一定的问题。

robur · 发表于 2007-9-28 20:36:32

原帖由 sysjs 于 2007-9-28 13:24 发表
有哪位兄弟知道antiARP的“阻止向外发送ARP欺骗包”是如何实现？

我没有研究过，不过给你提供一个思路。
网卡的MAC是相对固定的，程序很容易取网卡的MAC，再分析发送的ARP。。。
理论上是一个方法，呵呵

hudeg632 · 发表于 2007-9-29 10:11:41

用RAW创建自己的ARP规则(33%防ARP欺骗)

会编程的试试，造福大家

[ 本帖最后由 hudeg632 于 2007-9-29 10:15 编辑 ]

xinya225 · 发表于 2007-10-7 14:29:48

原帖由 luotao251 于 2007-9-27 03:37 PM 发表
下一代的IP协议即IPv6将不使用ARP协议，故将不会存在ARP欺骗问题。
从IPv4转向IPv6的原因众所周知.在基于TCP/IP的网络中,地址解析(以及逆向地址解析)是一个十分重要的问题.IPv4中使用了ARP和RARP两个协议来解决.IPv ...

看见了吗?
这就是windows的解决办法
其实windows早就支持ipv6了
只是现在的网络还不支持
所以ARP的问题暂时还得不到好的解决办法
只有等到网络发展到一定的地步
IPV6并不遥远,这个东西也会很快实现
因为网络发展的速度很快
大家有目共睹、、、、、、、、、、、、、、、、、、

xinya225 · 发表于 2007-10-7 14:34:15

有问题就有解决
ARP 的问题也迟早会得到解决
WINDOWS在这方面也不是低人一等
网络需要大家共同的努力来建设
但是当ARP 不在谈论时可能会出现更新的网络欺骗或者是攻击
只有在黑白竞争中才能不断的增长、、、、、、、

微软不能解决ARP欺骗问题吗？

评分

新一代IP协议即IPv6将解决ARP欺骗问题