ARP欺骗之一——利用ARP检测混杂模式的节点关于ARP欺骗的东西，网上谈的很多，但确实没看到比较系统的论述，本人会在这段时间汇编、整理这方面的资料，以供大家参考。我们会从SNIFFER（SNIFFER好象和ARP欺骗密不可分）、ARP欺骗的原理、ARP欺骗的对策等多方面来讨论这个题目。首先我们会介绍一篇SECURITYFRIDAY的文章。因为外语的水平非常poor，所以希望大家能对照原文看一下。《DetectionofPromiscuousNodesUsingArpPackets》WrittenbyDaijiSannaihttp://www.securityfriday.com/promiscuous_detection_01.pdf译者：aduMAIL：support@hirun.com.cnhr_tech@cnnb.net利用ARP检测混杂模式的节点目录TOC\o"1-3"\h\z\uHYPERLINK\l"_Toc36579870"概要PAGEREF_Toc36579870\h3HYPERLINK\l"_Toc36579871"1、介绍PAGEREF_Toc36579871\h3HYPERLINK\l"_Toc36579872"2、SNIFFING的原理PAGEREF_Toc36579872\h3HYPERLINK\l"_Toc36579873"3、混杂模式节点检测的基本内容PAGEREF_Toc36579873\h4HYPERLINK\l"_Toc36579874"4、基础PAGEREF_Toc36579874\h4HYPERLINK\l"_Toc36579875"1）硬件过滤PAGEREF_Toc36579875\h4HYPERLINK\l"_Toc36579876"2）ARP机制PAGEREF_Toc36579876\h5HYPERLINK\l"_Toc36579877"5、混杂模式检测基础PAGEREF_Toc36579877\h5HYPERLINK\l"_Toc36579878"6、软件过滤（SoftwareFilter）PAGEREF_Toc36579878\h6HYPERLINK\l"_Toc36579879"1）LINUXPAGEREF_Toc36579879\h6HYPERLINK\l"_Toc36579880"2）WINDOWSPAGEREF_Toc36579880\h7HYPERLINK\l"_Toc36579881"7、混杂模式检测PAGEREF_Toc36579881\h9HYPERLINK\l"_Toc36579882"8、混杂模式节点检测PAGEREF_Toc36579882\h9概要在局域网内，安全总是值得关注的。当明文在网络上传输时，很容易被任何网络用户窃听。从网络上窃听数据被称之为嗅探（sniffing）。通过SNIFFING网络，用户可以看到一些机密文件及一些个人的隐私。很多因特网提供的免费软件都有这样的功能。尽管SNIFFER非常简单，但到目前为止仍然还没有很好的方法来检测这种恶意的攻击。这个文档将会解释PROMISCAN（一个可以有效的可以检测sniffer的软件）的机制。SNIFFERS在收到发送到网络上的包的后才能工作。为了达到这一点，所有的SNIFFER必须把自己的网卡设置成“混杂模式”（promiscuousmode）。然后网卡才会接收所有收到的数据包并转发到系统内核。ARP请求（ADDRESSRESOLUTIONPROCOTOLREQUEST）包用来查询IP地址到MAC地址的解析。我们利用这种包来验证是不是网络上有些网卡被设置成混杂模式了。之所以利用ARP请求包是因为这种包适用于所有的IP以太网。设置成混杂模式的网卡会接收所有的数据包，包括那些原本不是发给那台PC的包。所有的数据包会被允许到达系统的内核，系统内核对那些本来不是发给它的包错误地做出响应。根据以上的机制，我们能伪造ARP请求包，并把它发送给网络上所有的节点。在正常情况下，这些包应该被网卡阻塞，但如果某些节点有响应包，那么这些节点的网卡被设置成混杂模式了。这些设置成混杂模式的节点在运行SNIFFER软件。所以SNIFFER软件是可以成功的检测到的。1、介绍在局域网中，SNIFFER是一个很大的威胁。恶意用户可以籍此看到一些机密文件和及一些个人的隐私。SNIFFER对安全有如此的威胁，但它可以方便的在因特网上下免费下栽并安装在PC上。但是，目前为止，还没有很