一個有關(guān)ARP協(xié)議的問題

hefish

俺堅(jiān)信：linux就是比千把塊的路由器強(qiáng)！

最近在解決局域網(wǎng)內(nèi)的ARP欺騙問題。古人說：綁定是正道。俺同意，但是這需要對每臺客戶端進(jìn)行操作。最近得知如今的小路由器里面有個功能叫ARP keepalive，可以每秒一次向全局域網(wǎng)廣播自己的IP/MAC信息，使客戶端的ARP表保持準(zhǔn)確，從而防止ARP欺騙。俺認(rèn)為這個方法不錯，于是準(zhǔn)備在linux下實(shí)現(xiàn)之。 經(jīng)過幾天的認(rèn)真學(xué)習(xí)ARP協(xié)議知識，俺發(fā)現(xiàn)了一個問題，所以提出來，勞煩大家指點(diǎn)。

ARP包有兩種：請求包和響應(yīng)包。到底arp keepalive的廣播包應(yīng)該如何構(gòu)造呢？

ssffzz1

賊麻煩，俺都搞出來了。應(yīng)該是不停的發(fā)送回應(yīng)包，但不能用廣播。

hefish

不會吧。。。。。昏迷。。。。
那該死的小路由器怎么說是廣播啊。我靠。

hefish

剛寫了一個測試程序，程序向192.168.0.255發(fā)送一個ARP請求，請求192.168.0.255的MAC地址。
發(fā)現(xiàn)這個請求發(fā)送過后，局域網(wǎng)內(nèi)的多數(shù)機(jī)器(沒有一臺一臺全部察看)的ARP表中都多了一條關(guān)于網(wǎng)關(guān)的ARP記錄。具體效果還在進(jìn)一步確認(rèn)中。

ssffzz1

這個倒沒測試。我測試的是不用廣播，給每一機(jī)器發(fā)一個標(biāo)準(zhǔn)的關(guān)于網(wǎng)關(guān)的回答包，然后每一機(jī)器都有了關(guān)于網(wǎng)關(guān)的正確記錄。

hefish

今天做了一個比較完整的測試，發(fā)現(xiàn)上次的猜測是錯誤的。
實(shí)際情況是 linux因?yàn)槟�認(rèn)是響應(yīng)廣播的，所以有了上次的猜測。轉(zhuǎn)到windows下，廣播包windows根本不理睬，所以得不到上面的效果。
我把廣播包改成單播包，到時可以讓windows的客戶端arp準(zhǔn)確。但是廣播包如何解決呢？ 請大家指教。白金研究過嗎？

linux_fedora

不明白

bingosek

這個并不是一個好的解決方案，如果arp攻擊以更快的速率廣播呢？

ssffzz1

就是不用廣播包。我的方法是，先在網(wǎng)關(guān)用ethers綁定和客戶端，然后根據(jù)ethers的條目分別發(fā)包。

hefish

原帖由 ssffzz1 于 2006-12-15 08:08 發(fā)表
就是不用廣播包。我的方法是，先在網(wǎng)關(guān)用ethers綁定和客戶端，然后根據(jù)ethers的條目分別發(fā)包。

這樣做當(dāng)然是最好了。我只是想模擬那些小路由器的一些功能，省得那些雜牌路由器廠商吹得牛哄哄的。