在嗅探以太網(一般指嗅探器可以對流經的網絡數據包竊聽)(sniff)不為網絡安全是好事，雖然網絡管理員能夠跟蹤數據包，發現 互聯網問題，但前提是，如果破壞者使用。在整個網絡帶來了嚴重的安全威脅。

至于嗅探(一般指嗅探器可以對流經的網絡數據包竊聽
　　
以太網內的嗅探(一般指嗅探器可以竊聽網絡上流經的數據包)(sniff)對于網絡安全來說并非什么好事。盡管對于網絡管理員可以跟蹤數據包而且發現

　　網絡問題，可是假設被破壞者利用的話，就對整個網絡構成嚴重的安全威脅。至于嗅探(一般指嗅探器能夠竊聽網絡上流經的數據包)的優點和壞處就不羅嗦了。

　　ARP緩存表

　　如果這樣一個網絡：

　　――――――――――

　　| HUB |

　　――――――――――

　　| | |

　　| | |

　　| | |

　　HostA HostB HostC

　　當中

　　A的地址為：IP：192.168.10.1 MAC: AA-AA-AA-AA-AA-AA

　　B的地址為：IP：192.168.10.2 MAC: BB-BB-BB-BB-BB-BB

　　C的地址為：IP：192.168.10.3 MAC: CC-CC-CC-CC-CC-CC

　　如果B是屬于一個嗅探(一般指嗅探器能夠竊聽網絡上流經的數據包)愛好者的，比方A機器的ARP緩存：

　　C:\>arp -a

　　Interface: 192.168.10.1 on Interface 0x1000003

　　Internet Address Physical Address Type

　　192.168.10.3 CC-CC-CC-CC-CC-CC dynamic

　　這是192.168.10.1機器上的ARP緩存表，如果。A進行一次ping 192.168.10.3操作。PING主機C，會查詢本地的

　　ARP緩存表，找到C的IP地址的MAC地址。那么就會進行傳輸數據，目的地就是C 的MAC地址。假設A中沒有C的ARP記

　　錄。那么A首先要廣播一次ARP請求。當C接收到A 的請求后就發送一個應答，應答中包括有C的MAC地址，然后A接

　　收到C的應答。就會更新本地的ARP緩存。接著使用這個MAC地址發送數據(由網卡附加MAC地址)。

　　因此，本地快速緩存的這個ARP表是本地網絡流通的基礎，并且這個緩存是動態的。

　　集線器網絡(Hub-Based)

　　非常多網絡都是用Hub進行連接的。

數據包經過Hub傳輸到其它計算機的時候，Hub僅僅是簡單地把這個數據包廣播

　　到Hub的全部port(網絡中的一對端其一端輸入的電流與還有一端輸出的電流是相等的)上。

　　這就是上面舉例中的一種網絡結構。

　　如今A須要發送TCP數據包給C。首先，A須要檢查本地的ARP 緩存表。查看是否有IP為192.168.10.3即C的ARP記

　　錄。假設沒有那么A將要廣播一個ARP請求。當C接收到這個請求后，就作出應答。然后A更新自己的ARP緩存表。并

　　且獲得與C的IP相相應的MAC地址。這時就傳輸這個TCP數據包，Ethernet幀中就包括了C的MAC地址。當數據包傳輸

　　到HUB的時候，HUB直接把整個數據包廣播到全部的port(網絡中的一對端其一端輸入的電流與還有一端輸出的電流是相等的)，然后C就行接收到A發送的數據包。

　　正由于HUB把數據廣播到全部的port(網絡中的一對端其一端輸入的電流與還有一端輸出的電流是相等的)，所以計算機B也可以收到A發送給C的數據包。這正是達到了B嗅探的目的。

　　因此，Hub-Based的網絡基本沒有安全可言。嗅探(一般指嗅探器能夠竊聽網絡上流經的數據包)在這種網絡中很easy。

　　交換網絡(Switched Lan)

　　交換機用來取代HUB，正是為了可以解決HUB的幾個安全問題，當中就是可以來解決嗅探(一般指嗅探器可以竊聽網絡上流經的數據包)問題。Switch不是把數

　　據包進行port(網絡中的一對端其一端輸入的電流與還有一端輸出的電流是相等的)廣播。它將通過自己的ARP緩存來決定數據包傳輸到那個port(網絡中的一對端其一端輸入的電流與還有一端輸出的電流是相等的)上。因此。在交換網絡上。假設把上面

　　樣例中的HUB換為Switch，B就不會接收到A發送給C的數據包。即便設置網卡為混雜模式。也不能進行嗅探(一般指嗅探器能夠竊聽網絡上流經的數據包)。

　　ARP欺騙( ARP spoofing)

　　ARP協議并不僅僅在發送了ARP請求才接收ARP應答。當計算機接收到ARP應答數據包的時候，就會對本地的ARP緩存

　　進行更新，將應答中的IP和MAC地址存儲在ARP緩存中。因此。在上面的如果網絡中，B向A發送一個自己偽造的ARP應

　　答。而這個應答中的數據為發送方IP地址是192.168.10.3(C的IP地址)。MAC地址是DD-DD-DD-DD-DD-DD(C的MAC地

　　址本來應該是CC-CC-CC-CC-CC-CC，這里被偽造了)。當A接收到B偽造的ARP應答，就會更新本地的ARP緩存(A可不

　　知道被偽造了)。

　　如今A機器的ARP緩存更新了：

　　C:\>arp -a

　　Interface: 192.168.10.1 on Interface 0x1000003

　　Internet Address Physical Address Type

　　192.168.10.3 DD-DD-DD-DD-DD-DD dynamic

　　這可不是小事。

局域網的網絡流通可不是依據IP地址進行。而是依照MAC地址進行傳輸。如今192.168.10.3的

　　MAC地址在A上被改變成一個本不存在的MAC地址。

如今A開始Ping 192.168.10.3，網卡遞交的MAC地址是

　　DD-DD-DD-DD-DD-DD。結果是什么呢?網絡不通。A根本不能Ping通C!!

　　這就是一個簡單ARP騙子。

本文來源于 中國的網絡協議分析|www.cnpaf.net 原文鏈接：http://www.cnpaf.net/Class/arp/201111/26040.html

轉載于:https://www.cnblogs.com/yxwkf/p/4805520.html

總結

以上是生活随笔為你收集整理的如何嗅闻交换网络和ARP骗子-ARP解释的原则的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。