用毛豆可以防p2p终结者等ARP攻击吗?

shanqiudk

需要写规则吗?或者怎样设置?

cypcym

不可以

ldeyw

把局域网屏蔽掉试试？
我没有被攻击的环境，所以不知道“拦截网络区域”这一项究竟拦到什么程度。若完全禁止所有协议的通讯，那么对方对你本机的欺骗是防住了。但对方对网关服务器的欺骗，你基本上是无能为力的，那得网关在那边做设置才可以。

[ 本帖最后由 ldeyw 于 2008-12-3 10:41 编辑 ]

ldeyw

如你的mac地址为hh:hh:hh:hh:hh:hh，ip为192.168.1.2,网关ip是192.168.1.1。（本机ip与网关ip在tcpip协议的“属性”里设置。本机mac是厂家设置，但你可以修改操作系统从硬件读取以后的mac地址。）
假设，你要访问ip为217.13.24.35的网站。
首先会查询自己的arp表有没有网关的信息，查询对应192.168.1.1的mac地址是多少，如查到是xx:xx:xx:xx:xx:xx，本机就会发出访问请求的数据包。
数据包的目的ip为217.13.24.35，目的mac为xx:xx:xx:xx:xx:xx。源ip为192.168.1.2，源mac为hh:hh:hh:hh:hh:hh。
这个数据包，在局域网中转悠，沿途的机子都会读取到。
机子A把数据包读取一看，哦，目的mac是xx:xx:xx:xx:xx:xx，自己的mac却是yy:yy:yy:yy:yy:yy,丢掉。
机子b把数据包读取一看，哦，目的mac是xx:xx:xx:xx:xx:xx，自己的mac却是zz:zz:zz:zz:zz:zz,丢掉。
机子网关把数据包读取一看，哦，目的mac是xx:xx:xx:xx:xx:xx，自己mac刚好是xx:xx:xx:xx:xx:xx,保留。
然后它再一看，目的ip为217.13.24.35，于是，它先把源ip修改为自己的互联网ip地址，也许它有很多个，其中一个是专门给你hh:hh:hh:hh:hh:hh用的。这怎样都无所谓，总之，网站217.13.24.35把浏览数据发回来时（目的ip为网关的互联网ip，目的mac为hh:hh:hh:hh:hh:hh），网关读取到数据包一看：啊，ip是我的，收下。mac不是给我xx:xx:xx:xx:xx:xx的，而是给hh:hh:hh:hh:hh:hh。
再一查自己的设置信息，hh:hh:hh:hh:hh:hh归自己管。
于是它就把数据包给hh:hh:hh:hh:hh:hh你了。
以上就是一个粗略的上网全过程。
而arp欺骗，便是欺骗方A，发信息告诉你，对应192.168.1.1的mac是oo:oo:oo:oo:oo:oo，你相信了，于是你以后访问217.13.24.35网站，目的ip为217.13.24.35，目的mac为oo:oo:oo:oo:oo:oo。网关收到你的数据包一看，啊，是给oo:oo:oo:oo:oo:oo，自己却是xx:xx:xx:xx:xx:xx。
于是，丢掉。于是，石沉大海。于是，你和互联网的通讯就断了。
所以，只要你与欺骗方A完全没有通讯，它就没办法欺骗你了。它只能骗网关。但若网关把网线端口对应的每台机子绑定，那么arp欺骗就没有作为了。
计算机是很老实的，只要你说的话它能听懂（正确的通讯格式），并且听到（指定的应用程序收到），那么它就会相信（处理器作相应处理）。防火墙防欺骗，就是要么把假话屏蔽掉（在指定的应用程序收到以前，将数据包截下来，以规则决定保留还是丢弃）。要么便把骗子整个人屏蔽掉。
前一种方法，有效，但依然有可能防不胜防。
后一种方法，是绝对的。
谁是说假话的人？非自己信任的那一两个（当然要包括网关），其余的全当作骗子好了。
将自己所在的网段所有ip，与非网关mac全部屏蔽掉试试。

[ 本帖最后由 ldeyw 于 2008-12-3 12:37 编辑 ]

康定情哥

学习了，谢谢4楼的朋友