WINDOWS主机ARP表操作的实现.docVIP

WINDOWS主机ARP表操作的实现 ? tcp/ip协议 ? snmp协议 ? arp欺骗 ? 安全 　　现在ARP欺骗比较流行了，特别是针对交换网络的环境的WINDOWS系统，WINDOWSS默认会对接收到的ARP包就进行ARP表的修改，另外就是WINDOWS的ARP静态包ARP -S是没有效果的，设置了ARP -S的地址一样会接收到一个ARP欺骗包以后改变自己的ARP表？。去年我已经写了一个基于ARP中间进行NTLM认证攻击的东西，于是就在想怎么在交换环境中检测ARP欺骗呢。　　一种想法是直接嗅探网络中的ARP包进行分析，只是这种方法对于交换环境的网络是无效的。那么只能是在主机上针对收到的ARP包进行检测和分析了。但实际上如果用低层包拦截过滤的方式又会极大的影响网络的速度。如果我们根据ARP表的变化能主动通知就好了。实际上从技术上实现是可能的，因为一个秘密：对于ARP表，W2K系统是通过内建的SNMP来进行管理的，不管你的SNMP服务是否开启，呵呵，奇怪吧？（可能其他的WINDOWS系统也一样，但是我没作过测试）　　先我也一样很奇怪ARP这个程序是如何运行的，因为查遍了所有MSDN的文档都没有涉及到ARP表读取，修改的API。万般无奈之下，只有看ARP的汇编代码，才发现这个秘密。ARP -S命令也只是根据SNMP对应的OID接点的ARP表规范的ARP类型由