强制ARP请求

Question

我在写一个检测ARP中毒的程序。我想要做的是以某种方式清除路由器ARP缓存，以便它可以强制发送ARP请求，这样我就可以检查数据包的源地址，看看它是否来自我的默认网关以外的其他地方。

我有个问题：

与其以某种方式清除路由器arp缓存，我可以只请求一个新的DHCP IP地址吗？这会迫使路由器在从互联网接收数据包时发送新IP地址的ARP请求吗？

Answer 1

在我看来，OP的方法似乎是相反的，否则我真的误解了这个问题。我绝不会采取试图迫使路由器清除其缓存以帮助外部监视的方法。

如果您试图确认被欺骗的路由器的IP-MAC，谁会关心您的客户端的ARP呢？如果您已经知道路由器IP要从客户端确认，客户端程序应该是为其网关(IP)发送一个ARP并确认包含网关的MAC地址的单播响应。

假设你一开始不知道网关的IP-MAC，你必须先看到它，然后监控来自该网关的所有其他ARP请求，以检测到程序会触发某种警报的变化。在Cisco设备上，默认的ARP老化时间是240分钟，因此您将看到每个客户端每4小时至少有一个ARP来有机地生成这些请求。

要真正发现ARP中毒，无偿的弓箭手最想发挥作用。这些也应受到监测。您的程序可能成为ARPs的更改检测器，因为您坚持在程序生命周期中看到的IP-MAC映射，并且您不清楚每4小时映射一次ARP老化的方式，并且盲目地接受下一个ARP响应是有效的。

Answer 2

如果您的PC改变IP地址，那么是的，路由器将需要ARP为它，当下一个它需要发送给您的流量。

通过DHCP简单地更新您的IP地址是不可能改变任何事情的，因为大多数DHCP服务器将简单地重新分配您已经租用的、您的路由器已经存储在ARP缓存中的地址。