Quando você não confia nas outras maquinas da sua rede (que deve ser sempre o caso, porque isso é uma atitude de segurança) você deve se proteger de varios ataques do tipo ARP
Como você sabe o protocolo ARP é usado para (ligar, amarrar, colar) um IP em um mac adress, como você pode ver na "
RFC826 para mais detalhes.
Toda vez que você eviar um pacote para um IP, uma resolução ARP será feita ( primeiro, olhando na tabela de ARP cache local, depois se esta não estiver presente, aí então será enviada uam mensagem em Broadcast (
ff:ff:ff:ff:ff:ff
) para encontrar o hardware alvo.
Todos os ataques ARP tentam enganar a vitima, fazendo pensar que a o IP do computador A esta associado ao mac adress do "atacante".
Então todo pacote que você mandar para o IP A vai ser enviado automaticamente para a maquina atacante
Os ataques do tipo (arp cache poison, ARP spoofing ...) permitem que o atacante snife o trafego, mesmo estando entre switchs, fazendo com que o atacante possa facilmente roubar sessões de outras maquinas, desconectar qualquer host da rede... etc
Ataques ARP são poderosos e simples de serem implementados, e existem também inumeras ferramentas para isso, como arpspoof do pacote dsniff, etc.
No entanto sempre existe uma soluções.
*
Uma delas é usar endereços estaticos na tabela arp dos computadores da sua rede.
Você pode configurar entradas ARP estáticas da seguinte maneira:
arp -s host mac
Configurando entradas estáticas para cada host importante na sua rede, você vai assegurar que ninguém vai criar ou modificar as entradas ARP desses computadores ( lembrando que entradas estáticas não expiram e não podem ser modificadas), por isso, mensagens do tipo ARP replies vão ser ignoradas.
*
Outra dica importante é usar o
ARPwatch para fazer o controle das tabelas, este esta disponível para linux e windows.
*