路由器是可以“学习”的。学习的是其他路由器发出的路由通告报文(ICMP数据报)。路由器大约9~10分钟发一次路由通告报文，收到报文的路由器就更新自己的相应条目。这种学习是被动的。而在路由器启动时，会发出路由请求报文(同样是ICMP数据报)，其他路由器会做出响应，回复路由通告报文，这样路由器就可以主动学习其他路由器上的路由信息了。

　　另一种修改路由信息的途径是ICMP重定向报文。还以上面做例子，我被杭州站送到徐州后，徐州站觉得我应该被直接送到郑州，而不必跑一趟冤枉路，于是它通知杭州站，以后对所有象我这样的旅客，直接送到郑州就行了。杭州收到后，更新路由信息，也就是重新定向。

　　当然主机接收ICMP重定向要求并更新路由信息的要求要严格许多。书上列出了4.4BSD系统接收ICMP重定向的四个要求。没接触过这个系统，而且书是几年前写的，现在的网络环境比当时要复杂。因为这些环节是容易被人恶意利用的。

　　书上的内容说完，说些我感兴趣的方面。

　　arp和路由都是用来探路的。arp用于局域网，而路由用于广域网(不是严格的划分，大致上是这样)。为了灵活，这些信息都是可以通过icmp数据报修改的。而一旦能被修改，以后所有相关的数据流量就牵引到其他地方去了。这样有隐患，很可能被人利用。

　　arp协议规定，如果收到其他主机发出的arp数据报，就要以数据报中的IP与MAC对应信息更新arp缓存中已经保存的信息，以后发到这个IP的信息发到新的MAC上。这样就可以通过构造ICMP数据报，伪造一个arp信息，实施arp欺骗。

　　现在流行的arp欺骗步骤是这样的：假设A与B、C同是一个局域网，各自有IP地址。A对B是完全信任的，而对C则有限制，例如过滤所有来自C的数据，或者限制一些端口等，反正就是C不如B有地位。而C觉得不平，想得到B同等待遇(具体的原因多种多样，反正结果是一样)。这样C就开始做手脚了，直接向管理员要求肯定不行，只好暗地里取代B的位置。

　　1.首先把B搞死机。如果B还在网上，对C后面的arp欺骗有妨碍。

　　2.把C自己改成B的IP，这样就可以骗过A，让A以为真的是B。

　　3.发放伪造的arp包，把B的IP与C的MAC联系起来。

　　4.所有主机收到arp包，并根据内容更新arp缓存，于是所有发往B的数据现在改发到C，所有收到C发出数据的主机都以为是B发过来的。而B这时正死机呢，一点都不知道。

　　这种欺骗实施起来有难度。只能在局域网内使用。首先要搞定B，如果B拿不下，后面就很难。而且针对IP开放服务的越来越来越少，一般都附加有其他的限制，顶替掉B也难有作为。

　　对这种欺骗我知道的有两个案例：一个是在一个论坛上，有网友说他用这种方法做网络管理软件，用它来屏蔽一些网站，所有发到被屏蔽网站IP的请求转到别的网站，不使用代理服务器。这个思路不错。另一个是前两天(9月15日下午)，某安全会议召开期间，站点“被黑”，网页不能正常打开。据网站成员说，是托管服务商的另外一台主机被黑，用arp欺骗把访问正常网页的请求转移到被黑的主机上。于是现场实施一场“攻防对抗”，一个不断地发欺骗报文，把访问转移;另一个不断发正常报文，把访问夺回来。于是在这段时间访问网页时，就出现了一下子出现正常网页，刷新时变成变黑的页面，再刷新又正常的奇观。可惜当时我正在上班，没有亲眼看到。

　　路由信息同样有伪造的可能。路由通知信息可以更新其他路由器的路由表。如果发出一个伪造的路由通知信息，那就破坏了路由器的正常路由表。这个实现起来比较难，而ICMP重定向的实现起来的难度就要小许多。

　　arp欺骗只能在局域网内实现。如果要在广域网上达到相同的目的，就必须结合ICMP欺骗了。

　　用arp欺骗可以把流量转移，但是转移时有个限制，不能转移到路由器上，也就是arp信息是不能跨路由的(不同于代理ARP)。这样即使把其他主机的arp信息刷新成路由器的MAC，发送数据时还是只在局域网内寻址，就是不往路由器那里发。这时必须再发一个ICMP欺骗，说发到路由器的MAC才是正确的。主机收到这个消息后，才能达到目的，C完全取代B。之后的事情，就象入侵者的心情了。

　　从这个意义上，可以实现任何机器的Sniffer(跟踪所有通讯数据)。

　　上面说的这些，我现在还只是在概念、原理层面上的了解，以及对这些方面了解的总结。要动手实现水平还不够，还得学习。网络抓包现在是会了，但是要谈协议分析还早。连构造 RAW Socket都不太会，要玩其他就更是扯远了