ARP數(shù)據(jù)導(dǎo)進(jìn)去之后，都需要看哪些數(shù)據(jù)來發(fā)現(xiàn)問題

如果您的網(wǎng)絡(luò)出現(xiàn),整體突然掉線,或者有不定時(shí)的部分機(jī)器掉線,再或者出現(xiàn)一臺一臺機(jī)器的掉線.而且一般情況下幾種掉線都會自動恢復(fù).那我非常熱切的恭喜您,您中獎啦.獎品是ARP欺騙. 不用高興也不用激動,因?yàn)檫@個(gè)獎項(xiàng)量很大,很朋友都在深受其意.ARP到底咋回事,這里咱說道說道. j道h$#$#K:JFD()$本文來自移動通信網(wǎng)www.gg1fic3.cn,版權(quán)所有
(么$*@K:JFD(本文來自移動通信網(wǎng)www.gg1fic3.cn,版權(quán)所有
為了一個(gè)朋友"忘憂草"特意再加一段,"不掉線,一切看似正常的ARP"
@#(_@s4fads1K:JFD()$#_*(本文來自移動通信網(wǎng)www.gg1fic3.cn,版權(quán)所有
3221a3K:JFD(本文來自移動通信網(wǎng)www.gg1fic3.cn,版權(quán)所有
ARP欺騙原理:
在同一NET內(nèi)的所以機(jī)器是通過MAC地址通訊。方法為，PC和另一臺設(shè)備通訊，PC會先尋找對方的IP地址，然后在通過ARP表（ARP表里面有所以可以通訊IP和IP所對應(yīng)的MAC地址）調(diào)出相應(yīng)的MAC地址。通過MAC地址與對方通訊。也就是說在內(nèi)網(wǎng)中各設(shè)備互相尋找和用來通訊的地址是MAC地址，而不是IP地址。
但是當(dāng)初ARP方式的設(shè)計(jì)沒有考慮到過多的安全問題。給ARP留下很多的隱患，ARP欺騙就是其中一個(gè)例子。 )#$@&%#*(蜬:JFD()$#_本文來自移動通信網(wǎng)www.gg1fic3.cn,版權(quán)所有
網(wǎng)內(nèi)的任何一臺機(jī)器都可以輕松的發(fā)送ARP廣播，來宣稱自己的IP和自己的MAC。這樣收到的機(jī)器都會在自己的ARP表格中建立一個(gè)他的ARP項(xiàng)，記錄他的IP和MAC地址。如果這個(gè)廣播是錯(cuò)誤的其他機(jī)器也會接受。例如： 192。168。1。11機(jī)器MAC是 00:00:00:11:11:11,他在內(nèi)網(wǎng)廣播自己的IP地址是192。168。1。254(其實(shí)是路由器的IP)，MAC地址是00:00:00:11:11:11(他自己的真實(shí)MAC).這樣大家會把給192。168。1。254的信息和發(fā)給00:00:00:11:11:11.也就是192。168。1。11..。 有了這個(gè)方法欺騙者只需要做一個(gè)軟件,就可以在內(nèi)網(wǎng)想騙誰就騙誰.而且軟件網(wǎng)上到處都是,隨便DWON隨便用.要多隨便有多隨便啊... %#(么$K:JFD(本文來自移動通信網(wǎng)www.gg1fic3.cn,版權(quán)所有
基于原理,ARP在技術(shù)上面又分為,對PC的欺騙和對路由的欺騙.他們的區(qū)別在后面的ARP解決里面仔細(xì)闡述. 瞗12dsfds1fK:JFD()$#_*本文來自移動通信網(wǎng)www.gg1fic3.cn,版權(quán)所有
ARP欺騙的起因：
網(wǎng)絡(luò)游戲興起后網(wǎng)絡(luò)盜號，木馬也跟著瘋狂。ARP欺騙就是一種很好的盜號方式。欺騙者利用自己在網(wǎng)吧上網(wǎng)時(shí)，先找到內(nèi)網(wǎng)網(wǎng)關(guān)的MAC地址，然后發(fā)送自己ARP欺騙，告送內(nèi)網(wǎng)所以的機(jī)器自己是網(wǎng)關(guān)。例如：192。168。1。55 MAC00-14-6c-18-58-5a 機(jī)器為欺騙者的盜號機(jī)器，首先，他會先找到內(nèi)網(wǎng)的網(wǎng)關(guān)（內(nèi)網(wǎng)網(wǎng)關(guān)為 192。168。1。1 MAC為XX.XX.XX.XX.XX.XX）。之后他就會發(fā)送ARP廣播，說自己的IP地址是192。168。1。1 MAC地址是00-14-6c-18-58-5a.這樣，內(nèi)網(wǎng)的所有收到他發(fā)信息得機(jī)器都會把它誤認(rèn)為內(nèi)網(wǎng)的網(wǎng)關(guān)。所有上網(wǎng)信息都會通過他的MAC地址發(fā)給這個(gè)機(jī)器，由于找不到真正的網(wǎng)關(guān)，這些被騙的機(jī)器就無法上網(wǎng)。而發(fā)送的所有信息都會被這個(gè)盜號機(jī)器收到，通過分析收到的信息他可以在里面找到有用的信息，特別是有關(guān)于帳號的部分，從而得到正在游戲的玩家的帳號，發(fā)生盜號事件。 74*$#(*)#$@&K:JFD()$#_*(本文來自移動通信網(wǎng)www.gg1fic3.cn,版權(quán)所有
ARP的發(fā)現(xiàn)：
那我們網(wǎng)吧出現(xiàn)掉線了,是否是ARP呢?如何去判斷.好,這里給出方法,但是請大家頂了再說.

ARP的通病就是掉線,在掉線的基礎(chǔ)上可以通過以下幾種方式判別，1。一般情況下不需要處理1分鐘之內(nèi)就可以回復(fù)正常上網(wǎng)。因?yàn)锳RP欺騙是由時(shí)限，過了期限就會自動的回復(fù)正常。而且現(xiàn)在大多數(shù)路由器都會在很短時(shí)間內(nèi)不停廣播自己的正確ARP，使受騙的機(jī)器回復(fù)正常。但是如果出現(xiàn)攻擊性ARP欺騙(其實(shí)就是時(shí)間很短的量很大的欺騙ARP,1秒有個(gè)幾百上千的)，他是不斷的通過非常大量ARP欺騙來阻止內(nèi)網(wǎng)機(jī)器上網(wǎng)，即使路由器不斷廣播正確的包也會被他大量的錯(cuò)誤信息給淹沒。2。打開被騙機(jī)器的DOS界面，輸入ARP -A命令會看到相關(guān)的ARP表，通過看到的網(wǎng)關(guān)的MAC地址可以去判別是否出現(xiàn)ARP欺騙，但是由于時(shí)限性，這個(gè)工作必須在機(jī)器回復(fù)正常之前完成。如果出現(xiàn)欺騙問題,ARP表里面會出現(xiàn)錯(cuò)誤的網(wǎng)關(guān)MAC地址,和真實(shí)的網(wǎng)關(guān)MAC一對黑白立分.
ARP解決： 玱itre4K:JFD()本文來自移動通信網(wǎng)www.gg1fic3.cn,版權(quán)所有
現(xiàn)在看到ARP解決方案,都感覺有點(diǎn)效率低下,而且不夠穩(wěn)定.本人對欣向路由較為了解,以他為例吧. )#$@&%#*(我K:JFD()$#_*本文來自移動通信網(wǎng)www.gg1fic3.cn,版權(quán)所有
#(*)#K:JFD本文來自移動通信網(wǎng)www.gg1fic3.cn,版權(quán)所有
4321%$#(*K:JFD()$#本文來自移動通信網(wǎng)www.gg1fic3.cn,版權(quán)所有
1.路由ARP廣播. oej道h$K:JFD()本文來自移動通信網(wǎng)www.gg1fic3.cn,版權(quán)所有
國內(nèi)部分硬件路由有此功能,最早是在欣向的路由里面發(fā)現(xiàn)這個(gè)功能.感覺不錯(cuò),挺有方法的,但是在軟路由里面好像還未發(fā)現(xiàn),軟路由的兄弟們加把勁啦.他的原理是路由器不間斷的廣播正確的路由器ARP.例如:路由器的IP是192.168.1.1 MAC:11:12:13:14:15:16,那他就會不停的每秒廣播自己的正確ARP.不管你內(nèi)網(wǎng)機(jī)器是否喜歡收,1秒收一個(gè)一秒收一個(gè),收到了就改一次ARP表收到了就改一次ARP表.無窮無盡無止無息,子子孫孫無窮虧也.....如果出現(xiàn)ARP欺騙,欺騙者發(fā)出欺騙信息,PC剛收到欺騙信息就收到了正確信息.所以問題也就解決了.但是有個(gè)隱患,就是廣播風(fēng)暴的問題.不間斷的廣播是否會應(yīng)該內(nèi)網(wǎng)的網(wǎng)絡(luò)呢??? (帶著問題請教了國內(nèi)某廠家欣X的工程師,工程師很熱情的解除了我的疑惑,感謝一下先).以每秒次的頻率發(fā)送APR廣播在內(nèi)網(wǎng)是微乎其微的,因?yàn)槿魏我粋�(gè)機(jī)器都會有廣播發(fā)生,多一個(gè)ARP最多相當(dāng)于多幾臺機(jī)器的信息量,對內(nèi)網(wǎng)是不會有影響的.但是這種方式有他的問題,當(dāng)欺騙者加大欺騙ARP的頻率超過路由時(shí)(在欺騙軟件上面實(shí)現(xiàn)非常容易),還是會造成欺騙的效果.解決也應(yīng)該很簡單就是加大路由器的廣播頻率,但是欣X的工程師卻否定了這種方法,原因請看第2條.

#$@&%#*(蜬:JFD()$#本文來自移動通信網(wǎng)www.gg1fic3.cn,版權(quán)所有
2.超量路由ARP廣播.
近期發(fā)現(xiàn)個(gè)別路由廠家宣傳可以完全防止ARP問題.我抱著崇敬的心態(tài)去學(xué)習(xí)了一下處理方法,不得不讓人失望,是非常失望和痛心.所謂完全防止其實(shí)就是前面的路由ARP廣播,只是簡單的把頻率加大到每秒100.200.....次. 這種方法效果單看ARP方面確實(shí)比每秒一次要好.但是卻是得不償失,甚至有點(diǎn).....不說了,免得讓人罵.簡單給大家分析一下,每秒100為例吧,也就是說,路由器1秒時(shí)間會發(fā)出100個(gè)ARP廣播,200臺的電腦,每臺機(jī)器每秒處理100次.如果有10臺交換機(jī),就會有10個(gè)交換機(jī)處理100次.每次交換機(jī)都會把信息互相轉(zhuǎn)發(fā),這每秒ARP信息的處理量要按照10N次方＊100去計(jì)算的.大家如果了解廣播的模式就會清楚,交換家之間會互相不停的傳遞信息,你發(fā)給大家,我收到了,還會發(fā)給大家.大家收到了還是要發(fā)給大家.這樣每臺PC最終收到的信息每秒要上萬條吧(這個(gè)量應(yīng)該只小沒大吧?).每秒都這樣干100次.不知道網(wǎng)絡(luò)內(nèi)部要成為什么樣子??PC的就沒事老維護(hù)ARP表就不干別的了嗎?為了一個(gè)ARP,7*24小時(shí)的折騰網(wǎng)絡(luò)值得嗎?網(wǎng)絡(luò)性能要降低多少啊.人滿時(shí)或者有點(diǎn)內(nèi)網(wǎng)的小攻擊時(shí),網(wǎng)吧不癱瘓估計(jì)有點(diǎn)難啊,,,死字很容易寫啊.當(dāng)然平時(shí)你是感覺不到的.但是我要問一句想出此方法的工程師,你出這個(gè)方案,是為了解決問題嗎?
K:JFD()$本文來自移動通信網(wǎng)www.gg1fic3.cn,版權(quán)所有
urewioK:JFD()$#_*本文來自移動通信網(wǎng)www.gg1fic3.cn,版權(quán)所有
3.極力推薦的方法.靜態(tài)綁定. ds不21fK:JFD()本文來自移動通信網(wǎng)www.gg1fic3.cn,版權(quán)所有
ARP解決最有效的方法，就是從根本杜絕他的欺騙途徑。 #@3221aK:JFD()本文來自移動通信網(wǎng)www.gg1fic3.cn,版權(quán)所有
欺騙是通過ARP的動態(tài)實(shí)時(shí)的規(guī)則欺騙內(nèi)網(wǎng)機(jī)器，所以我們把ARP全部設(shè)置為靜態(tài)可以根本解決對內(nèi)網(wǎng)PC的欺騙。
方法為：找到路由器的lan口的MAC地址，把MAC地址通過靜態(tài)的方式幫定到每臺PC上面。通過命令，ARP -S 可以實(shí)現(xiàn)。 首先，建立一個(gè)批處理文件。內(nèi)容只有一行命令，“ARP -S 內(nèi)網(wǎng)網(wǎng)關(guān) 網(wǎng)關(guān)的MAC地址 ”，例如：“ARP -S 192.168.1.1 00-13-32-33-12-11 ”.把批處理文件放到啟動里面,這樣每次開機(jī)都會執(zhí)行這個(gè)文件,即使出現(xiàn)ARP欺騙,由于我們設(shè)置的是靜態(tài)方式,PC也不會去理會欺騙的ARP. 不21fK:JFD本文來自移動通信網(wǎng)www.gg1fic3.cn,版權(quán)所有
&#%kcvmK:JFD()本文來自移動通信網(wǎng)www.gg1fic3.cn,版權(quán)所有
(*$#什21f3K:JFD()$#_本文來自移動通信網(wǎng)www.gg1fic3.cn,版權(quán)所有
如果設(shè)置成功會在PC上面通過執(zhí)行 arp -a 可以看到相關(guān)的提示: 21fds3aK:JFD()本文來自移動通信網(wǎng)www.gg1fic3.cn,版權(quán)所有
Internet Address Physical Address Type(注意這里) %kcvmK:JFD本文來自移動通信網(wǎng)www.gg1fic3.cn,版權(quán)所有
192.168.1.1 00-0f-7a-05-0d-a4 static(靜態(tài)) (*$#蔏:JFD本文來自移動通信網(wǎng)www.gg1fic3.cn,版權(quán)所有
一般不綁定,在動態(tài)的情況下: 知1fkjhfjouiK:JFD()$#_*(本文來自移動通信網(wǎng)www.gg1fic3.cn,版權(quán)所有
Internet Address Physical Address Type e342是434K:JFD()$#本文來自移動通信網(wǎng)www.gg1fic3.cn,版權(quán)所有
192.168.1.1 00-0f-7a-05-0d-a4 dynamic(動態(tài))
43289西K:JFD()本文來自移動通信網(wǎng)www.gg1fic3.cn,版權(quán)所有
瞗12dsfds1faK:JFD()$#_*(本文來自移動通信網(wǎng)www.gg1fic3.cn,版權(quán)所有
ARP對路由的欺騙. *$#(*)#$@&%K:JFD()$#_*本文來自移動通信網(wǎng)www.gg1fic3.cn,版權(quán)所有
做了靜態(tài)綁定之后,為什么還會掉線呢?還是ARP嗎?不幸的是,還是ARP( ARP對路由欺騙). s4fads13東oiK:JFD()$#_*(本文來自移動通信網(wǎng)www.gg1fic3.cn,版權(quán)所有
因?yàn)橛蟹N情況下的問題,沒有得到解決.大家設(shè)想一下,現(xiàn)在的處理方法如果碰到欺騙者不是冒充網(wǎng)關(guān),而是冒充內(nèi)網(wǎng)的PC會如何呢?答案是掉線,冒充誰,誰掉線.因?yàn)槁酚善魇盏狡垓_ARP后找不到你了,轉(zhuǎn)發(fā)給你的信息全部給了欺騙者的機(jī)器啦... 我們在PC上面可以綁定網(wǎng)關(guān).難道在路由上面也綁定PC嗎? 答案是否定的,難道我內(nèi)網(wǎng)每臺PC的MAC地址都在路由里面綁定,累死了,而且?guī)装賯�(gè)MAC地址看著就眼暈,而且如果有任何改動都需要調(diào)整路由器,幾百條記錄也太累了吧.針對這個(gè)問題對多臺設(shè)備進(jìn)行了測試,包括3個(gè)版本的軟路由,欣X,俠X,艾X等等的產(chǎn)品(大家也想測試的話,給當(dāng)?shù)氐膹S家代理商說你要試用,簡單啊).最終結(jié)果不盡人意,軟路由3種里面只有1種有可以解決的方法,而且是每臺綁定方法.3款硬路由有1款是可以完全防范,2款需要綁定(提醒大家,2款產(chǎn)品都有綁定數(shù)量的限制,超過數(shù)量無法解決,采購時(shí)注意詢問).對于1款可以防范的產(chǎn)品做了一些研究但是沒有結(jié)果,再次打通了欣X的工程師電話,請教處理方法.工程師給出了答案,欣X路由是采用的WINDRIVER的VxWORKSII的操作系統(tǒng).在效率與安全性要比免費(fèi)LINUX系統(tǒng)的強(qiáng)很多,這套2代的系統(tǒng)本身就可以維護(hù)一個(gè)數(shù)據(jù)庫,不從硬件的數(shù)據(jù)庫提取數(shù)據(jù),數(shù)據(jù)表內(nèi)容都是在PC上網(wǎng)時(shí)收集的,對于ARP欺騙根本就不予理睬,針對ARP對路由的欺騙在基礎(chǔ)上面就已經(jīng)給屏蔽了.而且內(nèi)網(wǎng)可以隨意的改動與調(diào)整...打住..有點(diǎn)象廠家稿子啦...... 1fd知1fkjK:JFD()$#本文來自移動通信網(wǎng)www.gg1fic3.cn,版權(quán)所有
e342是43K:JFD()$本文來自移動通信網(wǎng)www.gg1fic3.cn,版權(quán)所有
大家可以去下個(gè)360防火墻,在里面進(jìn)行ARP相關(guān)設(shè)置,我用過感覺不錯(cuò),一定要將攔截打開,并且綁定網(wǎng)關(guān)和路由的MAC(我)$#@32K:JFD()$#本文來自移動通信網(wǎng)www.gg1fic3.cn,版權(quán)所有