首先說下這篇文章是全文字描述���,如果你沒足夠的耐心看下去那么你該干嘛就干嘛去,全文字教程是很枯燥乏味�,沒圖文結合的教程有看頭。但這問題我覺得還是文字描述好一點��,其實很想圖文介紹可是找不適合的圖��,也不知道用什么圖來做demo���。
文章開始我還想嘮叨幾句,本人接受過ARP的洗禮���,也百度谷歌過可得到的一般都是抽象的概念����,不是裝ARP防護軟件就是用ARP命令捆綁和ARP批處來捆綁�����,但是當ARP欺騙產生后,那時候捆綁是不是有點晚了��?很多人在沒接受到ARP欺騙的洗禮前一般不會關注類似問題���,只有接受到了它的洗禮��,它的問候才會注意這個問題�。小局域網可能沒什么關系��,可是一個大的局域網怎么辦��?后來我和一個TP-Lingk的工程師研究過這個問題�,是他教會了我當面臨ARP欺騙導致了大面積不能上網,斷斷續(xù)續(xù)掉線如何迅速找到根源解決欺騙��,在此我像他表示感謝���,衷心的表示感謝�����!阿牛哥謝謝你���!
模擬場景:路由器+交換機+PC����,100����、200、300臺PC規(guī)模的局域網或者更大的環(huán)境��,當出現了ARP欺騙并且不定時掉線���,局域網癱瘓怎么辦�����?一臺臺去裝ARP防火墻���?沒那么多時間哦�����,全部人員都等你解決問題呢���,等你裝完軟件就等著你們老板和同事表揚你吧�����。�。。(裝了ARP防火墻,不代表你找到了真正的欺騙地址�����,只是啟了防御作用)
現在我們解決這個問題方法如下:
目的
1:產生ARP欺騙時不要想著裝ARP防火墻����,你現在要解決的是盡快找出欺騙根源,讓局域網恢復正常��。
條件:體力+硬件
2:以最快的速度狂奔到機房���,那里是局域網的心臟���,并且準備一臺“筆記本電腦”或者機房里面有電腦都行。
尋找欺騙:
開啟電腦:開始---運行cmd回車�, ping一個網站,我一般選擇百度和新浪,記得加-t不間斷的ping����,讓這畫面運行在電腦屏幕上保證你看得到。出現欺騙后會ping不通外網����,不管它咱們ping了,用下面的方法解決后就會ping通��,這是一個檢測步驟���,先別問為什么繼續(xù)往下看��。
中了ARP欺騙后交換機的燈會閃得很厲害比霓虹燈還能干�,閃燈速度是平時的1-3倍�,也許全部交換機都閃得發(fā)狂。那么現在拔了所有交換機的主干線�,然后插上一根連交換機的干線,等待幾分鐘看看會不會閃燈異常���,如不異常繼續(xù)插上另外的交換機干線依然等待閃燈情況���,直到找出插干線后交換機就出現閃燈異常,那么你也就找到了是這個交換機內的PC出了問題�。
好了現在按照上面的方法已找到了其中的一個交換機出了問題導致了局域網問題,這下是不是發(fā)現問題圈子小啦���,但要注意的是咱們還沒找到根源哦��,F在我們繼續(xù)找根源����,既然找到是這個交換機內的問題�,那么我們現在把這個有問題的交換機接口上面所有的連接線拔了,然后插上干線�,接著把你拔下來的線,插上一根去等待一些時間直到不會出現交換機異常閃燈����,接著在插上別的線來判斷,依此類推當你插上那個會發(fā)送ARP欺騙的線�,那么燈就會狂閃,那么恭喜你找到根源了�����,然后按照線標找到這個機器�����。
好了問題的根源也找到了,我們得想想為什么會產生ARP欺騙的問題�����。
1:PC中毒了�,一般中的毒都是木馬,而這些木馬會帶ARP攻擊����,把你電腦的MAC地址映射成路由器的網關地址,然后發(fā)ARP包到局域網的其他機器����,讓別的機器以為你的機器是網關,導致了掉線����。(其實ARP是TCP/IP協(xié)議里面的一個地址解析協(xié)議,還有一個RARP是逆向地址解析協(xié)議���,當然他們需要先發(fā)送一個廣播來實現解析�����,這里小提一下不明白的直接忽略)為什么要偽造網關呢�����,你上網的時候是要經過數據封裝然后傳到路由表里面�����,路由表在進行處理你的這個數據該怎么出去�,這里你就把網關當作是門���,一個出口�����,只有經過這個門和出口才能把東西送出去����,好了現在想一想會發(fā)ARP攻擊的木馬把你的機器偽造成網關�����,然后別的機器以為你的電腦是網關�,就把數據都往你這傳����,你好好想想你這機器能把數據傳到外面去嗎����?顯而易見這就是欺騙。
現在明白了木馬病毒是產生ARP欺騙的根源��,也許你會覺得自己一個人上網怎么沒掉線啊���,那麻煩你想想你的網內就你一臺機器�����,欺騙誰�����?欺騙自己嗎?所以ARP欺騙對局域網的影響是相當大的���,要防范ARP欺騙就要保證內網機器是沒有病毒的�,殺毒軟件隨時更新��,并且定時進行查殺,當然你要不放心可以裝個ARP防火墻�����,也可以做一個批處命令然后設置為啟動項就綁定����。
2:人為的ARP欺騙�����,一般局域網內都會做一個MAC地址和IP綁定�����,但是有些網內的兄弟就是不老實希望給人添亂他才開心�,當然我是沒遇見過這樣的人才,解決方法和上面一樣�����,找出來你就收拾他咯�����。
3:P2P,聚生網管�����。����。。��。等管理軟件也是用欺騙形式來控制的人的���,用這玩意會讓人不能上網和網速慢�����,相信大家都知道吧�,我不是研發(fā)人員����,這個軟件我也沒詳細了解過,只是懂點皮毛中的皮毛�����,但我做過試驗,我用這些網管軟件限制過局域網內的一臺電腦����,這臺電腦裝了ARP防火墻,當我控制它的時候這臺電腦就提示ARP沖突�。也就是這么無意中發(fā)現的哈,當然沒做深的研究����,所以大家用這些軟件控制別人的時候,如果對方裝了ARP防火墻那么就無效了�。
如果你想控制別的機器這里我提一下����,你達到這要求就能。條件:你的PC是服務器�����,還得是雙網卡��。為什么呢這里我寫個網絡環(huán)境你看看����,如看得懂最好了���,看不懂的話,去論壇的“網絡世界”發(fā)帖子問�,因為需要一些網絡基礎才能明白這個道理。
要想用P2P����,聚生網管等軟件控制別的機器網速或者上網得要有下面條件
ADSL(路由器)+服務器雙網卡(安裝了網管軟件)+交換+PC
總的說來ARP欺騙一般來自病毒,大家要勤殺毒��,保證局域網機器無毒的話一般不會有欺騙��,當然了人為的除外��。
好了文章到這也差不多了�,希望大家能明白。相信網管兄弟們明白得比較快���,這是局域網內最煩人的事情�,當然你也可以用VLAN來減小廣播廣播域���,這樣處理起問題來也快得多��,有不對之處請大家海涵����、指點,個人愚見僅供參考�����。
PS:ARP防火墻我比較喜歡“彩影”ARP防火墻這個真的不錯��,比360的強多了��,現在是收費版的����,以前只要這個軟件只要指定IE是百度的地址就可以免費使用。
還有個抓包工具名字是Ethereal-setup��,這軟件功能挺強大的��,可以抓TPC,UDP.ICMP.ARP等等�,有興趣的可以下下來看看�,不過是E文版的。這個抓包的軟件下載版本到1.0了吧名字也換了���,大家如果找這個軟件下估計最高版本是0.99的��。
下面是這個款軟件的截圖
本文出自:億恩科技【www.allwellnessguide.com】
服務器租用/服務器托管中國五強��!虛擬主機域名注冊頂級提供商��!15年品質保障���!--億恩科技[ENKJ.COM]
|
香港服務器租用
美國服務器租用
電信骨干機房
聯(lián)通骨干機房
0371-60135900
