ARP的分析與解決.

如果您的網(wǎng)絡(luò)出現(xiàn),整體突然掉線(xiàn),或者有不定時(shí)的部分機(jī)器掉線(xiàn),再或者出現(xiàn)一臺(tái)一臺(tái)機(jī)器的掉線(xiàn).而且一般情況下幾種掉線(xiàn)都會(huì)自動(dòng)恢復(fù).那我非常熱切的恭喜您,您中獎(jiǎng)啦.獎(jiǎng)品是ARP欺騙. 不用高興也不用激動(dòng),因?yàn)檫@個(gè)獎(jiǎng)項(xiàng)量很大,很朋友都在深受其意.ARP到底咋回事,這里咱說(shuō)道說(shuō)道.

* 為了一個(gè)朋友"忘憂(yōu)草"特意再加一段,"不掉線(xiàn),一切看似正常的ARP"

* 這幾天看到很多朋友都在提出一些網(wǎng)絡(luò)方案,詢(xún)問(wèn)是否可以徹底解決ARP問(wèn)題.還有朋友請(qǐng)求幫忙.

不在挨個(gè)說(shuō)了,一起抓吧.(方案在最后)

ARP欺騙原理:

在同一NET內(nèi)的所以機(jī)器是通過(guò)MAC地址通訊。方法為，PC和另一臺(tái)設(shè)備通訊，PC會(huì)先尋找對(duì)方的IP地址，然后在通過(guò)ARP表（ARP表里面有所以可以通訊IP和IP所對(duì)應(yīng)的MAC地址）調(diào)出相應(yīng)的MAC地址。通過(guò)MAC地址與對(duì)方通訊。也就是說(shuō)在內(nèi)網(wǎng)中各設(shè)備互相尋找和用來(lái)通訊的地址是MAC地址，而不是IP地址。

但是當(dāng)初ARP方式的設(shè)計(jì)沒(méi)有考慮到過(guò)多的安全問(wèn)題。給ARP留下很多的隱患，ARP欺騙就是其中一個(gè)例子。

網(wǎng)內(nèi)的任何一臺(tái)機(jī)器都可以輕松的發(fā)送ARP廣播，來(lái)宣稱(chēng)自己的IP和自己的MAC。這樣收到的機(jī)器都會(huì)在自己的ARP表格中建立一個(gè)他的ARP項(xiàng)，記錄他的IP和MAC地址。如果這個(gè)廣播是錯(cuò)誤的其他機(jī)器也會(huì)接受。例如： 192。168。1。11機(jī)器MAC是 00:00:00:11:11:11,他在內(nèi)網(wǎng)廣播自己的IP地址是192。168。1。254(其實(shí)是路由器的IP)，MAC地址是00:00:00:11:11:11(他自己的真實(shí)MAC).這樣大家會(huì)把給192。168。1。254的信息和發(fā)給00:00:00:11:11:11.也就是192。168。1。11..。 有了這個(gè)方法欺騙者只需要做一個(gè)軟件,就可以在內(nèi)網(wǎng)想騙誰(shuí)就騙誰(shuí).而且軟件網(wǎng)上到處都是,隨便DWON隨便用.要多隨便有多隨便啊...

基于原理,ARP在技術(shù)上面又分為,對(duì)PC的欺騙和對(duì)路由的欺騙.他們的區(qū)別在后面的ARP解決里面仔細(xì)闡述.

ARP欺騙的起因：

網(wǎng)絡(luò)游戲興起后網(wǎng)絡(luò)盜號(hào)，木馬也跟著瘋狂。ARP欺騙就是一種很好的盜號(hào)方式。欺騙者利用自己在網(wǎng)吧上網(wǎng)時(shí)，先找到內(nèi)網(wǎng)網(wǎng)關(guān)的MAC地址，然后發(fā)送自己ARP欺騙，告送內(nèi)網(wǎng)所以的機(jī)器自己是網(wǎng)關(guān)。例如：192。168。1。55 MAC00-14-6c-18-58-5a 機(jī)器為欺騙者的盜號(hào)機(jī)器，首先，他會(huì)先找到內(nèi)網(wǎng)的網(wǎng)關(guān)（內(nèi)網(wǎng)網(wǎng)關(guān)為 192。168。1。1 MAC為XX.XX.XX.XX.XX.XX）。之后他就會(huì)發(fā)送ARP廣播，說(shuō)自己的IP地址是192。168。1。1 MAC地址是00-14-6c-18-58-5a.這樣，內(nèi)網(wǎng)的所有收到他發(fā)信息得機(jī)器都會(huì)把它誤認(rèn)為內(nèi)網(wǎng)的網(wǎng)關(guān)。所有上網(wǎng)信息都會(huì)通過(guò)他的MAC地址發(fā)給這個(gè)機(jī)器，由于找不到真正的網(wǎng)關(guān)，這些被騙的機(jī)器就無(wú)法上網(wǎng)。而發(fā)送的所有信息都會(huì)被這個(gè)盜號(hào)機(jī)器收到，通過(guò)分析收到的信息他可以在里面找到有用的信息，特別是有關(guān)于帳號(hào)的部分，從而得到正在游戲的玩家的帳號(hào)，發(fā)生盜號(hào)事件。

ARP的發(fā)現(xiàn)：

那我們網(wǎng)吧出現(xiàn)掉線(xiàn)了,是否是ARP呢?如何去判斷.好,這里給出方法,但是請(qǐng)大家頂了再說(shuō).

ARP的通病就是掉線(xiàn),在掉線(xiàn)的基礎(chǔ)上可以通過(guò)以下幾種方式判別，1。一般情況下不需要處理1分鐘之內(nèi)就可以回復(fù)正常上網(wǎng)。因?yàn)锳RP欺騙是由時(shí)限，過(guò)了期限就會(huì)自動(dòng)的回復(fù)正常。而且現(xiàn)在大多數(shù)路由器都會(huì)在很短時(shí)間內(nèi)不停廣播自己的正確ARP，使受騙的機(jī)器回復(fù)正常。但是如果出現(xiàn)攻擊性ARP欺騙(其實(shí)就是時(shí)間很短的量很大的欺騙ARP,1秒有個(gè)幾百上千的)，他是不斷的通過(guò)非常大量ARP欺騙來(lái)阻止內(nèi)網(wǎng)機(jī)器上網(wǎng)，即使路由器不斷廣播正確的包也會(huì)被他大量的錯(cuò)誤信息給淹沒(méi)。2。打開(kāi)被騙機(jī)器的DOS界面，輸入ARP -A命令會(huì)看到相關(guān)的ARP表，通過(guò)看到的網(wǎng)關(guān)的MAC地址可以去判別是否出現(xiàn)ARP欺騙，但是由于時(shí)限性，這個(gè)工作必須在機(jī)器回復(fù)正常之前完成。如果出現(xiàn)欺騙問(wèn)題,ARP表里面會(huì)出現(xiàn)錯(cuò)誤的網(wǎng)關(guān)MAC地址,和真實(shí)的網(wǎng)關(guān)MAC一對(duì)黑白立分.

ARP解決：

現(xiàn)在看到ARP解決方案,都感覺(jué)有點(diǎn)效率低下,而且不夠穩(wěn)定.本人對(duì)欣向路由較為了解,以他為例吧.

1.路由ARP廣播.

國(guó)內(nèi)部分硬件路由有此功能,最早是在欣向的路由里面發(fā)現(xiàn)這個(gè)功能.感覺(jué)不錯(cuò),挺有方法的,但是在軟路由里面好像還未發(fā)現(xiàn),軟路由的兄弟們加把勁啦.他的原理是路由器不間斷的廣播正確的路由器ARP.例如:路由器的IP是192.168.1.1 MAC:11:12:13:14:15:16,那他就會(huì)不停的每秒廣播自己的正確ARP.不管你內(nèi)網(wǎng)機(jī)器是否喜歡收,1秒收一個(gè)一秒收一個(gè),收到了就改一次ARP表收到了就改一次ARP表.無(wú)窮無(wú)盡無(wú)止無(wú)息,子子孫孫無(wú)窮虧也.....如果出現(xiàn)ARP欺騙,欺騙者發(fā)出欺騙信息,PC剛收到欺騙信息就收到了正確信息.所以問(wèn)題也就解決了.但是有個(gè)隱患,就是廣播風(fēng)暴的問(wèn)題.不間斷的廣播是否會(huì)應(yīng)該內(nèi)網(wǎng)的網(wǎng)絡(luò)呢??? (帶著問(wèn)題請(qǐng)教了國(guó)內(nèi)某廠家欣X的工程師,工程師很熱情的解除了我的疑惑,感謝一下先).以每秒次的頻率發(fā)送APR廣播在內(nèi)網(wǎng)是微乎其微的,因?yàn)槿魏我粋€(gè)機(jī)器都會(huì)有廣播發(fā)生,多一個(gè)ARP最多相當(dāng)于多幾臺(tái)機(jī)器的信息量,對(duì)內(nèi)網(wǎng)是不會(huì)有影響的.但是這種方式有他的問(wèn)題,當(dāng)欺騙者加大欺騙ARP的頻率超過(guò)路由時(shí)(在欺騙軟件上面實(shí)現(xiàn)非常容易),還是會(huì)造成欺騙的效果.解決也應(yīng)該很簡(jiǎn)單就是加大路由器的廣播頻率,但是欣X的工程師卻否定了這種方法,原因請(qǐng)看第2條.

2.超量路由ARP廣播.

近期發(fā)現(xiàn)個(gè)別路由廠家宣傳可以完全防止ARP問(wèn)題.我抱著崇敬的心態(tài)去學(xué)習(xí)了一下處理方法,不得不讓人失望,是非常失望和痛心.所謂完全防止其實(shí)就是前面的路由ARP廣播,只是簡(jiǎn)單的把頻率加大到每秒100.200.....次. 這種方法效果單看ARP方面確實(shí)比每秒一次要好.但是卻是得不償失,甚至有點(diǎn).....不說(shuō)了,免得讓人罵.簡(jiǎn)單給大家分析一下,每秒100為例吧,也就是說(shuō),路由器1秒時(shí)間會(huì)發(fā)出100個(gè)ARP廣播,200臺(tái)的電腦,每臺(tái)機(jī)器每秒處理100次.如果有10臺(tái)交換機(jī),就會(huì)有10個(gè)交換機(jī)處理100次.每次交換機(jī)都會(huì)把信息互相轉(zhuǎn)發(fā),這每秒ARP信息的處理量要按照10N次方＊100去計(jì)算的.大家如果了解廣播的模式就會(huì)清楚,交換家之間會(huì)互相不停的傳遞信息,你發(fā)給大家,我收到了,還會(huì)發(fā)給大家.大家收到了還是要發(fā)給大家.這樣每臺(tái)PC最終收到的信息每秒要上萬(wàn)條吧(這個(gè)量應(yīng)該只小沒(méi)大吧?).每秒都這樣干100次.不知道網(wǎng)絡(luò)內(nèi)部要成為什么樣子??PC的就沒(méi)事老維護(hù)ARP表就不干別的了嗎?為了一個(gè)ARP,7*24小時(shí)的折騰網(wǎng)絡(luò)值得嗎?網(wǎng)絡(luò)性能要降低多少啊.人滿(mǎn)時(shí)或者有點(diǎn)內(nèi)網(wǎng)的小攻擊時(shí),網(wǎng)吧不癱瘓估計(jì)有點(diǎn)難啊,,,死字很容易寫(xiě)啊.當(dāng)然平時(shí)你是感覺(jué)不到的.但是我要問(wèn)一句想出此方法的工程師,你出這個(gè)方案,是為了解決問(wèn)題嗎?

3.極力推薦的方法.靜態(tài)綁定.

ARP解決最有效的方法，就是從根本杜絕他的欺騙途徑。

欺騙是通過(guò)ARP的動(dòng)態(tài)實(shí)時(shí)的規(guī)則欺騙內(nèi)網(wǎng)機(jī)器，所以我們把ARP全部設(shè)置為靜態(tài)可以根本解決對(duì)內(nèi)網(wǎng)PC的欺騙。

方法為：找到路由器的lan口的MAC地址，把MAC地址通過(guò)靜態(tài)的方式幫定到每臺(tái)PC上面。通過(guò)命令，ARP -S 可以實(shí)現(xiàn)。 首先，建立一個(gè)批處理文件。內(nèi)容只有一行命令，“ARP -S 內(nèi)網(wǎng)網(wǎng)關(guān) 網(wǎng)關(guān)的MAC地址 ”，例如：“ARP -S 192.168.1.1 00-13-32-33-12-11 ”.把批處理文件放到啟動(dòng)里面,這樣每次開(kāi)機(jī)都會(huì)執(zhí)行這個(gè)文件,即使出現(xiàn)ARP欺騙,由于我們?cè)O(shè)置的是靜態(tài)方式,PC也不會(huì)去理會(huì)欺騙的ARP.

如果設(shè)置成功會(huì)在PC上面通過(guò)執(zhí)行 arp -a 可以看到相關(guān)的提示:

Internet Address Physical Address Type(注意這里)

192.168.1.1 00-0f-7a-05-0d-a4 static(靜態(tài))

一般不綁定,在動(dòng)態(tài)的情況下:

Internet Address Physical Address Type

192.168.1.1 00-0f-7a-05-0d-a4 dynamic(動(dòng)態(tài))

ARP對(duì)路由的欺騙.

做了靜態(tài)綁定之后,為什么還會(huì)掉線(xiàn)呢?還是ARP嗎?不幸的是,還是ARP( ARP對(duì)路由欺騙).

因?yàn)橛蟹N情況下的問(wèn)題,沒(méi)有得到解決.大家設(shè)想一下,現(xiàn)在的處理方法如果碰到欺騙者不是冒充網(wǎng)關(guān),而是冒充內(nèi)網(wǎng)的PC會(huì)如何呢?答案是掉線(xiàn),冒充誰(shuí),誰(shuí)掉線(xiàn).因?yàn)槁酚善魇盏狡垓_ARP后找不到你了,轉(zhuǎn)發(fā)給你的信息全部給了欺騙者的機(jī)器啦... 我們?cè)赑C上面可以綁定網(wǎng)關(guān).難道在路由上面也綁定PC嗎? 答案是否定的,難道我內(nèi)網(wǎng)每臺(tái)PC的MAC地址都在路由里面綁定,累死了,而且?guī)装賯€(gè)MAC地址看著就眼暈,而且如果有任何改動(dòng)都需要調(diào)整路由器,幾百條記錄也太累了吧.針對(duì)這個(gè)問(wèn)題對(duì)多臺(tái)設(shè)備進(jìn)行了測(cè)試,包括3個(gè)版本的軟路由,欣X,俠X,艾X等等的產(chǎn)品(大家也想測(cè)試的話(huà),給當(dāng)?shù)氐膹S家代理商說(shuō)你要試用,簡(jiǎn)單啊).最終結(jié)果不盡人意,軟路由3種里面只有1種有可以解決的方法,而且是每臺(tái)綁定方法.3款硬路由有1款是可以完全防范,2款需要綁定(提醒大家,2款產(chǎn)品都有綁定數(shù)量的限制,超過(guò)數(shù)量無(wú)法解決,采購(gòu)時(shí)注意詢(xún)問(wèn)).對(duì)于1款可以防范的產(chǎn)品做了一些研究但是沒(méi)有結(jié)果,再次打通了欣X的工程師電話(huà),請(qǐng)教處理方法.工程師給出了答案,欣X路由是采用的WINDRIVER的VxWORKSII的操作系統(tǒng).在效率與安全性要比免費(fèi)LINUX系統(tǒng)的強(qiáng)很多,這套2代的系統(tǒng)本身就可以維護(hù)一個(gè)數(shù)據(jù)庫(kù),不從硬件的數(shù)據(jù)庫(kù)提取數(shù)據(jù),數(shù)據(jù)表內(nèi)容都是在PC上網(wǎng)時(shí)收集的,對(duì)于ARP欺騙根本就不予理睬,針對(duì)ARP對(duì)路由的欺騙在基礎(chǔ)上面就已經(jīng)給屏蔽了.而且內(nèi)網(wǎng)可以隨意的改動(dòng)與調(diào)整...打住..有點(diǎn)象廠家稿子啦......

ARP的問(wèn)題這里基本都提到了,如果還有想法請(qǐng)大家提出來(lái).我們一起討論.......

后面在補(bǔ)充一種ARP欺騙的問(wèn)題,他就是對(duì)交換機(jī),很多帶管理的交換機(jī)他們都有一張ARP表格需要維護(hù),而且通過(guò)這張表來(lái)提高數(shù)據(jù)的交換效率.如果出現(xiàn)ARP欺騙,交換機(jī)就無(wú)法給目標(biāo)IP發(fā)送數(shù)據(jù)啦,所以需要在交換機(jī)里面做靜態(tài)ARP綁定.

為什么會(huì)有不掉線(xiàn),一切看似正常的ARP

大家是否出現(xiàn)過(guò)網(wǎng)吧丟游戲號(hào),丟QQ號(hào),丟錢(qián)包的問(wèn)題呢?

特別是大面積的丟失帳號(hào),很大部分就是ARP造成的.原理是:欺騙者,先騙了PC后騙了路由器.

這種情況下,PC把信息發(fā)給欺騙者,然后欺騙者把信息再轉(zhuǎn)發(fā)給路由器.當(dāng)欺騙者收