首先說下這篇文章是全文字描述,如果你沒足夠的耐心看下去那么你該干嘛就干嘛去��,全文字教程是很枯燥乏味���,沒圖文結(jié)合的教程有看頭���。但這問題我覺得還是文字描述好一點,其實很想圖文介紹可是找不適合的圖���,也不知道用什么圖來做demo���。
文章開始我還想嘮叨幾句,本人接受過ARP的洗禮�,也百度谷歌過可得到的一般都是抽象的概念,不是裝ARP防護軟件就是用ARP命令捆綁和ARP批處來捆綁����,但是當(dāng)ARP欺騙產(chǎn)生后,那時候捆綁是不是有點晚了����?很多人在沒接受到ARP欺騙的洗禮前一般不會關(guān)注類似問題,只有接受到了它的洗禮����,它的問候才會注意這個問題�。小局域網(wǎng)可能沒什么關(guān)系��,可是一個大的局域網(wǎng)怎么辦���?后來我和一個TP-Lingk的工程師研究過這個問題�,是他教會了我當(dāng)面臨ARP欺騙導(dǎo)致了大面積不能上網(wǎng)����,斷斷續(xù)續(xù)掉線如何迅速找到根源解決欺騙,在此我像他表示感謝����,衷心的表示感謝!阿牛哥謝謝你��!
模擬場景:路由器+交換機+PC��,100��、200����、300臺PC規(guī)模的局域網(wǎng)或者更大的環(huán)境,當(dāng)出現(xiàn)了ARP欺騙并且不定時掉線,局域網(wǎng)癱瘓怎么辦�?一臺臺去裝ARP防火墻�?沒那么多時間哦,全部人員都等你解決問題呢�,等你裝完軟件就等著你們老板和同事表揚你吧。���。�。(裝了ARP防火墻,不代表你找到了真正的欺騙地址���,只是啟了防御作用)
現(xiàn)在我們解決這個問題方法如下:
目的
1:產(chǎn)生ARP欺騙時不要想著裝ARP防火墻��,你現(xiàn)在要解決的是盡快找出欺騙根源����,讓局域網(wǎng)恢復(fù)正常��。
條件:體力+硬件
2:以最快的速度狂奔到機房����,那里是局域網(wǎng)的心臟,并且準(zhǔn)備一臺“筆記本電腦”或者機房里面有電腦都行��。
尋找欺騙:
開啟電腦:開始---運行cmd回車, ping一個網(wǎng)站����,我一般選擇百度和新浪,記得加-t不間斷的ping��,讓這畫面運行在電腦屏幕上保證你看得到��。出現(xiàn)欺騙后會ping不通外網(wǎng)�,不管它咱們ping了,用下面的方法解決后就會ping通�,這是一個檢測步驟,先別問為什么繼續(xù)往下看����。
中了ARP欺騙后交換機的燈會閃得很厲害比霓虹燈還能干,閃燈速度是平時的1-3倍����,也許全部交換機都閃得發(fā)狂。那么現(xiàn)在拔了所有交換機的主干線���,然后插上一根連交換機的干線���,等待幾分鐘看看會不會閃燈異常��,如不異常繼續(xù)插上另外的交換機干線依然等待閃燈情況�,直到找出插干線后交換機就出現(xiàn)閃燈異常���,那么你也就找到了是這個交換機內(nèi)的PC出了問題���。
好了現(xiàn)在按照上面的方法已找到了其中的一個交換機出了問題導(dǎo)致了局域網(wǎng)問題����,這下是不是發(fā)現(xiàn)問題圈子小啦,但要注意的是咱們還沒找到根源哦�,F(xiàn)在我們繼續(xù)找根源,既然找到是這個交換機內(nèi)的問題���,那么我們現(xiàn)在把這個有問題的交換機接口上面所有的連接線拔了���,然后插上干線,接著把你拔下來的線���,插上一根去等待一些時間直到不會出現(xiàn)交換機異常閃燈�,接著在插上別的線來判斷,依此類推當(dāng)你插上那個會發(fā)送ARP欺騙的線�,那么燈就會狂閃,那么恭喜你找到根源了��,然后按照線標(biāo)找到這個機器�。
好了問題的根源也找到了,我們得想想為什么會產(chǎn)生ARP欺騙的問題�。
1:PC中毒了,一般中的毒都是木馬�,而這些木馬會帶ARP攻擊,把你電腦的MAC地址映射成路由器的網(wǎng)關(guān)地址����,然后發(fā)ARP包到局域網(wǎng)的其他機器,讓別的機器以為你的機器是網(wǎng)關(guān)���,導(dǎo)致了掉線�。(其實ARP是TCP/IP協(xié)議里面的一個地址解析協(xié)議�,還有一個RARP是逆向地址解析協(xié)議,當(dāng)然他們需要先發(fā)送一個廣播來實現(xiàn)解析����,這里小提一下不明白的直接忽略)為什么要偽造網(wǎng)關(guān)呢,你上網(wǎng)的時候是要經(jīng)過數(shù)據(jù)封裝然后傳到路由表里面�,路由表在進行處理你的這個數(shù)據(jù)該怎么出去����,這里你就把網(wǎng)關(guān)當(dāng)作是門���,一個出口��,只有經(jīng)過這個門和出口才能把東西送出去��,好了現(xiàn)在想一想會發(fā)ARP攻擊的木馬把你的機器偽造成網(wǎng)關(guān)��,然后別的機器以為你的電腦是網(wǎng)關(guān)����,就把數(shù)據(jù)都往你這傳���,你好好想想你這機器能把數(shù)據(jù)傳到外面去嗎?顯而易見這就是欺騙��。
現(xiàn)在明白了木馬病毒是產(chǎn)生ARP欺騙的根源���,也許你會覺得自己一個人上網(wǎng)怎么沒掉線啊���,那麻煩你想想你的網(wǎng)內(nèi)就你一臺機器,欺騙誰啊�?欺騙自己嗎?所以ARP欺騙對局域網(wǎng)的影響是相當(dāng)大的����,要防范ARP欺騙就要保證內(nèi)網(wǎng)機器是沒有病毒的,殺毒軟件隨時更新�,并且定時進行查殺,當(dāng)然你要不放心可以裝個ARP防火墻���,也可以做一個批處命令然后設(shè)置為啟動項就綁定��。
2:人為的ARP欺騙�,一般局域網(wǎng)內(nèi)都會做一個MAC地址和IP綁定���,但是有些網(wǎng)內(nèi)的兄弟就是不老實希望給人添亂他才開心����,當(dāng)然我是沒遇見過這樣的人才���,解決方法和上面一樣����,找出來你就收拾他咯。
3:P2P�,聚生網(wǎng)管。���。��。��。等管理軟件也是用欺騙形式來控制的人的���,用這玩意會讓人不能上網(wǎng)和網(wǎng)速慢,相信大家都知道吧����,我不是研發(fā)人員,這個軟件我也沒詳細了解過�,只是懂點皮毛中的皮毛��,但我做過試驗�,我用這些網(wǎng)管軟件限制過局域網(wǎng)內(nèi)的一臺電腦,這臺電腦裝了ARP防火墻���,當(dāng)我控制它的時候這臺電腦就提示ARP沖突����。也就是這么無意中發(fā)現(xiàn)的哈,當(dāng)然沒做深的研究�,所以大家用這些軟件控制別人的時候,如果對方裝了ARP防火墻那么就無效了���。
如果你想控制別的機器這里我提一下����,你達到這要求就能���。條件:你的PC是服務(wù)器��,還得是雙網(wǎng)卡�。為什么呢這里我寫個網(wǎng)絡(luò)環(huán)境你看看��,如看得懂最好了����,看不懂的話,去論壇的“網(wǎng)絡(luò)世界”發(fā)帖子問����,因為需要一些網(wǎng)絡(luò)基礎(chǔ)才能明白這個道理����。
要想用P2P����,聚生網(wǎng)管等軟件控制別的機器網(wǎng)速或者上網(wǎng)得要有下面條件
ADSL(路由器)+服務(wù)器雙網(wǎng)卡(安裝了網(wǎng)管軟件)+交換+PC
總的說來ARP欺騙一般來自病毒,大家要勤殺毒��,保證局域網(wǎng)機器無毒的話一般不會有欺騙���,當(dāng)然了人為的除外����。
好了文章到這也差不多了����,希望大家能明白。相信網(wǎng)管兄弟們明白得比較快�,這是局域網(wǎng)內(nèi)最煩人的事情,當(dāng)然你也可以用VLAN來減小廣播廣播域���,這樣處理起問題來也快得多,有不對之處請大家海涵��、指點,個人愚見僅供參考��。
PS:ARP防火墻我比較喜歡“彩影”ARP防火墻這個真的不錯���,比360的強多了���,現(xiàn)在是收費版的,以前只要這個軟件只要指定IE是百度的地址就可以免費使用����。
還有個抓包工具名字是Ethereal-setup,這軟件功能挺強大的���,可以抓TPC,UDP.ICMP.ARP等等����,有興趣的可以下下來看看����,不過是E文版的。這個抓包的軟件下載版本到1.0了吧名字也換了���,大家如果找這個軟件下估計最高版本是0.99的����。
下面是這個款軟件的截圖
本文出自:億恩科技【prubsntakaful.com】
服務(wù)器租用/服務(wù)器托管中國五強��!虛擬主機域名注冊頂級提供商!15年品質(zhì)保障!--億恩科技[ENKJ.COM]
|
香港服務(wù)器租用
美國服務(wù)器租用
電信骨干機房
聯(lián)通骨干機房
0371-60135900
