ARP协议的分析与解决方案。
如果你的网络突然掉线,或者时不时有一些机器掉线,或者有一台机器掉线。一般来说,几滴就会自动恢复。然后我非常急切地祝贺你,你获奖了。奖品是ARP欺骗。不要高兴也不要激动,因为这个奖项是巨大的,很多朋友都对此深感兴趣。ARP是怎么回事?就说到这里吧。
*对于一个朋友'一个没有悲伤的女孩'请再加一段,'不要掉线,一切似乎正常的ARP '
*这几天看到很多朋友都在提出一些网络解决方案,问能不能彻底解决ARP问题。也有朋友求助。
别一个一个说了,大家一起抓吧。(计划在最后)
ARP欺骗原理:
同一网络中的所有机器都通过mac地址进行通信。方法是,当一台PC与另一台设备通信时,PC会先寻找对方设备的IP地址,然后通过ARP表调出对应的MAC地址(ARP表中有IP和IP对应的MAC地址)。通过MAC地址相互通信。也就是说,MAC地址,而不是IP地址,是设备在内部网中寻找并相互通信的地址。
但是ARP模式的设计并没有考虑太多的安全问题。ARP留下很多隐患,ARP欺骗就是其中之一。
网络中的任何机器都可以很容易地发送ARP广播来宣布其IP和MAC。接收到的机器将在其ARP表中建立一个ARP条目,记录其IP和MAC地址。如果这个广播是错误的,其他机器会接受它。比如:192。168。1。11机器MAC是00: 00: 00: 11: 11,他在内网广播的IP地址是192。168。1。24(其实是路由器的IP),MAC地址是00: 00: 00: 11: 11(他自己真正的MAC)。所以人家会给192。168。1。24并发送到00:00:00:11:11:11。那是192。168。1。11.用这种方法,作弊者只需制作一个软件,就可以在内网上欺骗任何他想欺骗的人。况且网上到处都是软件,DWON随便用。想怎么随意就怎么随意。
基于原理,ARP在技术上分为对PC的欺骗和对路由的欺骗。在下面的ARP解决方案中详细解释了它们的区别。
ARP欺骗的原因:
网游兴起后,网络黑客、木马也跟着疯狂起来。ARP欺骗是盗取号码的好方法。骗子利用自己在网吧上网,先找到内网网关的MAC地址,然后给自己发ARP欺骗,告知内网所有机器都是网关。比如:192。168。1。5Mac00-14-6C-18-58-5A机是骗子的盗号机。首先,他会找到内网的网关(内网的网关是192。168。1。1 MAC是xx.xx.xx.xx.xx)。然后他会发ARP广播,说自己的IP地址是192。168。1。MAC地址是00-14-6c-18-58-5a。这样,内网所有接收其他消息的机器都会误认为是内网的网关。所有上网的信息都会通过他的MAC地址发送到这台机器上。因为找不到真正的网关,这些被骗的机器无法上网。而所有发送的信息都会被这台黑客机器接收到。通过分析收到的信息,他可以在其中找到有用的信息,尤其是关于账号的部分,从而得到正在玩游戏的玩家的账号,黑客攻击就发生了。
ARP的发现:
然后我们网吧就断线了。是ARP吗?如何判断。好吧,这是方法,但请认同。
ARP的通病是掉线。在掉线的基础上,可以通过以下方式进行识别:1。一般情况下,无需处理,1分钟内即可恢复正常上网。因为ARP欺骗是有时间限制的,过了时间限制就会自动恢复正常。现在大部分路由器都会在极短的时间内广播自己正确的ARP,让受骗的机器恢复正常。但是如果有一个攻击性的ARP欺骗(其实短时间内有几百个或者几千个欺骗ARP),他会通过非常大量的ARP欺骗不断阻止内网机器上网,即使路由器不断广播正确的数据包,他也会被大量的错误信息淹没。2。打开被骗机器的DOS界面,输入ARP -A命令,可以看到相关的ARP表。你可以通过看到的网关的MAC地址来判断是否发生ARP欺骗。但是,由于时间限制,这项工作必须在机器恢复正常之前完成。如果存在作弊问题,ARP表中就会出现错误的网关MAC地址,真正的网关MAC就会被白纸黑字的分开。
ARP解决方案:
现在看到ARP解决方案,都觉得有点低效不稳定。对新乡路由比较了解。以他为例。
1.路由ARP广播。
国内一些硬件路线都有这个功能,最早是在新乡的路线上发现的。感觉不错,但是软路线好像还没找到。软路线的兄弟更努力。他的原理是路由器不断广播正确的路由器ARP。比如路由器的IP是192.168.1.1 MAC: 11: 12: 13: 14: 14。他会每秒广播一次自己正确的ARP。不管你内网机器喜不喜欢接收,每秒钟都能收到。一旦收到,就可以更改一次ARP表。如果你收到了,你会为你的子孙赔钱.如果有ARP欺骗,骗子发出欺骗信息,PC刚收到欺骗信息就收到正确的信息,这样问题就解决了。但是有一个隐患,就是广播风暴。(带着疑问,我问了国内某厂商新X的工程师,工程师热情地解除了我的疑惑。提前感谢。)在内网中以每秒一次的频率发送APR广播是微乎其微的,因为任何机器都会有广播。多一个ARP最多相当于多几台机器的信息量,对内网不会有影响。但这种方法有他的问题,当作弊者增加作弊ARP的频率超过路由时(在作弊软件中非常容易实现),还是会造成作弊效果。解决方法应该也是增加路由器的广播频率这么简单,但是信X的工程师否定了这个方法。原因见第二条。
2.路由ARP广播。
最近发现个别路由厂商的宣传完全可以预防ARP问题。我怀着崇敬的心情学习了治疗方法,我很失望,很失望,也很难过。所谓完全防范,其实就是之前的路由ARP广播,简单的把频率提高到100.200.每秒次数。这种方法的效果确实比仅从ARP来看每秒一次要好,但是得不偿失。这甚至有点.还是不说了吧,免得被骂。下面给大家简单分析一下。以每秒100为例。也就是说,路由器1秒钟发出100个ARP广播,200台电脑每秒钟处理100次。如果有10个交换机,10个交换机将处理它们100次。每台交换机都会相互转发信息。ARP信息每秒的处理能力要按照10N * 100的幂来计算。如果你知道广播模式,很明显,交换机将不断地相互传输信息。你可以发给大家,我收到后发给你。收到之后还是要发给大家。所以,每台PC最终都会每秒接收数万条消息(这个量应该是只小不大吧?).每秒钟做100次。不知道网络会是什么样子?个人电脑没问题。为什么不一直维护ARP表,不做别的?为了一个ARP,7 * 24小时折腾互联网值得吗?网络性能会降低多少?人满或者内网有小攻击的时候,网吧不瘫痪估计有点难。死字好写。当然,平时你是感受不到它们的。
解决ARP最有效的方法就是从根本上制止他的欺骗。
欺骗是通过ARP的动态性和实时性规则来欺骗内网机器,所以我们可以通过将所有ARP设置为静态来从根本上解决内网PC的欺骗问题。
方法:找到路由器局域网端口的MAC地址,用静态的方式把MAC地址固定到每台PC上。通过命令,可以实现ARP -S。首先,创建一个批处理文件。只有一行命令行,' ARP -S内网网关的MAC地址'例如:' ARP-S 192 . 168 . 1 . 1 00-13-32-33-12-11 '将批处理文件放入引导中,这样每次引导启动时都会执行该文件。即使发生ARP欺骗,PC也不会去,因为我们设置了静态模式。
如果设置成功,您可以通过在PC上执行arp -a来查看相关提示:
地址互联网物理地址类型(此处注明)
168.1.1 00-0f-7a-05-0d-A4静态(静态)
一般不受约束,在动态的情况下:
互联网地址物理地址类型
168.1.1 00-0f-7a-05-0d-A4动态(动态)
ARP欺骗路由。
做了静态绑定后,为什么会掉线?还是ARP?可惜还是ARP( ARP欺骗)。
因为存在问题没有解决的情况。试想一下,如果现在的处理方式遇到一台伪装成内网而不是网关的PC会怎么样?答案是掉线,装谁,掉线。因为路由器收到欺骗的ARP后找不到你,所以转发给你的信息都已经给了骗子的机器.我们可以在PC上绑定网关。有必要在路由上绑定PC吗?答案是否定的,不是我内网每台PC的MAC地址都绑定在路由里吗?累死我了,几百个MAC地址看着就晕。而且如果有变动,我需要调路由器,几百条记录太累了。针对这个问题,我测试了几款设备,包括三个版本的软路由,产品如鑫X,夏X,艾X等。(如果你也想测试,就告诉当地厂家代理商你想试用,啊)。最后的结果并不令人满意。三条软路由只有一条有解,而且是每一条的绑定方法。三条硬路由中有一条是可以完全防止的,另外两条需要绑定(提醒大家,两种产品的绑定数量都是有限制的,超过数量就解决不了。购买时请注意查询)。我做了一个可以预防的产品的研究,没有结果。我又给新X的工程师打了电话。工程师给出了答案。Xin X路由是WINDRIVER的VxWORKSII操作系统。它比免费的LINUX系统更加高效和安全。这个第二代系统可以自己维护一个数据库,它不从硬件数据库中提取数据。数据表的内容是在PC联机时收集的。ARP欺骗不理会,在ARP欺骗的基础上已经屏蔽了。并且内网可以随意更改和调整.停下来。
ARP问题基本都提到这里了。如果你有什么想法,请提出来。让我们一起来讨论它们。
后面还有一个ARP欺骗的问题,就是交换机,很多有管理的交换机,他们都有一个ARP表来维护,这个表可以提高数据交换的效率。如果发生ARP欺骗,交换机无法向目标IP发送数据,因此需要在交换机中进行静态ARP绑定。
为什么会有ARP不降一切看似正常?
你在网吧丢过游戏号、qq号、钱包吗?
特别是大量的丢账都是ARP造成的。原理是:骗子先骗PC,再骗路由器。
在这种情况下,PC将信息发送给骗子,然后骗子将信息转发给路由器。当作弊者收到时