首先說(shuō)下這篇文章是全文字描述�,如果你沒(méi)足夠的耐心看下去那么你該干嘛就干嘛去,全文字教程是很枯燥乏味�����,沒(méi)圖文結(jié)合的教程有看頭��。但這問(wèn)題我覺(jué)得還是文字描述好一點(diǎn),其實(shí)很想圖文介紹可是找不適合的圖��,也不知道用什么圖來(lái)做demo����。
文章開(kāi)始我還想嘮叨幾句,本人接受過(guò)ARP的洗禮�,也百度谷歌過(guò)可得到的一般都是抽象的概念��,不是裝ARP防護(hù)軟件就是用ARP命令捆綁和ARP批處來(lái)捆綁��,但是當(dāng)ARP欺騙產(chǎn)生后���,那時(shí)候捆綁是不是有點(diǎn)晚了��?很多人在沒(méi)接受到ARP欺騙的洗禮前一般不會(huì)關(guān)注類(lèi)似問(wèn)題�����,只有接受到了它的洗禮��,它的問(wèn)候才會(huì)注意這個(gè)問(wèn)題���。小局域網(wǎng)可能沒(méi)什么關(guān)系,可是一個(gè)大的局域網(wǎng)怎么辦?后來(lái)我和一個(gè)TP-Lingk的工程師研究過(guò)這個(gè)問(wèn)題���,是他教會(huì)了我當(dāng)面臨ARP欺騙導(dǎo)致了大面積不能上網(wǎng)���,斷斷續(xù)續(xù)掉線如何迅速找到根源解決欺騙,在此我像他表示感謝�,衷心的表示感謝!阿牛哥謝謝你����!
模擬場(chǎng)景:路由器+交換機(jī)+PC,100�����、200��、300臺(tái)PC規(guī)模的局域網(wǎng)或者更大的環(huán)境���,當(dāng)出現(xiàn)了ARP欺騙并且不定時(shí)掉線���,局域網(wǎng)癱瘓?jiān)趺崔k?一臺(tái)臺(tái)去裝ARP防火墻�?沒(méi)那么多時(shí)間哦���,全部人員都等你解決問(wèn)題呢,等你裝完軟件就等著你們老板和同事表?yè)P(yáng)你吧�。。�。(裝了ARP防火墻,不代表你找到了真正的欺騙地址,只是啟了防御作用)
現(xiàn)在我們解決這個(gè)問(wèn)題方法如下:
目的
1:產(chǎn)生ARP欺騙時(shí)不要想著裝ARP防火墻���,你現(xiàn)在要解決的是盡快找出欺騙根源�����,讓局域網(wǎng)恢復(fù)正常。
條件:體力+硬件
2:以最快的速度狂奔到機(jī)房�,那里是局域網(wǎng)的心臟,并且準(zhǔn)備一臺(tái)“筆記本電腦”或者機(jī)房里面有電腦都行�。
尋找欺騙:
開(kāi)啟電腦:開(kāi)始---運(yùn)行cmd回車(chē), ping一個(gè)網(wǎng)站����,我一般選擇百度和新浪,記得加-t不間斷的ping���,讓這畫(huà)面運(yùn)行在電腦屏幕上保證你看得到���。出現(xiàn)欺騙后會(huì)ping不通外網(wǎng)�,不管它咱們ping了�,用下面的方法解決后就會(huì)ping通,這是一個(gè)檢測(cè)步驟�,先別問(wèn)為什么繼續(xù)往下看。
中了ARP欺騙后交換機(jī)的燈會(huì)閃得很厲害比霓虹燈還能干����,閃燈速度是平時(shí)的1-3倍,也許全部交換機(jī)都閃得發(fā)狂�。那么現(xiàn)在拔了所有交換機(jī)的主干線,然后插上一根連交換機(jī)的干線�����,等待幾分鐘看看會(huì)不會(huì)閃燈異常���,如不異常繼續(xù)插上另外的交換機(jī)干線依然等待閃燈情況���,直到找出插干線后交換機(jī)就出現(xiàn)閃燈異常,那么你也就找到了是這個(gè)交換機(jī)內(nèi)的PC出了問(wèn)題���。
好了現(xiàn)在按照上面的方法已找到了其中的一個(gè)交換機(jī)出了問(wèn)題導(dǎo)致了局域網(wǎng)問(wèn)題���,這下是不是發(fā)現(xiàn)問(wèn)題圈子小啦���,但要注意的是咱們還沒(méi)找到根源哦。現(xiàn)在我們繼續(xù)找根源�����,既然找到是這個(gè)交換機(jī)內(nèi)的問(wèn)題���,那么我們現(xiàn)在把這個(gè)有問(wèn)題的交換機(jī)接口上面所有的連接線拔了��,然后插上干線���,接著把你拔下來(lái)的線����,插上一根去等待一些時(shí)間直到不會(huì)出現(xiàn)交換機(jī)異常閃燈,接著在插上別的線來(lái)判斷����,依此類(lèi)推當(dāng)你插上那個(gè)會(huì)發(fā)送ARP欺騙的線,那么燈就會(huì)狂閃����,那么恭喜你找到根源了�����,然后按照線標(biāo)找到這個(gè)機(jī)器����。
好了問(wèn)題的根源也找到了���,我們得想想為什么會(huì)產(chǎn)生ARP欺騙的問(wèn)題�。
1:PC中毒了�,一般中的毒都是木馬,而這些木馬會(huì)帶ARP攻擊��,把你電腦的MAC地址映射成路由器的網(wǎng)關(guān)地址��,然后發(fā)ARP包到局域網(wǎng)的其他機(jī)器�����,讓別的機(jī)器以為你的機(jī)器是網(wǎng)關(guān)����,導(dǎo)致了掉線�。(其實(shí)ARP是TCP/IP協(xié)議里面的一個(gè)地址解析協(xié)議���,還有一個(gè)RARP是逆向地址解析協(xié)議��,當(dāng)然他們需要先發(fā)送一個(gè)廣播來(lái)實(shí)現(xiàn)解析�����,這里小提一下不明白的直接忽略)為什么要偽造網(wǎng)關(guān)呢����,你上網(wǎng)的時(shí)候是要經(jīng)過(guò)數(shù)據(jù)封裝然后傳到路由表里面�,路由表在進(jìn)行處理你的這個(gè)數(shù)據(jù)該怎么出去,這里你就把網(wǎng)關(guān)當(dāng)作是門(mén)�����,一個(gè)出口����,只有經(jīng)過(guò)這個(gè)門(mén)和出口才能把東西送出去��,好了現(xiàn)在想一想會(huì)發(fā)ARP攻擊的木馬把你的機(jī)器偽造成網(wǎng)關(guān)�����,然后別的機(jī)器以為你的電腦是網(wǎng)關(guān),就把數(shù)據(jù)都往你這傳����,你好好想想你這機(jī)器能把數(shù)據(jù)傳到外面去嗎?顯而易見(jiàn)這就是欺騙�����。
現(xiàn)在明白了木馬病毒是產(chǎn)生ARP欺騙的根源���,也許你會(huì)覺(jué)得自己一個(gè)人上網(wǎng)怎么沒(méi)掉線啊��,那麻煩你想想你的網(wǎng)內(nèi)就你一臺(tái)機(jī)器����,欺騙誰(shuí)����。科垓_自己?jiǎn)�?所以ARP欺騙對(duì)局域網(wǎng)的影響是相當(dāng)大的,要防范ARP欺騙就要保證內(nèi)網(wǎng)機(jī)器是沒(méi)有病毒的,殺毒軟件隨時(shí)更新�����,并且定時(shí)進(jìn)行查殺��,當(dāng)然你要不放心可以裝個(gè)ARP防火墻���,也可以做一個(gè)批處命令然后設(shè)置為啟動(dòng)項(xiàng)就綁定�。
2:人為的ARP欺騙��,一般局域網(wǎng)內(nèi)都會(huì)做一個(gè)MAC地址和IP綁定���,但是有些網(wǎng)內(nèi)的兄弟就是不老實(shí)希望給人添亂他才開(kāi)心����,當(dāng)然我是沒(méi)遇見(jiàn)過(guò)這樣的人才����,解決方法和上面一樣,找出來(lái)你就收拾他咯���。
3:P2P��,聚生網(wǎng)管���。。�����。�����。等管理軟件也是用欺騙形式來(lái)控制的人的�����,用這玩意會(huì)讓人不能上網(wǎng)和網(wǎng)速慢�,相信大家都知道吧,我不是研發(fā)人員����,這個(gè)軟件我也沒(méi)詳細(xì)了解過(guò),只是懂點(diǎn)皮毛中的皮毛���,但我做過(guò)試驗(yàn)���,我用這些網(wǎng)管軟件限制過(guò)局域網(wǎng)內(nèi)的一臺(tái)電腦���,這臺(tái)電腦裝了ARP防火墻,當(dāng)我控制它的時(shí)候這臺(tái)電腦就提示ARP沖突���。也就是這么無(wú)意中發(fā)現(xiàn)的哈��,當(dāng)然沒(méi)做深的研究��,所以大家用這些軟件控制別人的時(shí)候�����,如果對(duì)方裝了ARP防火墻那么就無(wú)效了����。
如果你想控制別的機(jī)器這里我提一下���,你達(dá)到這要求就能��。條件:你的PC是服務(wù)器���,還得是雙網(wǎng)卡��。為什么呢這里我寫(xiě)個(gè)網(wǎng)絡(luò)環(huán)境你看看����,如看得懂最好了�����,看不懂的話����,去論壇的“網(wǎng)絡(luò)世界”發(fā)帖子問(wèn)���,因?yàn)樾枰恍┚W(wǎng)絡(luò)基礎(chǔ)才能明白這個(gè)道理��。
要想用P2P���,聚生網(wǎng)管等軟件控制別的機(jī)器網(wǎng)速或者上網(wǎng)得要有下面條件
ADSL(路由器)+服務(wù)器雙網(wǎng)卡(安裝了網(wǎng)管軟件)+交換+PC
總的說(shuō)來(lái)ARP欺騙一般來(lái)自病毒,大家要勤殺毒����,保證局域網(wǎng)機(jī)器無(wú)毒的話一般不會(huì)有欺騙,當(dāng)然了人為的除外�。
好了文章到這也差不多了����,希望大家能明白���。相信網(wǎng)管兄弟們明白得比較快���,這是局域網(wǎng)內(nèi)最煩人的事情,當(dāng)然你也可以用VLAN來(lái)減小廣播廣播域�,這樣處理起問(wèn)題來(lái)也快得多,有不對(duì)之處請(qǐng)大家海涵�、指點(diǎn),個(gè)人愚見(jiàn)僅供參考���。
PS:ARP防火墻我比較喜歡“彩影”ARP防火墻這個(gè)真的不錯(cuò)����,比360的強(qiáng)多了��,現(xiàn)在是收費(fèi)版的��,以前只要這個(gè)軟件只要指定IE是百度的地址就可以免費(fèi)使用����。
還有個(gè)抓包工具名字是Ethereal-setup���,這軟件功能挺強(qiáng)大的,可以抓TPC,UDP.ICMP.ARP等等��,有興趣的可以下下來(lái)看看���,不過(guò)是E文版的。這個(gè)抓包的軟件下載版本到1.0了吧名字也換了�����,大家如果找這個(gè)軟件下估計(jì)最高版本是0.99的��。
下面是這個(gè)款軟件的截圖
本文出自:億恩科技【mszdt.com】
服務(wù)器租用/服務(wù)器托管中國(guó)五強(qiáng)!虛擬主機(jī)域名注冊(cè)頂級(jí)提供商�����!15年品質(zhì)保障�����!--億恩科技[ENKJ.COM]
|
香港服務(wù)器租用
美國(guó)服務(wù)器租用
電信骨干機(jī)房
聯(lián)通骨干機(jī)房
0371-60135900
