真假ARP防范區(qū)別方法+ARP終極解決方案
ARP的分析與解決.
如果您的網(wǎng)絡(luò)出現(xiàn),整體突然掉線,或者有不定時的部分機(jī)器掉線,再或者出現(xiàn)一臺一臺機(jī)器的掉線.而且一般情況下幾種掉線都會自動恢復(fù).那我非常熱切的恭喜您,您中獎啦.獎品是ARP欺騙. 不用高興也不用激動,因為這個獎項量很大,很朋友都在深受其意.ARP到底咋回事,這里咱說道說道.
* 為了一個朋友"忘憂草"特意再加一段,"不掉線,一切看似正常的ARP"
* 這幾天看到很多朋友都在提出一些網(wǎng)絡(luò)方案,詢問是否可以徹底解決ARP問題.還有朋友請求幫忙.
不在挨個說了,一起抓吧.(方案在最后)
ARP欺騙原理:
在同一NET內(nèi)的所以機(jī)器是通過MAC地址通訊。方法為,PC和另一臺設(shè)備通訊,PC會先尋找對方的IP地址,然后在通過ARP表(ARP表里面有所以可以通訊IP和IP所對應(yīng)的MAC地址)調(diào)出相應(yīng)的MAC地址。通過MAC地址與對方通訊。也就是說在內(nèi)網(wǎng)中各設(shè)備互相尋找和用來通訊的地址是MAC地址,而不是IP地址。
但是當(dāng)初ARP方式的設(shè)計沒有考慮到過多的安全問題。給ARP留下很多的隱患,ARP欺騙就是其中一個例子。
網(wǎng)內(nèi)的任何一臺機(jī)器都可以輕松的發(fā)送ARP廣播,來宣稱自己的IP和自己的MAC。這樣收到的機(jī)器都會在自己的ARP表格中建立一個他的ARP項,記錄他的IP和MAC地址。如果這個廣播是錯誤的其他機(jī)器也會接受。例如: 192。168。1。11機(jī)器MAC是 00:00:00:11:11:11,他在內(nèi)網(wǎng)廣播自己的IP地址是192。168。1。254(其實是路由器的IP),MAC地址是00:00:00:11:11:11(他自己的真實MAC).這樣大家會把給192。168。1。254的信息和發(fā)給00:00:00:11:11:11.也就是192。168。1。11..。 有了這個方法欺騙者只需要做一個軟件,就可以在內(nèi)網(wǎng)想騙誰就騙誰.而且軟件網(wǎng)上到處都是,隨便DWON隨便用.要多隨便有多隨便啊...
基于原理,ARP在技術(shù)上面又分為,對PC的欺騙和對路由的欺騙.他們的區(qū)別在后面的ARP解決里面仔細(xì)闡述.
ARP欺騙的起因:
網(wǎng)絡(luò)游戲興起后網(wǎng)絡(luò)盜號,木馬也跟著瘋狂。ARP欺騙就是一種很好的盜號方式。欺騙者利用自己在網(wǎng)吧上網(wǎng)時,先找到內(nèi)網(wǎng)網(wǎng)關(guān)的MAC地址,然后發(fā)送自己ARP欺騙,告送內(nèi)網(wǎng)所以的機(jī)器自己是網(wǎng)關(guān)。例如:192。168。1。55 MAC00-14-6c-18-58-5a 機(jī)器為欺騙者的盜號機(jī)器,首先,他會先找到內(nèi)網(wǎng)的網(wǎng)關(guān)(內(nèi)網(wǎng)網(wǎng)關(guān)為 192。168。1。1 MAC為XX.XX.XX.XX.XX.XX)。之后他就會發(fā)送ARP廣播,說自己的IP地址是192。168。1。1 MAC地址是00-14-6c-18-58-5a.這樣,內(nèi)網(wǎng)的所有收到他發(fā)信息得機(jī)器都會把它誤認(rèn)為內(nèi)網(wǎng)的網(wǎng)關(guān)。所有上網(wǎng)信息都會通過他的MAC地址發(fā)給這個機(jī)器,由于找不到真正的網(wǎng)關(guān),這些被騙的機(jī)器就無法上網(wǎng)。而發(fā)送的所有信息都會被這個盜號機(jī)器收到,通過分析收到的信息他可以在里面找到有用的信息,特別是有關(guān)于帳號的部分,從而得到正在游戲的玩家的帳號,發(fā)生盜號事件。
ARP的發(fā)現(xiàn):
那我們網(wǎng)吧出現(xiàn)掉線了,是否是ARP呢?如何去判斷.好,這里給出方法,但是請大家頂了再說.
ARP的通病就是掉線,在掉線的基礎(chǔ)上可以通過以下幾種方式判別,1。一般情況下不需要處理1分鐘之內(nèi)就可以回復(fù)正常上網(wǎng)。因為ARP欺騙是由時限,過了期限就會自動的回復(fù)正常。而且現(xiàn)在大多數(shù)路由器都會在很短時間內(nèi)不停廣播自己的正確ARP,使受騙的機(jī)器回復(fù)正常。但是如果出現(xiàn)攻擊性ARP欺騙(其實就是時間很短的量很大的欺騙ARP,1秒有個幾百上千的),他是不斷的通過非常大量ARP欺騙來阻止內(nèi)網(wǎng)機(jī)器上網(wǎng),即使路由器不斷廣播正確的包也會被他大量的錯誤信息給淹沒。2。打開被騙機(jī)器的DOS界面,輸入ARP -A命令會看到相關(guān)的ARP表,通過看到的網(wǎng)關(guān)的MAC地址可以去判別是否出現(xiàn)ARP欺騙,但是由于時限性,這個工作必須在機(jī)器回復(fù)正常之前完成。如果出現(xiàn)欺騙問題,ARP表里面會出現(xiàn)錯誤的網(wǎng)關(guān)MAC地址,和真實的網(wǎng)關(guān)MAC一對黑白立分.
ARP解決:
現(xiàn)在看到ARP解決方案,都感覺有點(diǎn)效率低下,而且不夠穩(wěn)定.本人對欣向路由較為了解,以他為例吧.
1.路由ARP廣播.
國內(nèi)部分硬件路由有此功能,最早是在欣向的路由里面發(fā)現(xiàn)這個功能.感覺不錯,挺有方法的,但是在軟路由里面好像還未發(fā)現(xiàn),軟路由的兄弟們加把勁啦.他的原理是路由器不間斷的廣播正確的路由器ARP.例如:路由器的IP是192.168.1.1 MAC:11:12:13:14:15:16,那他就會不停的每秒廣播自己的正確ARP.不管你內(nèi)網(wǎng)機(jī)器是否喜歡收,1秒收一個一秒收一個,收到了就改一次ARP表收到了就改一次ARP表.無窮無盡無止無息,子子孫孫無窮虧也.....如果出現(xiàn)ARP欺騙,欺騙者發(fā)出欺騙信息,PC剛收到欺騙信息就收到了正確信息.所以問題也就解決了.但是有個隱患,就是廣播風(fēng)暴的問題.不間斷的廣播是否會應(yīng)該內(nèi)網(wǎng)的網(wǎng)絡(luò)呢??? (帶著問題請教了國內(nèi)某廠家欣X的工程師,工程師很熱情的解除了我的疑惑,感謝一下先).以每秒次的頻率發(fā)送APR廣播在內(nèi)網(wǎng)是微乎其微的,因為任何一個機(jī)器都會有廣播發(fā)生,多一個ARP最多相當(dāng)于多幾臺機(jī)器的信息量,對內(nèi)網(wǎng)是不會有影響的.但是這種方式有他的問題,當(dāng)欺騙者加大欺騙ARP的頻率超過路由時(在欺騙軟件上面實現(xiàn)非常容易),還是會造成欺騙的效果.解決也應(yīng)該很簡單就是加大路由器的廣播頻率,但是欣X的工程師卻否定了這種方法,原因請看第2條.
2.超量路由ARP廣播.
近期發(fā)現(xiàn)個別路由廠家宣傳可以完全防止ARP問題.我抱著崇敬的心態(tài)去學(xué)習(xí)了一下處理方法,不得不讓人失望,是非常失望和痛心.所謂完全防止其實就是前面的路由ARP廣播,只是簡單的把頻率加大到每秒100.200.....次. 這種方法效果單看ARP方面確實比每秒一次要好.但是卻是得不償失,甚至有點(diǎn).....不說了,免得讓人罵.簡單給大家分析一下,每秒100為例吧,也就是說,路由器1秒時間會發(fā)出100個ARP廣播,200臺的電腦,每臺機(jī)器每秒處理100次.如果有10臺交換機(jī),就會有10個交換機(jī)處理100次.每次交換機(jī)都會把信息互相轉(zhuǎn)發(fā),這每秒ARP信息的處理量要按照10N次方*100去計算的.大家如果了解廣播的模式就會清楚,交換家之間會互相不停的傳遞信息,你發(fā)給大家,我收到了,還會發(fā)給大家.大家收到了還是要發(fā)給大家.這樣每臺PC最終收到的信息每秒要上萬條吧(這個量應(yīng)該只小沒大吧?).每秒都這樣干100次.不知道網(wǎng)絡(luò)內(nèi)部要成為什么樣子??PC的就沒事老維護(hù)ARP表就不干別的了嗎?為了一個ARP,7*24小時的折騰網(wǎng)絡(luò)值得嗎?網(wǎng)絡(luò)性能要降低多少啊.人滿時或者有點(diǎn)內(nèi)網(wǎng)的小攻擊時,網(wǎng)吧不癱瘓估計有點(diǎn)難啊,,,死字很容易寫啊.當(dāng)然平時你是感覺不到的.但是我要問一句想出此方法的工程師,你出這個方案,是為了解決問題嗎?
3.極力推薦的方法.靜態(tài)綁定.
ARP解決最有效的方法,就是從根本杜絕他的欺騙途徑。
欺騙是通過ARP的動態(tài)實時的規(guī)則欺騙內(nèi)網(wǎng)機(jī)器,所以我們把ARP全部設(shè)置為靜態(tài)可以根本解決對內(nèi)網(wǎng)PC的欺騙。
方法為:找到路由器的lan口的MAC地址,把MAC地址通過靜態(tài)的方式幫定到每臺PC上面。通過命令,ARP -S 可以實現(xiàn)。 首先,建立一個批處理文件。內(nèi)容只有一行命令,“ARP -S 內(nèi)網(wǎng)網(wǎng)關(guān) 網(wǎng)關(guān)的MAC地址 ”,例如:“ARP -S 192.168.1.1 00-13-32-33-12-11 ”.把批處理文件放到啟動里面,這樣每次開機(jī)都會執(zhí)行這個文件,即使出現(xiàn)ARP欺騙,由于我們設(shè)置的是靜態(tài)方式,PC也不會去理會欺騙的ARP.
如果設(shè)置成功會在PC上面通過執(zhí)行 arp -a 可以看到相關(guān)的提示:
Internet Address Physical Address Type(注意這里)
192.168.1.1 00-0f-7a-05-0d-a4 static(靜態(tài))
一般不綁定,在動態(tài)的情況下:
Internet Address Physical Address Type
192.168.1.1 00-0f-7a-05-0d-a4 dynamic(動態(tài))
ARP對路由的欺騙.
做了靜態(tài)綁定之后,為什么還會掉線呢?還是ARP嗎?不幸的是,還是ARP( ARP對路由欺騙).
因為有種情況下的問題,沒有得到解決.大家設(shè)想一下,現(xiàn)在的處理方法如果碰到欺騙者不是冒充網(wǎng)關(guān),而是冒充內(nèi)網(wǎng)的PC會如何呢?答案是掉線,冒充誰,誰掉線.因為路由器收到欺騙ARP后找不到你了,轉(zhuǎn)發(fā)給你的信息全部給了欺騙者的機(jī)器啦... 我們在PC上面可以綁定網(wǎng)關(guān).難道在路由上面也綁定PC嗎? 答案是否定的,難道我內(nèi)網(wǎng)每臺PC的MAC地址都在路由里面綁定,累死了,而且?guī)装賯€MAC地址看著就眼暈,而且如果有任何改動都需要調(diào)整路由器,幾百條記錄也太累了吧.針對這個問題對多臺設(shè)備進(jìn)行了測試,包括3個版本的軟路由,欣X,俠X,艾X等等的產(chǎn)品(大家也想測試的話,給當(dāng)?shù)氐膹S家代理商說你要試用,簡單啊).最終結(jié)果不盡人意,軟路由3種里面只有1種有可以解決的方法,而且是每臺綁定方法.3款硬路由有1款是可以完全防范,2款需要綁定(提醒大家,2款產(chǎn)品都有綁定數(shù)量的限制,超過數(shù)量無法解決,采購時注意詢問).對于1款可以防范的產(chǎn)品做了一些研究但是沒有結(jié)果,再次打通了欣X的工程師電話,請教處理方法.工程師給出了答案,欣X路由是采用的WINDRIVER的VxWORKSII的操作系統(tǒng).在效率與安全性要比免費(fèi)LINUX系統(tǒng)的強(qiáng)很多,這套2代的系統(tǒng)本身就可以維護(hù)一個數(shù)據(jù)庫,不從硬件的數(shù)據(jù)庫提取數(shù)據(jù),數(shù)據(jù)表內(nèi)容都是在PC上網(wǎng)時收集的,對于ARP欺騙根本就不予理睬,針對ARP對路由的欺騙在基礎(chǔ)上面就已經(jīng)給屏蔽了.而且內(nèi)網(wǎng)可以隨意的改動與調(diào)整...打住..有點(diǎn)象廠家稿子啦......
ARP的問題這里基本都提到了,如果還有想法請大家提出來.我們一起討論.......
后面在補(bǔ)充一種ARP欺騙的問題,他就是對交換機(jī),很多帶管理的交換機(jī)他們都有一張ARP表格需要維護(hù),而且通過這張表來提高數(shù)據(jù)的交換效率.如果出現(xiàn)ARP欺騙,交換機(jī)就無法給目標(biāo)IP發(fā)送數(shù)據(jù)啦,所以需要在交換機(jī)里面做靜態(tài)ARP綁定.
為什么會有不掉線,一切看似正常的ARP
大家是否出現(xiàn)過網(wǎng)吧丟游戲號,丟QQ號,丟錢包的問題呢?
特別是大面積的丟失帳號,很大部分就是ARP造成的.原理是:欺騙者,先騙了PC后騙了路由器.
這種情況下,PC把信息發(fā)給欺騙者,然后欺騙者把信息再轉(zhuǎn)發(fā)給路由器.當(dāng)欺騙者收
關(guān)鍵詞:ARP防范,ARP解決方案
閱讀本文后您有什么感想? 已有 人給出評價!
- 1
- 2
- 1
- 1
- 1
- 1