ARP的分析與解決.

如果您的網(wǎng)絡出現(xiàn),整體突然掉線,或者有不定時的部分機器掉線,再或者出現(xiàn)一臺一臺機器的掉線.而且一般情況下幾種掉線都會自動恢復.那我非常熱切的恭喜您,您中獎啦.獎品是ARP欺騙. 不用高興也不用激動,因為這個獎項量很大,很朋友都在深受其意.ARP到底咋回事,這里咱說道說道.

* 為了一個朋友"忘憂草"特意再加一段,"不掉線,一切看似正常的ARP"

* 這幾天看到很多朋友都在提出一些網(wǎng)絡方案,詢問是否可以徹底解決ARP問題.還有朋友請求幫忙.

不在挨個說了,一起抓吧.(方案在最后)

ARP欺騙原理:

在同一NET內的所以機器是通過MAC地址通訊。方法為，PC和另一臺設備通訊，PC會先尋找對方的IP地址，然后在通過ARP表（ARP表里面有所以可以通訊IP和IP所對應的MAC地址）調出相應的MAC地址。通過MAC地址與對方通訊。也就是說在內網(wǎng)中各設備互相尋找和用來通訊的地址是MAC地址，而不是IP地址。

但是當初ARP方式的設計沒有考慮到過多的安全問題。給ARP留下很多的隱患，ARP欺騙就是其中一個例子。

網(wǎng)內的任何一臺機器都可以輕松的發(fā)送ARP廣播，來宣稱自己的IP和自己的MAC。這樣收到的機器都會在自己的ARP表格中建立一個他的ARP項，記錄他的IP和MAC地址。如果這個廣播是錯誤的其他機器也會接受。例如： 192。168。1。11機器MAC是 00:00:00:11:11:11,他在內網(wǎng)廣播自己的IP地址是192。168。1。254(其實是路由器的IP)，MAC地址是00:00:00:11:11:11(他自己的真實MAC).這樣大家會把給192。168。1。254的信息和發(fā)給00:00:00:11:11:11.也就是192。168。1。11..。 有了這個方法欺騙者只需要做一個軟件,就可以在內網(wǎng)想騙誰就騙誰.而且軟件網(wǎng)上到處都是,隨便DWON隨便用.要多隨便有多隨便啊...

基于原理,ARP在技術上面又分為,對PC的欺騙和對路由的欺騙.他們的區(qū)別在后面的ARP解決里面仔細闡述.

ARP欺騙的起因：

網(wǎng)絡游戲興起后網(wǎng)絡盜號，木馬也跟著瘋狂。ARP欺騙就是一種很好的盜號方式。欺騙者利用自己在網(wǎng)吧上網(wǎng)時，先找到內網(wǎng)網(wǎng)關的MAC地址，然后發(fā)送自己ARP欺騙，告送內網(wǎng)所以的機器自己是網(wǎng)關。例如：192。168。1。55 MAC00-14-6c-18-58-5a 機器為欺騙者的盜號機器，首先，他會先找到內網(wǎng)的網(wǎng)關（內網(wǎng)網(wǎng)關為 192。168。1。1 MAC為XX.XX.XX.XX.XX.XX）。之后他就會發(fā)送ARP廣播，說自己的IP地址是192。168。1。1 MAC地址是00-14-6c-18-58-5a.這樣，內網(wǎng)的所有收到他發(fā)信息得機器都會把它誤認為內網(wǎng)的網(wǎng)關。所有上網(wǎng)信息都會通過他的MAC地址發(fā)給這個機器，由于找不到真正的網(wǎng)關，這些被騙的機器就無法上網(wǎng)。而發(fā)送的所有信息都會被這個盜號機器收到，通過分析收到的信息他可以在里面找到有用的信息，特別是有關于帳號的部分，從而得到正在游戲的玩家的帳號，發(fā)生盜號事件。

ARP的發(fā)現(xiàn)：

那我們網(wǎng)吧出現(xiàn)掉線了,是否是ARP呢?如何去判斷.好,這里給出方法,但是請大家頂了再說.

ARP的通病就是掉線,在掉線的基礎上可以通過以下幾種方式判別，1。一般情況下不需要處理1分鐘之內就可以回復正常上網(wǎng)。因為ARP欺騙是由時限，過了期限就會自動的回復正常。而且現(xiàn)在大多數(shù)路由器都會在很短時間內不停廣播自己的正確ARP，使受騙的機器回復正常。但是如果出現(xiàn)攻擊性ARP欺騙(其實就是時間很短的量很大的欺騙ARP,1秒有個幾百上千的)，他是不斷的通過非常大量ARP欺騙來阻止內網(wǎng)機器上網(wǎng)，即使路由器不斷廣播正確的包也會被他大量的錯誤信息給淹沒。2。打開被騙機器的DOS界面，輸入ARP -A命令會看到相關的ARP表，通過看到的網(wǎng)關的MAC地址可以去判別是否出現(xiàn)ARP欺騙，但是由于時限性，這個工作必須在機器回復正常之前完成。如果出現(xiàn)欺騙問題,ARP表里面會出現(xiàn)錯誤的網(wǎng)關MAC地址,和真實的網(wǎng)關MAC一對黑白立分.

ARP解決：

現(xiàn)在看到ARP解決方案,都感覺有點效率低下,而且不夠穩(wěn)定.本人對欣向路由較為了解,以他為例吧.

1.路由ARP廣播.

國內部分硬件路由有此功能,最早是在欣向的路由里面發(fā)現(xiàn)這個功能.感覺不錯,挺有方法的,但是在軟路由里面好像還未發(fā)現(xiàn),軟路由的兄弟們加把勁啦.他的原理是路由器不間斷的廣播正確的路由器ARP.例如:路由器的IP是192.168.1.1 MAC:11:12:13:14:15:16,那他就會不停的每秒廣播自己的正確ARP.不管你內網(wǎng)機器是否喜歡收,1秒收一個一秒收一個,收到了就改一次ARP表收到了就改一次ARP表.無窮無盡無止無息,子子孫孫無窮虧也.....如果出現(xiàn)ARP欺騙,欺騙者發(fā)出欺騙信息,PC剛收到欺騙信息就收到了正確信息.所以問題也就解決了.但是有個隱患,就是廣播風暴的問題.不間斷的廣播是否會應該內網(wǎng)的網(wǎng)絡呢??? (帶著問題請教了國內某廠家欣X的工程師,工程師很熱情的解除了我的疑惑,感謝一下先).以每秒次的頻率發(fā)送APR廣播在內網(wǎng)是微乎其微的,因為任何一個機器都會有廣播發(fā)生,多一個ARP最多相當于多幾臺機器的信息量,對內網(wǎng)是不會有影響的.但是這種方式有他的問題,當欺騙者加大欺騙ARP的頻率超過路由時(在欺騙軟件上面實現(xiàn)非常容易),還是會造成欺騙的效果.解決也應該很簡單就是加大路由器的廣播頻率,但是欣X的工程師卻否定了這種方法,原因請看第2條.

2.超量路由ARP廣播.

近期發(fā)現(xiàn)個別路由廠家宣傳可以完全防止ARP問題.我抱著崇敬的心態(tài)去學習了一下處理方法,不得不讓人失望,是非常失望和痛心.所謂完全防止其實就是前面的路由ARP廣播,只是簡單的把頻率加大到每秒100.200.....次. 這種方法效果單看ARP方面確實比每秒一次要好.但是卻是得不償失,甚至有點.....不說了,免得讓人罵.簡單給大家分析一下,每秒100為例吧,也就是說,路由器1秒時間會發(fā)出100個ARP廣播,200臺的電腦,每臺機器每秒處理100次.如果有10臺交換機,就會有10個交換機處理100次.每次交換機都會把信息互相轉發(fā),這每秒ARP信息的處理量要按照10N次方＊100去計算的.大家如果了解廣播的模式就會清楚,交換家之間會互相不停的傳遞信息,你發(fā)給大家,我收到了,還會發(fā)給大家.大家收到了還是要發(fā)給大家.這樣每臺PC最終收到的信息每秒要上萬條吧(這個量應該只小沒大吧?).每秒都這樣干100次.不知道網(wǎng)絡內部要成為什么樣子??PC的就沒事老維護ARP表就不干別的了嗎?為了一個ARP,7*24小時的折騰網(wǎng)絡值得嗎?網(wǎng)絡性能要降低多少啊.人滿時或者有點內網(wǎng)的小攻擊時,網(wǎng)吧不癱瘓估計有點難啊,,,死字很容易寫啊.當然平時你是感覺不到的.但是我要問一句想出此方法的工程師,你出這個方案,是為了解決問題嗎?

3.極力推薦的方法.靜態(tài)綁定.

ARP解決最有效的方法，就是從根本杜絕他的欺騙途徑。

欺騙是通過ARP的動態(tài)實時的規(guī)則欺騙內網(wǎng)機器，所以我們把ARP全部設置為靜態(tài)可以根本解決對內網(wǎng)PC的欺騙。

方法為：找到路由器的lan口的MAC地址，把MAC地址通過靜態(tài)的方式幫定到每臺PC上面。通過命令，ARP -S 可以實現(xiàn)。 首先，建立一個批處理文件。內容只有一行命令，“ARP -S 內網(wǎng)網(wǎng)關 網(wǎng)關的MAC地址 ”，例如：“ARP -S 192.168.1.1 00-13-32-33-12-11 ”.把批處理文件放到啟動里面,這樣每次開機都會執(zhí)行這個文件,即使出現(xiàn)ARP欺騙,由于我們設置的是靜態(tài)方式,PC也不會去理會欺騙的ARP.

如果設置成功會在PC上面通過執(zhí)行 arp -a 可以看到相關的提示:

Internet Address Physical Address Type(注意這里)

192.168.1.1 00-0f-7a-05-0d-a4 static(靜態(tài))

一般不綁定,在動態(tài)的情況下:

Internet Address Physical Address Type

192.168.1.1 00-0f-7a-05-0d-a4 dynamic(動態(tài))

ARP對路由的欺騙.

做了靜態(tài)綁定之后,為什么還會掉線呢?還是ARP嗎?不幸的是,還是ARP( ARP對路由欺騙).

因為有種情況下的問題,沒有得到解決.大家設想一下,現(xiàn)在的處理方法如果碰到欺騙者不是冒充網(wǎng)關,而是冒充內網(wǎng)的PC會如何呢?答案是掉線,冒充誰,誰掉線.因為路由器收到欺騙ARP后找不到你了,轉發(fā)給你的信息全部給了欺騙者的機器啦... 我們在PC上面可以綁定網(wǎng)關.難道在路由上面也綁定PC嗎? 答案是否定的,難道我內網(wǎng)每臺PC的MAC地址都在路由里面綁定,累死了,而且?guī)装賯€MAC地址看著就眼暈,而且如果有任何改動都需要調整路由器,幾百條記錄也太累了吧.針對這個問題對多臺設備進行了測試,包括3個版本的軟路由,欣X,俠X,艾X等等的產(chǎn)品(大家也想測試的話,給當?shù)氐膹S家代理商說你要試用,簡單啊).最終結果不盡人意,軟路由3種里面只有1種有可以解決的方法,而且是每臺綁定方法.3款硬路由有1款是可以完全防范,2款需要綁定(提醒大家,2款產(chǎn)品都有綁定數(shù)量的限制,超過數(shù)量無法解決,采購時注意詢問).對于1款可以防范的產(chǎn)品做了一些研究但是沒有結果,再次打通了欣X的工程師電話,請教處理方法.工程師給出了答案,欣X路由是采用的WINDRIVER的VxWORKSII的操作系統(tǒng).在效率與安全性要比免費LINUX系統(tǒng)的強很多,這套2代的系統(tǒng)本身就可以維護一個數(shù)據(jù)庫,不從硬件的數(shù)據(jù)庫提取數(shù)據(jù),數(shù)據(jù)表內容都是在PC上網(wǎng)時收集的,對于ARP欺騙根本就不予理睬,針對ARP對路由的欺騙在基礎上面就已經(jīng)給屏蔽了.而且內網(wǎng)可以隨意的改動與調整...打住..有點象廠家稿子啦......

ARP的問題這里基本都提到了,如果還有想法請大家提出來.我們一起討論.......

后面在補充一種ARP欺騙的問題,他就是對交換機,很多帶管理的交換機他們都有一張ARP表格需要維護,而且通過這張表來提高數(shù)據(jù)的交換效率.如果出現(xiàn)ARP欺騙,交換機就無法給目標IP發(fā)送數(shù)據(jù)啦,所以需要在交換機里面做靜態(tài)ARP綁定.

為什么會有不掉線,一切看似正常的ARP

大家是否出現(xiàn)過網(wǎng)吧丟游戲號,丟QQ號,丟錢包的問題呢?

特別是大面積的丟失帳號,很大部分就是ARP造成的.原理是:欺騙者,先騙了PC后騙了路由器.

這種情況下,PC把信息發(fā)給欺騙者,然后欺騙者把信息再轉發(fā)給路由器.當欺騙者收