arp分析與解決

ARP的分析與解決.

如果您的網絡出現,整體突然掉線,或者有不定時的部分機器掉線,再或者出現一臺一臺機器的掉線.而且一般情況下幾種掉線都會自動恢復.那我非常熱切的恭喜您,您中獎啦.獎品是ARP欺騙.  不用高興也不用激動,因爲這個獎項量很大,很朋友都在深受其意.ARP到底咋回事,這裏咱說道說道.

爲了一個朋友"忘憂草"特意再加一段,"不掉線,一切看似正常的ARP"
    

ARP欺騙原理:
       在同一NET內的所以機器是通過MAC地址通訊。方法爲,PC和另一臺設備通訊,PC會先尋找對方的IP地址,然後在通過ARP表(ARP表裏面有所以可以通訊IP和IP所對應的MAC地址)調出相應的MAC地址。通過MAC地址與對方通訊。也就是說在內網中各設備互相尋找和用來通訊的地址是MAC地址,而不是IP地址。
      但是當初ARP方式的設計沒有考慮到過多的安全問題。給ARP留下很多的隱患,ARP欺騙就是其中一個例子。
      網內的任何一臺機器都可以輕鬆的發送ARP廣播,來宣稱自己的IP和自己的MAC。這樣收到的機器都會在自己的ARP表格中建立一個他的ARP項,記錄他的IP和MAC地址。如果這個廣播是錯誤的其他機器也會接受。例如: 192。168。1。11機器MAC是 00:00:00:11:11:11,他在內網廣播自己的IP地址是192。168。1。254(其實是路由器的IP),MAC地址是00:00:00:11:11:11(他自己的真實MAC).這樣大家會把給192。168。1。254的信息和發給00:00:00:11:11:11.也就是192。168。1。11..。 有了這個方法欺騙者只需要做一個軟件,就可以在內網想騙誰就騙誰.而且軟件網上到處都是,隨便DWON隨便用.要多隨便有多隨便啊...
       基於原理,ARP在技術上面又分爲,對PC的欺騙和對路由的欺騙.他們的區別在後面的ARP解決裏面仔細闡述.
    ARP欺騙的起因:
        網絡遊戲興起後網絡盜號,***也跟着瘋狂。ARP欺騙就是一種很好的盜號方式。欺騙者利用自己在網吧上網時,先找到內網網關的MAC地址,然後發送自己ARP欺騙,告送內網所以的機器自己是網關。例如:192。168。1。55 MAC00-14-6c-18-58-5a 機器爲欺騙者的盜號機器,首先,他會先找到內網的網關(內網網關爲 192。168。1。1  MAC爲XX.XX.XX.XX.XX.XX)。之後他就會發送ARP廣播,說自己的IP地址是192。168。1。1  MAC地址是00-14-6c-18-58-5a.這樣,內網的所有收到他發信息得機器都會把它誤認爲內網的網關。所有上網信息都會通過他的MAC地址發給這個機器,由於找不到真正的網關,這些被騙的機器就無法上網。而發送的所有信息都會被這個盜號機器收到,通過分析收到的信息他可以在裏面找到有用的信息,特別是有關於帳號的部分,從而得到正在遊戲的玩家的帳號,發生盜號事件。
    ARP的發現:
    那我們網吧出現掉線了,是否是ARP呢?如何去判斷.好,這裏給出方法,但是請大家頂了再說.


   [之後的內容未被屏蔽,回覆後可以查看]

    ARP的通病就是掉線,在掉線的基礎上可以通過以下幾種方式判別,1。一般情況下不需要處理1分鐘之內就可以回覆正常上網。因爲ARP欺騙是由時限,過了期限就會自動的回覆正常。而且現在大多數路由器都會在很短時間內不停廣播自己的正確ARP,使受騙的機器回覆正常。但是如果出現***性ARP欺騙(其實就是時間很短的量很大的欺騙ARP,1秒有個幾百上千的),他是不斷的通過非常大量ARP欺騙來阻止內網機器上網,即使路由器不斷廣播正確的包也會被他大量的錯誤信息給淹沒。2。打開被騙機器的DOS界面,輸入ARP -A命令會看到相關的ARP表,通過看到的網關的MAC地址可以去判別是否出現ARP欺騙,但是由於時限性,這個工作必須在機器回覆正常之前完成。如果出現欺騙問題,ARP表裏面會出現錯誤的網關MAC地址,和真實的網關MAC一對黑白立分.
   ARP解決:
     現在看到ARP解決方案,都感覺有點效率低下,而且不夠穩定.本人對欣向路由較爲了解,以他爲例吧. 
      國內部分硬件路由有此功能,最早是在欣向的路由裏面發現這個功能.感覺不錯,挺有方法的,但是在軟路由裏面好像還未發現,軟路由的兄弟們加把勁啦.他的原理是路由器不間斷的廣播正確的路由器ARP.例如:路由器的IP是192.168.1.1 MAC:11:12:13:14:15:16,那他就會不停的每秒廣播自己的正確ARP.不管你內網機器是否喜歡收,1秒收一個一秒收一個,收到了就改一次ARP表收到了就改一次ARP表.無窮無盡無止無息,子子孫孫無窮虧也.....如果出現ARP欺騙,欺騙者發出欺騙信息,PC剛收到欺騙信息就收到了正確信息.所以問題也就解決了.但是有個隱患,就是廣播風暴的問題.不間斷的廣播是否會應該內網的網絡呢??? (帶着問題請教了國內某廠家欣X的工程師,工程師很熱情的解除了我的疑惑,感謝一下先).以每秒次的頻率發送APR廣播在內網是微乎其微的,因爲任何一個機器都會有廣播發生,多一個ARP最多相當於多幾臺機器的信息量,對內網是不會有影響的.但是這種方式有他的問題,當欺騙者加大欺騙ARP的頻率超過路由時(在欺騙軟件上面實現非常容易),還是會造成欺騙的效果.解決也應該很簡單就是加大路由器的廣播頻率,但是欣X的工程師卻否定了這種方法,原因請看第2條.
    

2.超量路由ARP廣播.
      近期發現個別路由廠家宣傳可以完全防止ARP問題.我抱着崇敬的心態去學習了一下處理方法,不得不讓人失望,是非常失望和痛心.所謂完全防止其實就是前面的路由ARP廣播,只是簡單的把頻率加大到每秒100.200.....次. 這種方法效果單看ARP方面確實比每秒一次要好.但是卻是得不償失,甚至有點.....不說了,免得讓人罵.簡單給大家分析一下,每秒100爲例吧,也就是說,路由器1秒時間會發出100個ARP廣播,200臺的電腦,每臺機器每秒處理100次.如果有10臺交換機,就會有10個交換機處理100次.每次交換機都會把信息互相轉發,這每秒ARP信息的處理量要按照10N次方*100去計算的.大家如果瞭解廣播的模式就會清楚,交換家之間會互相不停的傳遞信息,你發給大家,我收到了,還會發給大家.大家收到了還是要發給大家.這樣每臺PC最終收到的信息每秒要上萬條吧(這個量應該只小沒大吧?).每秒都這樣幹100次.不知道網絡內部要成爲什麼樣子??PC的就沒事老維護ARP表就不幹別的了嗎?爲了一個ARP,7*24小時的折騰網絡值得嗎?網絡性能要降低多少啊.人滿時或者有點內網的小***時,網吧不癱瘓估計有點難啊,,,死字很容易寫啊.當然平時你是感覺不到的.但是我要問一句想出此方法的工程師,你出這個方案,是爲了解決問題嗎?
   

3.極力推薦的方法.靜態綁定.
     ARP解決最有效的方法,就是從根本杜絕他的欺騙途徑。
     欺騙是通過ARP的動態實時的規則欺騙內網機器,所以我們把ARP全部設置爲靜態可以根本解決對內網PC的欺騙。
     方法爲:找到路由器的lan口的MAC地址,把MAC地址通過靜態的方式幫定到每臺PC上面。通過命令,ARP -S 可以實現。 首先,建立一個批處理文件。內容只有一行命令,“ARP    -S     內網網關   網關的MAC地址 ”,例如:“ARP   -S    192.168.1.1       00-13-32-33-12-11   ”.把批處理文件放到啓動裏面,這樣每次開機都會執行這個文件,即使出現ARP欺騙,由於我們設置的是靜態方式,PC也不會去理會欺騙的ARP.


    如果設置成功會在PC上面通過執行  arp -a 可以看到相關的提示:
    Internet Address      Physical Address               Type(注意這裏)                     
     192.168.1.1          00-0f-7a-05-0d-a4            static(靜態)
      一般不綁定,在動態的情況下:
    Internet Address      Physical Address              Type
     192.168.1.1           00-0f-7a-05-0d-a4            dynamic(動態)


   ARP對路由的欺騙.
   做了靜態綁定之後,爲什麼還會掉線呢?還是ARP嗎?不幸的是,還是ARP( ARP對路由欺騙).
   因爲有種情況下的問題,沒有得到解決.大家設想一下,現在的處理方法如果碰到欺騙者不是冒充網關,而是冒充內網的PC會如何呢?答案是掉線,冒充誰,誰掉線.因爲路由器收到欺騙ARP後找不到你了,轉發給你的信息全部給了欺騙者的機器啦...  我們在PC上面可以綁定網關.難道在路由上面也綁定PC嗎?  答案是否定的,難道我內網每臺PC的MAC地址都在路由裏面綁定,累死了,而且幾百個MAC地址看着就眼暈,而且如果有任何改動都需要調整路由器,幾百條記錄也太累了吧.針對這個問題對多臺設備進行了測試,包括3個版本的軟路由,欣X,俠X,艾X等等的產品(大家也想測試的話,給當地的廠家代理商說你要試用,簡單啊).最終結果不盡人意,軟路由3種裏面只有1種有可以解決的方法,而且是每臺綁定方法.3款硬路由有1款是可以完全防範,2款需要綁定(提醒大家,2款產品都有綁定數量的限制,超過數量無法解決,採購時注意詢問).對於1款可以防範的產品做了一些研究但是沒有結果,再次打通了欣X的工程師電話,請教處理方法.工程師給出了答案,欣X路由是採用的WINDRIVER的VxWORKSII的操作系統.在效率與安全性要比免費LINUX系統的強很多,這套2代的系統本身就可以維護一個數據庫,不從硬件的數據庫提取數據,數據表內容都是在PC上網時收集的,對於ARP欺騙根本就不予理睬,針對ARP對路由的欺騙在基礎上面就已經給屏蔽了.而且內網可以隨意的改動與調整...打住..有點象廠家稿子啦......
ARP的問題這裏基本都提到了,如果還有想法請大家提出來.我們一起討論.......

      後面在補充一種ARP欺騙的問題,他就是對交換機,很多帶管理的交換機他們都有一張ARP表格需要維護,而且通過這張表來提高數據的交換效率.如果出現ARP欺騙,交換機就無法給目標IP發送數據啦,所以需要在交換機裏面做靜態ARP綁定.

爲什麼會有不掉線,一切看似正常的ARP     

      大家是否出現過網吧丟遊戲號,丟QQ號,丟錢包的問題呢?

      特別是大面積的丟失帳號,很大部分就是ARP造成的.原理是:欺騙者,先騙了PC後騙了路由器.

這種情況下,PC把信息發給欺騙者,然後欺騙者把信息再轉發給路由器.當欺騙者收到路由器回來的信息後再發給相對應的PC.這樣就可以再不影響內網PC正常上網情況下,截獲PC的上網信息,就可以盜你的遊戲帳號,盜你的qq號.偷你的錢包他就要換另一個方法了(下一篇文章着重討論防範偷錢包.)

大家問題的解決:

1。欣X不需要升級就可以解決ARP欺騙路由器的問題,因爲他可以本身就防範,原因就是用了VxWorks II,具體看前面就不詳細解決啦。另外,這裏重申一點大家容易進入的誤區...路由器發送ARP包解決ARP欺騙的方法,是很很笨拙,一秒幾百次ARP發送的方法更是..........

2。殺病毒還是重裝系統都沒有太多的意義,因爲你能保證不在感染嗎,能保證麼有人在網絡內主動運行嗎?

3。對於那些各類的SERVER,確實比較頭痛,因爲不論是LIUXN還是WINDOWS都要面臨各種內網的機器變動啊,調換啊之類的事情。但是有個好消息,欣向有一個類似網管的軟件,好象可以解決類似問題。以欣向的技術估計軟件不會差了。

4。有朋友提出改動內網PC的IP與MAC,設置爲與路由衝突,使路由DWON掉。這個問題超出了ARP的範疇。但是,你說的方法確實破壞力很強,我之前的軟路由確實很怕這個東西。但是用欣向的路由就沒事啦。

5.回覆255樓的兄弟: 你的問題是:新開的機器會很慢很卡,無法正常上網.但是本來開着的機器就很正常.

   答覆: 找高手幫你找一下是否已經被種了肉雞,如果找不到從新做系統

大家有問題繼續提,我會盡量和大家一起深入探討的。。。

追加欣向ARP工具,並介紹使用方法與技巧。

經過這2天的測試與使用,發現欣向的這個工具還是非常適應潮流地,是大家需要地,是不錯地,是個好同志地,是。。。。好了,先和大家探討一下如何使用。

這裏給大家推薦的工具包括:

1。欣向ARP工具。包括很全面的ARP防範的功能。(其中包括WinPcap_3_0.)

下載地址: http://www.nuqx.com/downcenter.asp

(試了1個小時,咱這論壇的上傳功能實在是不會玩,大家去欣向下吧。)

2。抓包看包工具。ethereal-setup-0.10.8。

http://www.ethereal.com/distribution/win32/ethereal-setup-0.10.8.exe

欣向ARP工具。(欣全向ARP工具.exe)

   共分5大功能 (軟件中所有需要保存文件的功能都會保存在軟件所在的目錄中)

1。IP/MAC清單

   a。選擇網卡。如果是單網卡不需要設置。如果是多網卡需要設置連接內網的那塊網卡。

    b。IP/MAC掃描。這裏會掃描目前網絡中所有的機器的IP與MAC地址。請在內網運行正常時掃描,因爲這個表格將作爲對之後ARP的參照。

    之後的功能都需要這個表格的支持,如果出現提示無法獲取IP或MAC時,就說明這裏的表格裏面沒有相應的數據。

2。ARP欺騙檢測

   這個功能會一直檢測內網是否有PC冒充表格內的IP.你可以把主要的IP設到檢測表格裏面,例如,路由器,電影服務器,等需要內網機器訪問的機器IP.

(補充")ARP欺騙記錄"表如何理解:

  " time":發現問題時的時間;   

  "sender":發送欺騙信息的IP或MAC;

   "Repeat":欺詐信息發送的次數; 

   " ARP info":是指發送欺騙信息的具體內容.如下面例子:

     time                  sender                  Repeat                      ARP info

22:22:22               192.168.1.22         1433                    192.168.1.1 is at 00:0e:03:22:02:e8

這條信息的意思是:在22:22:22的時間,檢測到由192.168.1.22發出的欺騙信息,已經發送了1433次,他發送的欺騙信息的內容是:192.168.1.1的MAC地址是00:0e:03:22:02:e8.

  打開檢測功能,如果出現針對表內IP的欺騙,會出現提示。可以按照提示查到內網的ARP欺騙的根源。提示一句,任何機器都可以冒充其他機器發送IP與MAC,所以即使提示出某個IP或MAC在發送欺騙信息,也未必是100%的準確。所有請不要以暴力解決某些問題。

3。主動維護(快速解決)

這個功能可以直接解決ARP欺騙的掉線問題,但是並不是理想方法。他的原理就在網絡內不停的廣播制定的IP的正確的MAC地址。

"制定維護對象"的表格裏面就是設置需要保護的IP。發包頻率就是每秒發送多少個正確的包給網絡內所有機器。強烈建議儘量少的廣播IP,儘量少的廣播頻率。一般設置1次就可以,如果沒有綁定IP的情況下,出現ARP欺騙,可以設置到50-100次,如果還有掉線可以設置更高,即可以實現快速解決ARP欺騙的問題。但是想真正解決ARP問題,還是請參照上面綁定方法。

4。欣向路由器日誌

收集欣向路由器的系統日誌,等功能。

5。抓包

網吧很少接觸到包級別的設置或問題。欣向的這個功能很可能把大家帶到一個新技術高度,但是對於包的分析比一般的問題要複雜很多了,但是卻可以提高對網絡的把控力。

大家通過抓到的包可以分析內網的各種問題。具體這裏不解釋啦,基本所有的TCP/IP問題都可以分析。

     抓包功能裏面的空白條是控制抓包規則的,ethereal軟件就是給大家分析包用的,大家把包文件直接拖到ethereal裏面就可以打開。ethereal即可以抓包也可以看包,如果有機會可以研究一下。


近期部分網吧反映頻繁斷線並且網速較慢

 
故障現象:
最近有部分網吧反映上網速度慢,易掉線.通過分析發現故障現象如下:
1 上網速度慢,網絡帶寬佔用比較多.
2 工作站一臺接着一臺的掉線,幾分鐘後又正常了!有時後全部掉線重起工作站又正常了!
3 網吧掉線頻繁但時間短,重啓設備後或者修改IP地址後恢復正常
4 網吧內部分工作站掉線!有些機器提示IP衝突!

  中國電信經過調查後確認:這種情況是由於一種名爲“網吧傳奇殺手Trojan.PSW.LMir.qh ” 的病毒爆發引起的。該病毒破解了《傳奇2》的加密解密算法,通過截取局域網中的數據包,然後分析《傳奇》遊戲通訊協議的方法截獲用戶的信息。運行這個病毒,就可以獲得整個局域網中傳奇玩家的詳細信息,盜取用戶帳號信息。當局域網內某臺工作站運行帶有ARP欺騙的***程序或外掛時,會欺騙局域網內所有主機和路由器,讓所有上網的流量必須經過病毒主機。其他用戶原來直接通過路由器上網現在轉由通過病毒主機上網,切換的時候用戶會斷一次線。切換到病毒主機上網後,如果用戶已經登陸了傳奇服務器,那麼病毒主機就會經常僞造斷線的假像,那麼用戶就得重新登錄傳奇服務器,這樣病毒主機就可以盜號了。

 

故障分析:
通過對故障現象的分析,初步判斷爲用戶局域網故障,可能因爲局域網內有網絡病毒暴發或者ARP***!或者局域網內有人用<網絡執法官><網絡剪刀手><P2P終結者><網路崗>進行掃描.***.控制IP或限速等...等

  由於ARP欺騙的***程序發作的時候會發出大量的數據包導致局域網通訊擁塞以及其自身處理能力的限制,用戶會感覺上網速度越來越慢。當ARP欺騙的***程序停止運行時,用戶會恢復從路由器上網,切換過程中用戶會再斷一次線。該ARP欺騙***程序一般都綁定在<遊戲外掛><遊戲加速器><遊戲作弊程序>內,並雙重加密很難被防火牆查殺!用戶在執行EXE文件格式的外掛時***已經不知不覺的運行了!
如何判斷局域網是否有ARP欺騙***? 
局域網內的任何一臺工作站上(服務器效果更好)上運行DOS終端程序(即開始--運行--cmd或者command),在DOS窗口運行arp -a 命令,顯示結果如下(具體運行結果網絡可能不完全一直):
C:\ >arp -a
Interface: 10.254.0.18 --- 0x2
Internet Address Physical Address Type
10.254.0.1 00-02-b3-46-3c-10 dynamic
10.254.0.20 00-08-74-f9-9c-87 dynamic
10.254.0.88 00-0d-87-64-d0-09 dynamic
10.254.0.200 00-08-74-fa-86-21 dynamic
10.254.0.28 00-08-74-f9-9c-87 dynamic
如果出現上面的顯示結果中的不同的IP對應同一mac地址時,說明網絡中已經有ARP ***程序的發生。可以分別在兩臺PC上運行 ipconfig /all 判斷到底是哪臺終端發生了ARP被欺騙的***。 

在路由器上也可以查出:



也可以用GetAllMac工具對網段實時掃描



點擊下載:  GetAllMac工具下載

解決辦法:
雙向幫定方案

就是從根本杜絕他的欺騙途徑。
欺騙是通過ARP的動態實時的規則欺騙內網機器,所以我們把ARP全部設置爲靜態可以根本解決對內網PC的欺騙。
方法爲:

(1)到路由器上將所有工作站的MAC地址綁定具體看動畫演示!點擊下載:路由器綁定IP動畫 還不明白就加QQ:365356181
(2)找到路由器的lan口的MAC地址,把MAC地址通過靜態的方式幫定到每臺PC上面。我們用 arp -s 192.168.0.1 00-07-E9-2A-95-AA BAT命令來實現做批處理文件放到啓動裏面,這樣每次開機都會執行這個文件,即使出現ARP欺騙,由於我們設置的是靜態方式,PC也不會去理會欺騙的ARP!如果設置成功會在PC上面通過執行 arp -a 可以看到相關的提示:
Internet Address Physical Address Type(注意這裏) 
192.168.1.1 00-0f-7a-05-0d-a4 static(靜態)
沒綁定的情況,在動態的情況下:
Internet Address Physical Address Type
192.168.1.1 00-0f-7a-05-0d-a4 dynamic(動態)      點擊下載:批處理文件 arp.bat裏的網關請根據自己的MAC地址來改!

(3)在工作站上打上防ARP欺騙免疫補丁!點擊下載:防ARP欺騙免疫補丁 將npf.sys這個文件複製到windows\system32\drivers裏面,將其他3個dll文件複製到windows\system32裏面將這4個文件屬性設爲只讀,也可以設定NTFS權限(安全)對當前用戶或veryone禁止刪除和修改!並可以防止局域網內運行<網絡執法官><網絡剪刀手><P2P終結者><網路崗>等...等



說明:
在企業局域網內有人用<網絡執法官><網絡剪刀手><P2P終結者><網路崗>進行掃描***或限速等...等 導致網絡環境不穩定!經常掉線!

解決方案:在局域網內做PPPOE 每臺機器都可以工作在不同的網段 具體做法看動畫 點擊下載:PPPOE動畫 數據傳輸用***比較安全!

***優勢:

例 總公司在臺灣 分公司在廣州由於局域網規模較小,同時考慮公司費用的問題,在臺灣總部的局域網架設***設備。對於客戶來說無需學會複雜的設置,不用擔心ADSL上網IP地址變動的問題,***本身做了最優化最安全的設置,只要接入INTERNET,馬上就可以和其他的局域網聯接在一起,從而使所有分公司的局域網和總部連接成一個大的局域網(每個局域網的網段必須不在同一網段),這樣,大家的工作就等於在一個局域網內工作了,可以運行各種系統,如臺灣總公司的IP地址爲192.168.0.2 分公司廣州用戶在電腦IE地址欄中輸入:\\192.168.0.2,就可以訪問臺灣總部IP地址爲192.168.0.2的服務器。即:虛擬專用隧道(***)



 

點擊下載:*** 設置錄像






本文出自 “多少往事” 博客,請務必保留此出處http://wythe.blog.51cto.com/918750/214515
發表評論
所有評論
還沒有人評論,想成為第一個評論的人麼? 請在上方評論欄輸入並且點擊發布.
相關文章