ARP的（de）分析與解決.

如果您的網絡出現（xiàn）,整體突然掉線（xiàn）,或（huò）者（zhě）有不定時的部（bù）分（fèn）機器掉線（xiàn）,再或者出現一（yī）台一台機器的掉（diào）線.而且一（yī）般（bān）情況下幾種（zhǒng）掉（diào）線（xiàn）都會自動恢複.那我非常熱切（qiē）的恭（gōng）喜（xǐ）您,您（nín）中獎啦.獎品是ARP欺騙. 不用高（gāo）興也不用激動,因（yīn）為這個（gè）獎項量很（hěn）大,很朋友都（dōu）在深（shēn）受其意.ARP到底咋回事（shì）,這裏咱說道說道.

* 為（wéi）了一個（gè）朋友"忘憂草"特（tè）意再加一段,"不掉（diào）線,一切看似正常的ARP"

* 這幾天看到很多（duō）朋友都在提出一些網絡（luò）方案,詢問（wèn）是否可以徹底解決ARP問（wèn）題（tí）.還有朋（péng）友請求幫忙（máng）.

不在挨（āi）個說了,一起抓吧.(方案在最後)

ARP欺騙原理:

在同一NET內的所（suǒ）以機器是（shì）通過MAC地址（zhǐ）通訊。方（fāng）法為，PC和（hé）另一台設備通（tōng）訊（xùn），PC會先尋（xún）找對方的IP地址（zhǐ），然後在通過ARP表（ARP表（biǎo）裏麵（miàn）有所（suǒ）以可以通訊IP和IP所對應的MAC地（dì）址）調出（chū）相應的MAC地址（zhǐ）。通過MAC地址與（yǔ）對方通訊。也就是（shì）說在內（nèi）網中各設備（bèi）互（hù）相尋找（zhǎo）和用（yòng）來（lái）通訊的地址是MAC地（dì）址，而不是IP地址。

但是（shì）當（dāng）初ARP方式的設計沒有考慮到過（guò）多的安全問題。給ARP留（liú）下（xià）很多的隱患，ARP欺騙就是（shì）其（qí）中一個例子。

網內的（de）任何（hé）一台機（jī）器都（dōu）可以輕鬆的（de）發送（sòng）ARP廣播，來宣稱自己的IP和自己（jǐ）的（de）MAC。這（zhè）樣收（shōu）到的機器都（dōu）會在自己的ARP表格中建立一個他的ARP項，記錄他的IP和MAC地（dì）址（zhǐ）。如果這（zhè）個廣播是（shì）錯誤的其他機器（qì）也會接受。例如： 192。168。1。11機器MAC是 00:00:00:11:11:11,他在（zài）內網廣播自己的IP地址是192。168。1。254(其實是路（lù）由器的IP)，MAC地址（zhǐ）是00:00:00:11:11:11(他自己的真實MAC).這（zhè）樣大家（jiā）會把給192。168。1。254的信息和發給00:00:00:11:11:11.也（yě）就（jiù）是192。168。1。11..。 有了這個方（fāng）法欺（qī）騙者隻需要做一個軟（ruǎn）件,就可以在內網想騙誰就（jiù）騙誰.而且軟件網上到處都是,隨便DWON隨便用.要多隨便（biàn）有（yǒu）多隨便啊...

基於（yú）原（yuán）理,ARP在技（jì）術上麵又分（fèn）為,對PC的欺騙和對（duì）路由的欺騙.他們的區別在後麵的（de）ARP解決裏麵仔細闡述.

ARP欺騙的起因（yīn）：

網絡遊戲興起後網絡盜號，木馬（mǎ）也跟著瘋狂。ARP欺騙就（jiù）是一種很好的盜號（hào）方式（shì）。欺騙者利用自己在網吧上網時，先找到內網網關的（de）MAC地址，然後（hòu）發送（sòng）自己ARP欺騙，告送內網（wǎng）所以的（de）機器（qì）自己是網關。例如：192。168。1。55 MAC00-14-6c-18-58-5a 機器為欺騙者（zhě）的盜（dào）號（hào）機器，首（shǒu）先，他會先（xiān）找到（dào）內網的（de）網關（內（nèi）網（wǎng）網關為 192。168。1。1 MAC為XX.XX.XX.XX.XX.XX）。之後（hòu）他就會發送ARP廣播，說自己的IP地址是192。168。1。1 MAC地（dì）址是00-14-6c-18-58-5a.這樣，內（nèi）網的所有收到他發信息（xī）得機器（qì）都會把它（tā）誤認為內網的網關。所有（yǒu）上網信息（xī）都會通過（guò）他（tā）的（de）MAC地址發給這個（gè）機（jī）器（qì），由於找不（bú）到真（zhēn）正的網（wǎng）關（guān），這（zhè）些被騙的機器就無法上網。而發（fā）送的所有信息都會被（bèi）這個盜號機器收到，通過分析收到的信息（xī）他可以在裏麵找（zhǎo）到有用的信息，特別是有關（guān）於帳號的（de）部分，從而得到（dào）正在（zài）遊戲的玩家的帳號，發生（shēng）盜號事件。

ARP的發現（xiàn）：

那我們（men）網吧出現掉線了,是否（fǒu）是ARP呢?如何（hé）去判斷.好,這裏給出方法（fǎ）,但（dàn）是請大家頂了再說.

ARP的通病就是掉線（xiàn）,在掉線的基礎上（shàng）可以通（tōng）過以下幾種方式判別（bié），1。一般情況（kuàng）下不需要處理1分鍾之（zhī）內就可（kě）以回複正常上網。因為ARP欺騙是（shì）由時（shí）限，過了期（qī）限就會自動的回（huí）複正常。而且（qiě）現（xiàn）在大多數路由器都會在（zài）很短時間內（nèi）不停廣播自己（jǐ）的正確（què）ARP，使受騙的機（jī）器回複正常（cháng）。但是如果出現攻擊性ARP欺騙(其（qí）實就是時間很短的量很（hěn）大（dà）的欺騙ARP,1秒有個幾百上千（qiān）的)，他是不斷的（de）通過非（fēi）常（cháng）大量（liàng）ARP欺騙來阻止（zhǐ）內網機器上網，即（jí）使路由器不（bú）斷廣播正（zhèng）確的包也（yě）會被他大量的（de）錯誤信息給淹（yān）沒。2。打開被騙機器的DOS界麵（miàn），輸入ARP -A命令會看到相關的ARP表，通過（guò）看到的網關的MAC地址（zhǐ）可以去判別是否出現（xiàn）ARP欺騙，但（dàn）是由於時限性，這個工作必須在機器回複（fù）正（zhèng）常之前完成。如果出現欺（qī）騙問題（tí）,ARP表裏麵會出（chū）現錯誤的（de）網關MAC地址,和真實的網（wǎng）關MAC一（yī）對黑白立分.

ARP解決：

現在看到ARP解決方案（àn）,都感（gǎn）覺有（yǒu）點效率低（dī）下（xià）,而且不夠穩定.本人對（duì）欣向路由較為（wéi）了（le）解,以（yǐ）他為（wéi）例吧.

1.路由（yóu）ARP廣播.

國內部分（fèn）硬件路由有此（cǐ）功能,最早（zǎo）是在欣向的（de）路（lù）由裏麵發（fā）現這個功能.感（gǎn）覺（jiào）不（bú）錯,挺有方法的,但是在軟路由裏麵好像還未發（fā）現（xiàn）,軟路由的兄弟們加把勁啦.他的原理是路由器不間斷的廣（guǎng）播正確的路由器ARP.例（lì）如:路由器的IP是192.168.1.1 MAC:11:12:13:14:15:16,那他就會不（bú）停的每秒廣播（bō）自己的正確ARP.不管你內網機器是否喜歡收,1秒收一個一秒（miǎo）收一個（gè）,收到了（le）就改一次（cì）ARP表收到了就改一（yī）次ARP表.無窮無盡無止無息,子（zǐ）子孫（sūn）孫無窮虧也.....如果（guǒ）出（chū）現ARP欺騙,欺騙者發出欺騙信息,PC剛收到欺（qī）騙信息就收到了正（zhèng）確信息.所以問題也就解決了.但是有個（gè）隱患（huàn）,就是（shì）廣播風（fēng）暴的問題.不間斷的廣播是否會應該內網（wǎng）的（de）網絡（luò）呢??? (帶著問題請教了國內某廠家欣X的工程師,工程師很熱情的解除了我的疑惑,感謝一下先).以每（měi）秒次的頻率發送APR廣播在內網是微乎其微的,因為（wéi）任何一個機器都會有廣播發生（shēng）,多一個ARP最多相當於多幾台機（jī）器的（de）信息量,對內網是不會有影響的.但是這種方式有他的問題,當欺騙者加大欺騙ARP的（de）頻率超過路由時（shí）(在欺騙軟件（jiàn）上麵實現非常容（róng）易（yì）),還是會造成欺騙（piàn）的效果.解決也應該很簡單就是加大路由器的廣播（bō）頻（pín）率（lǜ）,但（dàn）是欣X的工（gōng）程師卻（què）否定了這種方法（fǎ）,原因請看（kàn）第2條.

2.超量路由ARP廣播.

近（jìn）期發（fā）現個別（bié）路由廠家宣傳（chuán）可以完全防止（zhǐ）ARP問（wèn）題.我抱著崇敬的心態去（qù）學習了一下處理（lǐ）方法（fǎ）,不得不讓人失望,是非常失望和（hé）痛心.所謂完全（quán）防止其實就是前麵（miàn）的路由ARP廣播,隻是簡單的把頻率加大到（dào）每秒100.200.....次. 這（zhè）種方法效果單（dān）看（kàn）ARP方麵（miàn）確實（shí）比每秒一次要好.但是卻是（shì）得不償失,甚至有（yǒu）點.....不說（shuō）了,免得讓人罵.簡單給大家分析一下,每（měi）秒（miǎo）100為（wéi）例吧,也就是（shì）說,路由器1秒時間會發出100個（gè）ARP廣播,200台的電腦（nǎo）,每台機器（qì）每（měi）秒處（chù）理100次.如果有10台交換（huàn）機,就會有（yǒu）10個交換（huàn）機處（chù）理100次.每（měi）次交換機（jī）都會把信息（xī）互相轉發,這每秒ARP信息的處理量要按照10N次方＊100去（qù）計算的.大家如果了（le）解（jiě）廣播的模式就會清楚,交換家之間會（huì）互相不（bú）停的傳（chuán）遞信（xìn）息,你發（fā）給大家,我收到了,還會發給大家.大（dà）家收到了還是（shì）要發給大家.這樣每台PC最終收到的（de）信息每秒（miǎo）要上萬條吧(這（zhè）個量應該隻小沒大吧?).每秒都這樣幹100次.不知道（dào）網絡內（nèi）部要成（chéng）為什麽樣子??PC的（de）就沒事老維護ARP表就不幹別的了嗎?為（wéi）了一個ARP,7*24小時的折騰網絡值得嗎?網絡性能要降低多少啊.人滿（mǎn）時或（huò）者（zhě）有點（diǎn）內網的小攻擊時,網吧不癱瘓估計有點難（nán）啊（ā）,,,死字很容易寫啊（ā）.當然平時你是感覺不到的（de）.但（dàn）是（shì）我要問一句想出此方（fāng）法（fǎ）的工程師,你出（chū）這個（gè）方（fāng）案,是為了解決（jué）問題嗎?

3.極力（lì）推（tuī）薦的方法（fǎ）.靜態綁（bǎng）定.

ARP解決最有效的方法，就是從根本杜絕他的（de）欺騙途（tú）徑。

欺騙是通過ARP的動態實時的規則欺騙內網機（jī）器，所以我們把（bǎ）ARP全部設（shè）置為靜態可以根本解決對內網（wǎng）PC的欺騙（piàn）。

方法為：找（zhǎo）到路由器的lan口的（de）MAC地址，把MAC地址（zhǐ）通過靜態（tài）的（de）方式幫定到每台PC上麵（miàn）。通過命（mìng）令，ARP -S 可以實（shí）現。 首（shǒu）先，建立一（yī）個批處（chù）理文（wén）件。內（nèi）容隻（zhī）有一行命令（lìng），“ARP -S 內網網關 網關的MAC地（dì）址（zhǐ） ”，例如：“ARP -S 192.168.1.1 00-13-32-33-12-11 ”.把批處理文件放到啟動（dòng）裏麵,這樣每次開（kāi）機（jī）都會執行這個文件,即使出現（xiàn）ARP欺騙,由於我們設置的是（shì）靜態方式,PC也不會去理會欺（qī）騙（piàn）的ARP.

如果設置（zhì）成功會在PC上麵通過執行 arp -a 可以看（kàn）到相關的提示:

Internet Address Physical Address Type(注（zhù）意這（zhè）裏)

192.168.1.1 00-0f-7a-05-0d-a4 static(靜態（tài）)

一（yī）般不綁定,在動（dòng）態的情況下:

Internet Address Physical Address Type

192.168.1.1 00-0f-7a-05-0d-a4 dynamic(動（dòng）態（tài）)

ARP對路由的欺騙.

做了靜態綁定之後,為什麽（me）還會掉線呢（ne）?還是ARP嗎?不幸的是,還是（shì）ARP( ARP對路由欺（qī）騙).

因為有種情況下的問題,沒（méi）有得到解決.大（dà）家設想一下,現在的處理方法如果（guǒ）碰（pèng）到欺騙者不（bú）是冒充網關,而是冒充內網的PC會（huì）如何呢?答案是掉線（xiàn）,冒充誰,誰掉線.因（yīn）為路由器收到欺騙ARP後找不到你了,轉發給你的（de）信息全部給了欺騙者的機器（qì）啦... 我們在PC上麵可以綁定網（wǎng）關.難道在路由上麵也綁定PC嗎? 答案是否定的,難道我內（nèi）網每台PC的MAC地址都在路由裏麵綁定,累死了,而且（qiě）幾百個（gè）MAC地址看著就眼暈,而且如果（guǒ）有任何改動都需要調整路（lù）由器,幾（jǐ）百條記錄也太（tài）累了吧.針對（duì）這個問（wèn）題對多台設備進行了測試,包括3個版本的軟路由,欣X,俠X,艾X等等的（de）產品(大（dà）家（jiā）也想（xiǎng）測試的話,給當地的廠家代理商（shāng）說你（nǐ）要試用（yòng）,簡（jiǎn）單啊).最終結果不盡人意,軟路由3種裏（lǐ）麵隻（zhī）有1種有可（kě）以解決的方法,而（ér）且是每台綁定（dìng）方法.3款（kuǎn）硬路由有1款是可以完全（quán）防範（fàn）,2款需（xū）要綁定(提醒（xǐng）大家（jiā）,2款產品都有綁定數量的限（xiàn）製,超過數量無法解決,采購時（shí）注意詢（xún）問).對於1款可以防範的產品做了一些研（yán）究但是（shì）沒有結果,再次打通了（le）欣X的（de）工程師電話,請教處理方（fāng）法.工程師給出了答案（àn）,欣X路由是采用的WINDRIVER的VxWORKSII的（de）操作（zuò）係（xì）統.在效（xiào）率與（yǔ）安全（quán）性要（yào）比免（miǎn）費LINUX係統的強很多,這套2代的係（xì）統本身就可（kě）以維護一個數據（jù）庫,不從硬件（jiàn）的數據庫提取數（shù）據,數（shù）據表內容（róng）都是在PC上網時收集的,對於ARP欺（qī）騙根本就不（bú）予理睬,針（zhēn）對ARP對（duì）路由的欺騙在基礎上麵就已經給屏蔽了.而且內網（wǎng）可（kě）以隨意的（de）改動與（yǔ）調整...打住..有點象廠家（jiā）稿子啦（lā）......

ARP的問題這裏基本都提到（dào）了,如果還有想法請（qǐng）大家（jiā）提出來（lái）.我們一起討論.......

後（hòu）麵在補（bǔ）充（chōng）一種ARP欺騙的問題,他就是（shì）對交換機,很多（duō）帶管理的交換機他們都有（yǒu）一張ARP表格需要維護,而（ér）且（qiě）通過這張表來提高數據的交（jiāo）換效率.如果出現ARP欺騙（piàn）,交換機就無法給目標IP發（fā）送數據啦,所以需（xū）要在交換機裏麵（miàn）做靜（jìng）態（tài）ARP綁定.

為（wéi）什麽會有（yǒu）不掉線,一切看（kàn）似正常的ARP

大家是否出現（xiàn）過網吧丟遊（yóu）戲號,丟QQ號,丟錢包的問題呢?

特別是大（dà）麵（miàn）積的丟失帳（zhàng）號（hào）,很大部分就是ARP造成的.原（yuán）理（lǐ）是:欺（qī）騙者,先騙（piàn）了PC後騙了路由器.

這種情況下,PC把（bǎ）信（xìn）息（xī）發給欺騙者（zhě）,然後欺騙（piàn）者把信息再轉發給路（lù）由器.當欺騙者（zhě）收