ARP的分析与解决.

如果您【nín】的网络出现,整体突然掉线【rán diào xiàn】,或者有不定时【bú dìng shí】的部分🤯机器掉线【diào xiàn】,再或者出现一✨台一台【tái yī tái】机器的🍡掉线【diào xiàn】.而且一🕎般情况【bān qíng kuàng】下几种掉线【diào xiàn】都会自动恢复【huī fù】.那我非常热切💐的恭喜【de gōng xǐ】🧥您【nín】,您【nín】中奖✖啦🔝.奖品是🚋ARP欺骗🥔. 不用高兴也不🌙用激动,因为这个奖项【gè jiǎng xiàng】量很大【liàng hěn dà】🚉,很朋友【hěn péng yǒu】都在深受其意.ARP到底咋回事,这里咱【zhè lǐ zán】说道说🐙道.

* 为了一【wéi le yī】👦个朋友"忘忧草【wàng yōu cǎo】"特意再📔加一段,"不掉线,一切看似正常【sì zhèng cháng】🍓的ARP"

* 这几天🐚看到很🎵多朋友都在提【dōu zài tí】出一些【chū yī xiē】网络方【wǎng luò fāng】案,询问是🐂否可以彻底解决ARP问题【wèn tí】.还有朋友请求🙇帮忙【bāng máng】🆔.

不在挨个说了,一起抓吧.(方案在最后)

ARP欺骗原理:

在同一NET内的【de】所以机器🐃是通过🏽MAC地址【dì zhǐ】通🍋讯【xùn】。方法为【fāng fǎ wéi】🏒，PC和【hé】👷另一台【lìng yī tái】设备通【shè bèi tōng】讯【xùn】🛤，PC会先寻【huì xiān xún】🚋找对方的【de】IP地址【dì zhǐ】🚉，然后在通过🏽ARP表【biǎo】（ARP表里面【biǎo lǐ miàn】有所以🖋可以通讯【xùn】🛤IP和【hé】👷IP所对应【suǒ duì yīng】的【de】MAC地址【dì zhǐ】🚉）调出相【diào chū xiàng】应的【de】MAC地址【dì zhǐ】🚉。通过🏽MAC地址【dì zhǐ】🚉与对方通👝讯【xùn】。也就是说在内网中各设备互😜相寻找和【hé】👷用来通讯【xùn】🛤的【de】地址【dì zhǐ】🚉是MAC地址【dì zhǐ】🚉，而不是🏜IP地址【dì zhǐ】🚉。

但是当👖初ARP方式的设计没【shè jì méi】🗣有考虑🚺到过多【dào guò duō】的安全🛣问题【wèn tí】。给🏈ARP留下很多的隐患【huàn】，ARP欺骗就是其中【shì qí zhōng】一个例子。

网内的【de】➡任何一【rèn hé yī】台机器👳都可以轻松的【de】➡发送【fā sòng】🕟ARP广播🌦，来宣称【lái xuān chēng】自己的【zì jǐ de】➡IP和【hé】🔡自己的【zì jǐ de】➡MAC。这样收✖到的【de】机♎器都会⏭在自己【zài zì jǐ】🎙的【de】➡ARP表格中建立一📲个他的【gè tā de】➡ARP项【xiàng】，记录他的【de】➡IP和【hé】🔡MAC地址Ⓜ。如果这⌚个广播🌦是错误的【de】➡其他机器也会接受【jiē shòu】。例如： 192。168。1。11机器MAC是 00:00:00:11:11:11,他在内网广播🌦自己的【zì jǐ de】➡IP地址是【dì zhǐ shì】📪192。168。1。254(其实是路由器的【de】➡IP)，MAC地址是【dì zhǐ shì】📪00:00:00:11:11:11(他自己的【zì jǐ de】➡真实【zhēn shí】MAC).这样大🚤家会把【jiā huì bǎ】给【gěi】192。168。1。254的【de】➡信息和【hé】发给【gěi】🈷00:00:00:11:11:11.也就是🌰192。168。1。11..。 有了这个方法【gè fāng fǎ】欺骗者【qī piàn zhě】只需要做一个软件🐔,就可以【jiù kě yǐ】在内网想骗谁就骗谁.而且软【ér qiě ruǎn】件🐔网上到处都【chù dōu】♓是,随便DWON随便用.要多随便有多随便啊...

基于原理,ARP在技术🔰上面又【shàng miàn yòu】分为,对【duì】PC的欺骗【de qī piàn】和对【duì】路由的欺【yóu de qī】💖骗.他们的😆区别在👡后面的【hòu miàn de】🖼ARP解决里面仔细阐述.

ARP欺骗的起因：

网络游戏兴起【xì xìng qǐ】🔦后网络【hòu wǎng luò】盗号🌗，木马也【mù mǎ yě】💁跟着疯狂。ARP欺骗就➰是一种【shì yī zhǒng】很好的盗号🛴方式。欺骗者【qī piàn zhě】利用自【lì yòng zì】己在网【jǐ zài wǎng】吧上网🌇时【shí】⏫，先找到内📀网网关【wǎng wǎng guān】🥀的MAC地址😵，然后发💢送自己ARP欺骗，告送内👙网所以【wǎng suǒ yǐ】的机器【jī qì】自己是网关【wǎng guān】🥀。例如：192。168。1。55 MAC00-14-6c-18-58-5a 机器【jī qì】为欺骗者【qī piàn zhě】的盗号🛴机器【jī qì】，首先【shǒu xiān】🍽，他会先找到内📀网的网【wǎng de wǎng】关【guān】🥀（内网网🛐关【guān】🥀为 192。168。1。1 MAC为XX.XX.XX.XX.XX.XX）。之后他【zhī hòu tā】就会发送ARP广播，说自己🆖的IP地址是📷192。168。1。1 MAC地址是📷00-14-6c-18-58-5a.这样🤡，内网的📞所有收到他发【dào tā fā】信息得🐽机器【jī qì】都会把它【huì bǎ tā】🎤误认为内网的📞网关【wǎng guān】🥀。所有上【suǒ yǒu shàng】网信息都【xìn xī dōu】会通过他的【guò tā de】MAC地址发【dì zhǐ fā】👉给这个机器【jī qì】，由于找不到真正的网关【wǎng guān】🥀，这些被🙄骗的机器【jī qì】就无法上网。而发送🔯的所有【de suǒ yǒu】信息都【xìn xī dōu】会被这👲个盗号🌗机器【jī qì】收到，通过分🤽析收到的信息【de xìn xī】🤩他可以【tā kě yǐ】📌在里面【zài lǐ miàn】找到有用的信息【de xìn xī】🤩，特别是【tè bié shì】❄有关【guān】🥀于帐号的🌐部分【bù fèn】🎢，从而得到正在【dào zhèng zài】😞游戏的【yóu xì de】玩家的【wán jiā de】帐号，发生盗号🌗事件。

ARP的发现：

那我们网吧出现掉线【xiàn diào xiàn】了【le】,是否是ARP呢🔵?如何去【rú hé qù】判断.好【hǎo】💧,这里给出方法🕜,但是请【dàn shì qǐng】🚑大家顶了【le】再说📆.

ARP的【de】通病就是掉💸线🎑,在掉线🎑的【de】基础🔅上可以通过以下几种【xià jǐ zhǒng】方式判别，1。一般情况下不【kuàng xià bú】🏰需要处🌵理🥓1分钟之内就可以回复正【huí fù zhèng】❄常📛上网【shàng wǎng】。因为ARP欺骗是🕞由时限，过了期限就会自动的【zì dòng de】回复正【huí fù zhèng】❄常📛。而且现在大多🦇数路由器都会🦐在很短时间内不停广【bú tíng guǎng】播自己✋的【de】正确ARP，使受骗🦄的机器【de jī qì】😀回复正【huí fù zhèng】❄常📛。但是如果出😶现攻击性【xìng】ARP欺骗(其实就【qí shí jiù】是时间很短的【hěn duǎn de】量很大【liàng hěn dà】的【de】欺骗ARP,1秒有个🎵几百上千的【de】⬅)，他是不【tā shì bú】断的【de】通❤过非常📛大量【dà liàng】😉ARP欺骗来🔢阻止内网机器🦗上网【shàng wǎng】，即使路🏯由器不断广播🌹正确的【zhèng què de】包也会🚐被他大【bèi tā dà】量【liàng】😉的【de】错误信息给淹没【yān méi】。2。打开被Ⓜ骗机器⬜的【de】DOS界面【jiè miàn】，输入ARP -A命令会【mìng lìng huì】看到相关的【de】ARP表【biǎo】♿，通过看到的网【dào de wǎng】关🚌的【de】MAC地址可【dì zhǐ kě】以去判别是否💱出现🥩ARP欺骗，但是由【dàn shì yóu】于时限🎧性【xìng】，这个工【zhè gè gōng】作必须在机器回复正【huí fù zhèng】❄常📛之前完【zhī qián wán】成【chéng】。如果出😶现欺骗问题【wèn tí】,ARP表【biǎo】♿里面会【lǐ miàn huì】出现🥩错误的网关【de wǎng guān】🚌MAC地址,和真实【hé zhēn shí】的网关【de wǎng guān】🚌MAC一对黑白立分.

ARP解决：

现在看到【dào】ARP解决方【jiě jué fāng】🔥案,都感觉有点效💇率低下,而且不【ér qiě bú】😘够稳定.本人对【běn rén duì】欣向路由较为😡了解,以他为【yǐ tā wéi】🌰例吧.

1.路由ARP广播.

国内部分硬件【fèn yìng jiàn】路由有🍐此功能,最早是【zuì zǎo shì】🔉在欣向的路由【de lù yóu】⏫里面发🍍现【xiàn】这个🎀功能.感觉不错,挺有方法的【de】🔵,但是在【dàn shì zài】🍝软路由里面好像还未发现【xiàn】🥂,软路由的【de】🦌兄弟们【xiōng dì men】加把👅劲啦.他的【de】🦌原理是🔉路由器【qì】不间断✨的广播【de guǎng bō】🌡正确的【zhèng què de】路由⏫器【qì】ARP.例如:路由器【qì】的【de】🦌IP是🔉192.168.1.1 MAC:11:12:13:14:15:16,那他就会不停【huì bú tíng】🎉的【de】🦌每秒广【měi miǎo guǎng】播自😀己的【de】🦌正确ARP.不管你【bú guǎn nǐ】☕内网机🥃器【qì】是否🐘喜欢收🌇,1秒收一个【yī gè】🆒一秒收一个【yī gè】🆒,收到了【shōu dào le】就改一【jiù gǎi yī】次ARP表收到【biǎo shōu dào】🛂了就改一【jiù gǎi yī】次ARP表.无穷无尽无止无息【wú xī】,子子孙孙无穷【sūn wú qióng】亏也🥋.....如果出【rú guǒ chū】现【xiàn】🥂ARP欺骗【qī piàn】,欺骗【qī piàn】者发出欺骗【qī piàn】信息❔,PC刚收到欺骗【qī piàn】信息❔就收到【jiù shōu dào】了正确信息.所以问【suǒ yǐ wèn】题也就【tí yě jiù】解决了.但是有🏡个隐患【gè yǐn huàn】,就是🔉广播风暴的【de】问题【wèn tí】🐘.不间断✨的广播【de guǎng bō】🌡是🔉否会应该内网的【de】🦌网络呢??? (带着问【dài zhe wèn】题请教【tí qǐng jiāo】了国内某厂家欣X的工程【de gōng chéng】🥅师🙌,工程师【gōng chéng shī】🙌很热情的解除【de jiě chú】🌓了我的【de】🎄疑惑⛓,感谢一下先).以每秒次的【de】🦌频率【pín lǜ】发送APR广播在内网是🥜微乎其微的【de】🦌,因为任何一个【yī gè】🌺机器都【jī qì dōu】会有广【huì yǒu guǎng】播发生,多一个【yī gè】📗ARP最多相当于多🧔几台机器的信【qì de xìn】🎸息量,对内网【duì nèi wǎng】是🥜不会有影响的【yǐng xiǎng de】🦌.但是🔉这种方式😌有他的【de】问题【wèn tí】🐘,当欺骗【qī piàn】💹者加大欺骗【qī piàn】ARP的【de】🦌频率超【pín lǜ chāo】过路由时(在欺骗【zài qī piàn】🥠软件上【ruǎn jiàn shàng】面实现【xiàn】🥂非常容【fēi cháng róng】易),还是会🎫造成欺骗【qī piàn】的【de】🦌效果.解决也🔷应该很【yīng gāi hěn】简单就【jiǎn dān jiù】😞是加大【shì jiā dà】🌿路由器【qì】的广播【de guǎng bō】🌡频率【pín lǜ】,但是欣【dàn shì xīn】🚴X的工程【de gōng chéng】🥅师却否【shī què fǒu】🗽定了这🔶种方法,原因请看第【kàn dì】2条.

2.超量路由ARP广播.

近期发【jìn qī fā】现个别路由厂家宣传可以完🐭全防止🕉ARP问题【wèn tí】📩.我抱着【wǒ bào zhe】崇敬的【chóng jìng de】🌴心态去【xīn tài qù】学习了🧖一下处理方【fāng】法,不得不【bú dé bú】🦀让人失【ràng rén shī】望,是非常失望和痛心【tòng xīn】🕥.所谓完【suǒ wèi wán】全防止🕉其实就【qí shí jiù】是前面💫的路由ARP广播【guǎng bō】🔑,只是简单的把频率加大到每【dà dào měi】🏪秒【miǎo】🤑100.200.....次【cì】🔽. 这种方【fāng】🐬法效果【fǎ xiào guǒ】单看ARP方面确【fāng miàn què】⚫实比每秒【miǎo】🤑一次【cì】🔽要好👷.但是却🦔是得不🏦偿失🕰,甚至有👀点【diǎn】🐴.....不说了,免得让人骂.简单给🤚大家分【dà jiā fèn】析一下【xī yī xià】,每秒【miǎo】🤑100为例吧【ba】,也就是说,路由器【lù yóu qì】🌂1秒【miǎo】🤑时间会发出100个ARP广播【guǎng bō】🔑,200台的电脑,每台机【měi tái jī】器每秒【miǎo】⏬处理100次【cì】🔽.如果有🕑10台交换机【jiāo huàn jī】,就会有10个交换【gè jiāo huàn】机【jī】处理100次【cì】🔽.每次【cì】🔽交换机【jiāo huàn jī】都会把信息互相转发,这每秒【zhè měi miǎo】🤑ARP信息的【xìn xī de】🍬处理量要按照【yào àn zhào】10N次【cì】🔽方【fāng】＊100去计算📰的.大家如果了解【guǒ le jiě】广播【guǎng bō】🔑的模式【de mó shì】就会清楚🗣,交换家【jiāo huàn jiā】🎾之间会互相不【hù xiàng bú】停的传⭕递信息,你发给大家👩,我收到🧜了,还会发🈺给大家👩.大家收🙂到了还是要发给大家👩.这样每台PC最终收到的【dào de】信息每秒【miǎo】🤑要上万【yào shàng wàn】条吧【ba】(这个量应该只小没大😹吧【ba】?).每秒【miǎo】🤑都这样【dōu zhè yàng】干100次【cì】🔽.不知道网络内部要成为什么【wéi shí me】样子【yàng zǐ】??PC的就没【de jiù méi】事老维🏟护ARP表就不干别的了吗🌛?为了一🌴个ARP,7*24小时的【xiǎo shí de】折腾网【shé téng wǎng】络值得【luò zhí dé】🤰吗?网络性【wǎng luò xìng】能要降【néng yào jiàng】低多少【dī duō shǎo】🤚啊【ā】🐣.人满时【rén mǎn shí】或者有点【diǎn】内网🍤的小攻【de xiǎo gōng】击时🔝,网吧【ba】不🌫瘫痪估计有点【diǎn】🐴难啊【ā】🐣,,,死字很容易写啊【ā】🐣.当然平时你是感觉不到的【dào de】.但是我【dàn shì wǒ】🚳要问一【yào wèn yī】句想出【jù xiǎng chū】💁此方【fāng】法🛡的工程师🙃,你出这个方【fāng】案,是为了💇解决问【jiě jué wèn】题📩吗?

3.极力推荐的方法.静态绑定.

ARP解决最【jiě jué zuì】有效的🎠方法【fāng fǎ】，就是从🌯根本杜🙌绝他的欺骗途【qī piàn tú】径。

欺骗是通过ARP的动态实时的【shí shí de】规则欺🤞骗内网【piàn nèi wǎng】🎇机器🍽，所以我们把ARP全部设置为静【zhì wéi jìng】🏃态可以根本解决对内网【wǎng】PC的欺骗【de qī piàn】💵。

方法为【fāng fǎ wéi】：找到路【zhǎo dào lù】🔛由器的lan口的【kǒu de】MAC地址【dì zhǐ】🐃，把MAC地址【dì zhǐ】🐃通过静态的方式帮定到每台【dào měi tái】PC上面【shàng miàn】。通过命令，ARP -S 可以实现【xiàn】🌂。 首先😳，建立一🚕个批处理文件【lǐ wén jiàn】🍔。内容只【nèi róng zhī】有一行命令，“ARP -S 内网网关【guān】 网关【guān】的MAC地址【dì zhǐ】🐃 ”，例如🥠：“ARP -S 192.168.1.1 00-13-32-33-12-11 ”.把批处🔬理文件【lǐ wén jiàn】🍔放到启【fàng dào qǐ】📽动里面🈷,这样每🚃次开机【cì kāi jī】都会执🏴行这个文件🍔,即使出现【xiàn】🌂ARP欺骗【qī piàn】⤵,由于我们设置【men shè zhì】的是静态方式🔶,PC也不会去理会🔐欺骗【qī piàn】⤵的ARP.

如果设置成功【zhì chéng gōng】会在【huì zài】👫PC上面通过执行🍎 arp -a 可以看【kě yǐ kàn】到相关🕠的提示:

Internet Address Physical Address Type(注意这【zhù yì zhè】里🏼)

192.168.1.1 00-0f-7a-05-0d-a4 static(静态【jìng tài】🕍)

一般不绑定,在动态的情况下:

Internet Address Physical Address Type

192.168.1.1 00-0f-7a-05-0d-a4 dynamic(动态【dòng tài】🔖)

ARP对路由的欺骗.

做了静态绑定🍦之后【zhī hòu】,为什么还会掉线呢?还是【hái shì】📰ARP吗?不幸的【bú xìng de】♿是,还是【hái shì】📰ARP( ARP对路由🚝欺骗【qī piàn】).

因为有【yīn wéi yǒu】种情况👌下【xià】的【de】问【wèn】🤯题,没有得【méi yǒu dé】到解决【jiě jué】.大家🌍设想一下【xià】,现在的【de】👇处理方【chù lǐ fāng】🤥法如果【fǎ rú guǒ】⏸碰到欺【pèng dào qī】骗【piàn】🤜者不是【zhě bú shì】冒充【chōng】🕝网关【wǎng guān】,而是冒充【chōng】🕝内网的【de】🌗PC会如何🐮呢【ne】🎈?答案是【dá àn shì】🎴掉线【diào xiàn】,冒充【chōng】谁,谁掉线【shuí diào xiàn】.因为路⛏由🐫器收到【qì shōu dào】欺骗【qī piàn】🤜ARP后找不到你了😒,转发给😦你的【nǐ de】🌗信息全部💟给了欺🔝骗【piàn】者的【de】❔机器啦👎... 我们在PC上面可以【kě yǐ】绑定👣网关【wǎng guān】.难道在路由🐫上面也【shàng miàn yě】绑定👣PC吗📱? 答案是【dá àn shì】🎴否定👣的【de】🌗,难道我内网每【nèi wǎng měi】🔂台PC的【de】🌗MAC地址都在路由🐫里面绑定👣,累死了,而且几⛹百个MAC地址看【dì zhǐ kàn】着就眼【zhe jiù yǎn】晕【yūn】,而且如💏果【guǒ】有任何改动都需要调整路👨由🐫器,几百条记录也🚂太累了【tài lèi le】吧.针对这【zhēn duì zhè】🐀个问【gè wèn】🚸题对多台设备进行了测试【cè shì】,包括3个版本的软路【de ruǎn lù】💘由🐫,欣X,侠X,艾【ài】X等等的【de】🌗产品(大家也🔊想测试【xiǎng cè shì】的【de】🌗话,给当地的【de】🌗厂家🌍代理商说你要试用【shì yòng】,简单啊).最终结果【guǒ】🚉不尽人意,软路由🐫3种里面【zhǒng lǐ miàn】🈴只有1种有可以【kě yǐ】解决【jiě jué】🕙的【de】🌗方法【fǎ】,而且是【ér qiě shì】🌃每台绑定方法【fǎ】🧥.3款硬路由有🕶1款是可【kuǎn shì kě】以完全防范,2款需要【kuǎn xū yào】绑定👣(提醒大家🌍,2款产品都有绑定👣数量的【de】🌗限制,超过数【chāo guò shù】量无法【fǎ】解决【jiě jué】,采购时注意询【zhù yì xún】问【wèn】🚸).对于【duì yú】1款可以【kě yǐ】防范的【de】🌗产品做🚍了一些🍪研究但【yán jiū dàn】📚是没有🚉结果【guǒ】🚉,再次打【zài cì dǎ】💜通了欣🏺X的【de】🌗工程师【gōng chéng shī】电话【diàn huà】,请教处理方【chù lǐ fāng】🤥法【fǎ】.工程师【gōng chéng shī】给出了答案🔮,欣X路由🐫是采用的【de】🌗WINDRIVER的【de】🌗VxWORKSII的【de】🌗操作系【cāo zuò xì】统🎯.在效率与安全【yǔ ān quán】性要比免费LINUX系统🎯的【de】🌗强很多,这套2代的【de】🌗系统🎯本身就【běn shēn jiù】可以【kě yǐ】🏊维护一🔗个数据库【shù jù kù】,不从硬【bú cóng yìng】件的【jiàn de】🌗数据库【shù jù kù】提取数据【jù】,数据【jù】表🚰内容都🏖是在PC上网时🔟收集的【de】🌗,对于【duì yú】ARP欺骗根【qī piàn gēn】本就不📉予理睬,针对ARP对路由🐫的【de】🌗欺骗【qī piàn】在基础【jī chǔ】🤸上面就已经给【yǐ jīng gěi】屏蔽了【píng bì le】🕋.而且内【ér qiě nèi】网可以【kě yǐ】随意的【de】🌗改动与调整...打住【dǎ zhù】..有点象😕厂家🌍稿子啦......

ARP的问题🥋这里基本都提🐤到了【dào le】,如果还【rú guǒ hái】⚓有想法【yǒu xiǎng fǎ】请大家提出来.我们一起讨论.......

后面在补充一【bǔ chōng yī】种ARP欺骗的🖐问题【wèn tí】➡,他就是🖤对交换机【jiāo huàn jī】🎍,很多带【hěn duō dài】管理的交换机【jiāo huàn jī】🎍他们都有一张ARP表格需要维护,而且通🐚过这张【guò zhè zhāng】表来提高数据【gāo shù jù】⛵的交换效率.如果出🍔现🚩ARP欺骗,交换机【jiāo huàn jī】🎍就无法给目标【gěi mù biāo】IP发送数【fā sòng shù】👴据啦【jù lā】,所以需要在交换机【jiāo huàn jī】🎍里面做【lǐ miàn zuò】静态【jìng tài】ARP绑定.

为什么会有不掉线,一切看似正常的ARP

大家是【dà jiā shì】否出现【fǒu chū xiàn】过网吧丢游戏🏬号🚖,丢QQ号🚖,丢钱包的问题【de wèn tí】呢🗒?

特别是大面积的丢失帐号🧣,很大部分就是ARP造成的🌮.原理是【yuán lǐ shì】:欺骗者【qī piàn zhě】,先骗了【xiān piàn le】😬PC后骗了🗳路由器【lù yóu qì】.

这种情况下,PC把信息【bǎ xìn xī】发给欺骗者【piàn zhě】,然后欺😼骗者【piàn zhě】把🔝信息再转发给路由器🗾.当欺骗【dāng qī piàn】⛷者收【zhě shōu】🛐