ARP的分析與解（jiě）決.

如果您的網絡出（chū）現,整體突然掉線,或者有（yǒu）不定時的部分機器掉線,再或者出現一（yī）台一台機器的掉線.而且一般情況下幾種掉線都會自動恢（huī）複.那我非常熱切的恭喜您,您中獎啦.獎品是ARP欺（qī）騙. 不用高興也不用（yòng）激動,因為這個獎項量很大,很朋友都在深受其意.ARP到底咋回（huí）事（shì）,這裏咱說道說道.

* 為了一個朋友"忘憂草"特意再加一（yī）段,"不掉線,一（yī）切看似（sì）正常的ARP"

* 這幾天看到很多朋友都在提出一些網（wǎng）絡方案,詢問是（shì）否可以徹底（dǐ）解決ARP問（wèn）題.還有朋友請求幫忙.

不在挨個說了（le）,一起抓吧.(方案在最後)

ARP欺騙原理（lǐ）:

在同一NET內的所以機器是通過MAC地址（zhǐ）通訊。方（fāng）法為，PC和另一台設備通訊，PC會先尋找對方的IP地址，然後在通過（guò）ARP表（ARP表裏麵有所以可以通訊IP和IP所對應的MAC地址）調出相應的MAC地址。通過MAC地址（zhǐ）與對方通訊。也就是說（shuō）在（zài）內網中各設備互相尋找和用來通訊的地址是MAC地址，而不是IP地址（zhǐ）。

但是當初ARP方式的設計沒有考慮到過多的安全問題。給ARP留下很多（duō）的隱患，ARP欺騙就是其中一個例子。

網內的任何一台機器都可以輕鬆的發送ARP廣播，來宣稱自己的IP和自（zì）己的MAC。這（zhè）樣收到的機器都會在自（zì）己的ARP表格中建立一個他的（de）ARP項，記錄他的IP和MAC地址。如果這個廣播（bō）是錯誤的其他機器也會接受。例如： 192。168。1。11機器MAC是 00:00:00:11:11:11,他在內網廣播自己的IP地址是192。168。1。254(其實是路由器的IP)，MAC地址是00:00:00:11:11:11(他自己的真實MAC).這樣大家會把給192。168。1。254的信息和發給00:00:00:11:11:11.也就是192。168。1。11..。 有了這個方法欺騙者隻需要做一個軟件,就可以在內網（wǎng）想騙誰就騙誰.而且軟件網上到處都是,隨便DWON隨便用.要多隨便有多隨便啊（ā）...

基（jī）於原理,ARP在技（jì）術上（shàng）麵又分為,對PC的欺騙和對路由的（de）欺騙.他們的區別在後麵的（de）ARP解決裏麵仔細闡述.

ARP欺騙的起因：

網絡遊戲興起後網絡盜（dào）號，木馬也跟著瘋狂。ARP欺（qī）騙就是一種（zhǒng）很好的盜號方式。欺騙者利用自己在網吧上網時，先（xiān）找（zhǎo）到內（nèi）網（wǎng）網關的MAC地址（zhǐ），然後發送自己ARP欺騙，告送內網所以的機器自己是網關。例如（rú）：192。168。1。55 MAC00-14-6c-18-58-5a 機器為欺騙者的盜號機器，首先，他會先找到內網（wǎng）的網關（guān）（內網（wǎng）網關為 192。168。1。1 MAC為XX.XX.XX.XX.XX.XX）。之後他（tā）就會發送ARP廣播，說自己的IP地（dì）址是192。168。1。1 MAC地址是00-14-6c-18-58-5a.這樣，內網的所有收到（dào）他發信息得機器都會把它（tā）誤認（rèn）為內網的網關。所有上網信息都會通（tōng）過他的MAC地址發給這個機（jī）器，由於找不到真正的（de）網關，這些（xiē）被（bèi）騙的機（jī）器就（jiù）無法上網。而發送（sòng）的所有信息都會被這個（gè）盜號（hào）機器收到，通過分析收到的信息他可（kě）以（yǐ）在裏麵找到有用的信息，特別是有關於（yú）帳號的部分，從而得到正（zhèng）在遊戲的玩家的帳號，發（fā）生盜（dào）號事件。

ARP的發現：

那我們網吧（ba）出現掉線了,是否（fǒu）是ARP呢?如何去判斷.好（hǎo）,這裏給出方法,但（dàn）是請大家頂了再說.

ARP的通病就是掉線（xiàn）,在掉線的基礎上可以通過以下幾種方式判別，1。一般情況（kuàng）下不需要處理1分鍾之內就可以回複正常上（shàng）網。因為ARP欺騙是由時限，過了期限就會自動的回複正常。而（ér）且現在大多數路由器都會在很短時間內不停（tíng）廣播自己的正確ARP，使受騙的機器回複正常。但是如果出現（xiàn）攻（gōng）擊性（xìng）ARP欺騙(其實就是時間很短的（de）量（liàng）很大的欺騙（piàn）ARP,1秒有個幾百上千的)，他是不斷的通過非常大量ARP欺騙來阻止內網機器上網，即使路由器（qì）不斷廣播正（zhèng）確的包也會被（bèi）他大量的錯誤信息給淹沒。2。打開（kāi）被騙機器的DOS界麵，輸入ARP -A命令會看到相關的ARP表，通過看到的網關的MAC地址（zhǐ）可以去判別是否出現ARP欺騙，但是由於時限性，這個工作必須在機器（qì）回複正常之前完成。如果出現欺騙問題,ARP表（biǎo）裏麵會（huì）出現錯誤的網關MAC地址（zhǐ）,和真實的網關MAC一（yī）對黑白立分.

ARP解決：

現在看到ARP解決方案,都感覺有點效率低下,而且不夠穩定.本人對欣向路由較為了解,以他為例吧.

1.路（lù）由ARP廣播.

國內部分硬件路由有此功能,最（zuì）早是在欣（xīn）向的路由裏麵發現這（zhè）個（gè）功能（néng）.感覺不錯（cuò）,挺有方法的,但（dàn）是在軟路由裏麵好像還未發現,軟（ruǎn）路由的兄弟（dì）們加把勁啦.他的原理是路由器不間斷的廣播正確的路由器ARP.例如:路由器的IP是192.168.1.1 MAC:11:12:13:14:15:16,那他就會不停的每秒廣播自己的正確ARP.不管（guǎn）你內網機器是否喜歡收（shōu）,1秒收一個一秒收一個,收到了就改一次（cì）ARP表收到了（le）就改（gǎi）一次ARP表（biǎo）.無窮無盡無止無息,子子孫孫無窮虧也.....如果出（chū）現ARP欺騙,欺騙者發出欺騙信息,PC剛收到（dào）欺騙信息就收到了正確信息.所以問題也（yě）就解決（jué）了.但是有個隱患,就是廣播風暴的問題.不間斷的廣播是否會應（yīng）該內網的網絡呢（ne）??? (帶著（zhe）問題請（qǐng）教了國（guó）內某廠（chǎng）家欣X的工程師（shī）,工程師很（hěn）熱情的（de）解除了我的疑惑,感謝一下（xià）先).以每秒次的（de）頻率發送APR廣播在內網是微乎其微的,因（yīn）為任何一個機器都會有（yǒu）廣（guǎng）播發生,多一個ARP最多相當於多幾台機器的信息量,對內網是（shì）不會有影響的.但是這種方式有（yǒu）他的（de）問題,當欺騙者加大欺騙ARP的頻率超過路由時(在欺騙軟件上麵實現非常容（róng）易),還是會造成欺騙的效（xiào）果.解決也應該很簡單就是加（jiā）大路由器的廣播頻率,但是欣X的工程（chéng）師卻否定了這種方法,原（yuán）因請看第（dì）2條.

2.超量路由ARP廣播.

近期發現個別路（lù）由廠（chǎng）家宣傳可以完全防止ARP問題.我抱著崇敬的心態去學習了一下處（chù）理方法,不得不讓人失望（wàng）,是非常失望和痛心.所謂完全防（fáng）止其實就是（shì）前麵的路由ARP廣播,隻是簡單的把頻（pín）率加大到每秒100.200.....次. 這種方法效果單看ARP方麵確實（shí）比每秒一次要（yào）好（hǎo）.但是卻是得不償失,甚至（zhì）有點.....不說了,免得讓人罵（mà）.簡單給大家分析一下,每（měi）秒100為例（lì）吧（ba）,也就是說,路由器1秒時間會發出100個ARP廣播,200台的電腦,每台機器每秒處理100次.如果有10台（tái）交換機,就會有10個交換機處理（lǐ）100次.每次交換機（jī）都會把信息互相轉發,這每秒ARP信息的處理量要按照（zhào）10N次方＊100去計算的.大（dà）家如果了（le）解（jiě）廣播的模式就會清楚,交換家之間會互相（xiàng）不停的傳遞信息,你（nǐ）發給大家,我（wǒ）收到了,還會發給（gěi）大家.大（dà）家收到了還是要發給大（dà）家.這樣每台PC最終收到的信息每（měi）秒要上萬條吧(這個量應該隻小沒大（dà）吧?).每秒都這樣幹100次.不知道網絡內部要成為什麽樣子（zǐ）??PC的就（jiù）沒事老維護ARP表就不幹別的了嗎?為（wéi）了（le）一個ARP,7*24小時的折騰網絡值得嗎?網絡性能要降低多（duō）少啊.人滿時或者有點內網的小攻（gōng）擊（jī）時,網吧不癱瘓估計有點難（nán）啊,,,死字很容易寫啊（ā）.當然平時你是感覺（jiào）不到的.但是我（wǒ）要問一句想出此方法的工程師,你出（chū）這個（gè）方案,是（shì）為了解決問題嗎?

3.極力推薦的方法.靜態綁定.

ARP解決最有效的（de）方法，就是從根本杜絕他的欺騙途徑。

欺騙是通過ARP的動態實時的規則欺騙內網機器，所以我們（men）把（bǎ）ARP全部設置為靜態可以根本解決對內網PC的欺（qī）騙。

方法為：找到路由器的lan口的MAC地址，把MAC地址通過靜態的方式幫（bāng）定到每台PC上麵。通過命令，ARP -S 可以實現。 首先，建立一（yī）個批處理（lǐ）文件。內容隻有一行（háng）命（mìng）令，“ARP -S 內網網關 網關的MAC地址（zhǐ） ”，例如：“ARP -S 192.168.1.1 00-13-32-33-12-11 ”.把（bǎ）批處理文件放到啟動裏麵（miàn）,這樣每次開（kāi）機都（dōu）會執行這個（gè）文件（jiàn）,即使出現ARP欺騙,由於我們設置的是靜態方式,PC也不會去理會欺騙的ARP.

如（rú）果設（shè）置成功會在PC上麵通過執行 arp -a 可以（yǐ）看到相關的提示:

Internet Address Physical Address Type(注意這裏)

192.168.1.1 00-0f-7a-05-0d-a4 static(靜態)

一般不綁定,在動（dòng）態的情況下:

Internet Address Physical Address Type

192.168.1.1 00-0f-7a-05-0d-a4 dynamic(動態)

ARP對路（lù）由（yóu）的欺（qī）騙.

做了靜態綁定之後,為什麽還會掉線呢?還（hái）是ARP嗎?不幸的（de）是,還是ARP( ARP對路由欺騙).

因為有種情況下的問題,沒有得到（dào）解決.大家設想（xiǎng）一（yī）下,現在的處理方法（fǎ）如果碰到欺騙者不是冒充（chōng）網關,而是冒充（chōng）內網的PC會如何呢?答案是掉線,冒充誰,誰掉線.因為（wéi）路由器收到欺騙ARP後找不到你了,轉發給你的信息全部給了欺騙（piàn）者的（de）機器啦... 我們在PC上麵可以綁定網關.難道在（zài）路由上麵也綁定PC嗎? 答案是（shì）否定的,難道（dào）我（wǒ）內網（wǎng）每（měi）台PC的MAC地址都（dōu）在路由裏麵綁（bǎng）定,累死了,而且（qiě）幾百個MAC地址看著就眼暈（yūn）,而且如（rú）果有任何改動都需要調整路由器,幾百條記錄也（yě）太累了吧.針對這個問題對多台設備進行了測試,包括3個版本的軟路由,欣X,俠X,艾X等等的產品(大家（jiā）也想測試的話,給當地的廠家代理商說你要（yào）試用,簡單啊).最終結果不盡人意,軟路由3種裏麵隻有1種有可以解決的方法,而且是每（měi）台綁定方法.3款硬路由有1款是（shì）可（kě）以完全防範,2款需要綁定(提（tí）醒大家,2款產品都有綁定數量的限製,超過數量無法解（jiě）決,采購時注意（yì）詢問).對於1款可以防範的產品做（zuò）了一些研究但是沒（méi）有結果（guǒ）,再次打通了欣X的工程師電話,請教處理方法.工程師給出了答（dá）案,欣X路由是采用的（de）WINDRIVER的VxWORKSII的操作（zuò）係統.在效率與安全（quán）性要比免費LINUX係統的強很多（duō）,這套2代的係（xì）統本身就可以維（wéi）護一個數據庫,不從（cóng）硬件的（de）數據庫提取數據,數據表（biǎo）內容都是在（zài）PC上網時收集的,對於ARP欺騙根本就不予理睬,針（zhēn）對ARP對路由的欺騙在（zài）基礎上麵就已經給屏蔽了.而且內網可以隨意的改（gǎi）動與調整...打（dǎ）住..有點象廠家稿子啦......

ARP的問題這裏基本（běn）都提到了,如果還有想法請大家提出來.我們一起討論.......

後麵在補充一種ARP欺騙的問題（tí）,他就是對交換機,很多帶管理（lǐ）的交換機他們都有一張（zhāng）ARP表格需要維護,而且通過這張表來提高數據的交換效率.如（rú）果（guǒ）出現（xiàn）ARP欺騙,交換機就無法給目標IP發送數據啦,所以（yǐ）需要在（zài）交換機裏麵做靜態ARP綁定.

為什麽會有不掉線,一切看（kàn）似正常的ARP

大家是否（fǒu）出現過網吧（ba）丟遊戲（xì）號,丟QQ號,丟（diū）錢包的問題呢?

特別是大麵積的丟失帳號（hào）,很大部分就是ARP造成的.原理是:欺騙者,先騙了PC後（hòu）騙了路由器.

這種（zhǒng）情況下,PC把信（xìn）息發給（gěi）欺騙者（zhě）,然（rán）後欺騙者把信（xìn）息再轉發給路由器.當欺騙者收