文章内容

手把手教你快速找到、解决ARP欺骗。

发布时间: 2012/7/4 13:42:50

　首先说下这篇文章是全文字描述，如果你没足够的耐心看下去那么你该干嘛就干嘛去，全文字教程是很枯燥乏味，没图文结合的教程有看头。但这问题我觉得还是文字描述好一点，其实很想图文介绍可是找不适合的图，也不知道用什么图来做demo。
　　文章开始我还想唠叨几句，本人接受过ARP的洗礼，也百度谷歌过可得到的一般都是抽象的概念，不是装ARP防护软件就是用ARP命令捆绑和ARP批处来捆绑，但是当ARP欺骗产生后，那时候捆绑是不是有点晚了？很多人在没接受到ARP欺骗的洗礼前一般不会关注类似问题，只有接受到了它的洗礼，它的问候才会注意这个问题。小局域网可能没什么关系，可是一个大的局域网怎么办？后来我和一个TP-Lingk的工程师研究过这个问题，是他教会了我当面临ARP欺骗导致了大面积不能上网，断断续续掉线如何迅速找到根源解决欺骗，在此我像他表示感谢，衷心的表示感谢！阿牛哥谢谢你！
　　模拟场景：路由器+交换机+PC，100、200、300台PC规模的局域网或者更大的环境，当出现了ARP欺骗并且不定时掉线，局域网瘫痪怎么办？一台台去装ARP防火墙？没那么多时间哦，全部人员都等你解决问题呢，等你装完软件就等着你们老板和同事表扬你吧。。。（装了ARP防火墙,不代表你找到了真正的欺骗地址，只是启了防御作用）
　　现在我们解决这个问题方法如下：
　　目的
　　1：产生ARP欺骗时不要想着装ARP防火墙，你现在要解决的是尽快找出欺骗根源，让局域网恢复正常。
　　条件：体力+硬件
　　2：以最快的速度狂奔到机房，那里是局域网的心脏，并且准备一台“笔记本电脑”或者机房里面有电脑都行。
　　寻找欺骗：
　　开启电脑：开始---运行cmd回车， ping一个网站，我一般选择百度和新浪，记得加-t不间断的ping，让这画面运行在电脑屏幕上保证你看得到。出现欺骗后会ping不通外网，不管它咱们ping了，用下面的方法解决后就会ping通，这是一个检测步骤，先别问为什么继续往下看。
　　中了ARP欺骗后交换机的灯会闪得很厉害比霓虹灯还能干，闪灯速度是平时的1-3倍，也许全部交换机都闪得发狂。那么现在拔了所有交换机的主干线，然后插上一根连交换机的干线，等待几分钟看看会不会闪灯异常，如不异常继续插上另外的交换机干线依然等待闪灯情况，直到找出插干线后交换机就出现闪灯异常，那么你也就找到了是这个交换机内的PC出了问题。
　　好了现在按照上面的方法已找到了其中的一个交换机出了问题导致了局域网问题，这下是不是发现问题圈子小啦，但要注意的是咱们还没找到根源哦。现在我们继续找根源，既然找到是这个交换机内的问题，那么我们现在把这个有问题的交换机接口上面所有的连接线拔了，然后插上干线，接着把你拔下来的线，插上一根去等待一些时间直到不会出现交换机异常闪灯，接着在插上别的线来判断，依此类推当你插上那个会发送ARP欺骗的线，那么灯就会狂闪，那么恭喜你找到根源了，然后按照线标找到这个机器。
　　好了问题的根源也找到了，我们得想想为什么会产生ARP欺骗的问题。
　　1：PC中毒了，一般中的毒都是木马，而这些木马会带ARP攻击，把你电脑的MAC地址映射成路由器的网关地址，然后发ARP包到局域网的其他机器，让别的机器以为你的机器是网关，导致了掉线。（其实ARP是TCP/IP协议里面的一个地址解析协议，还有一个RARP是逆向地址解析协议，当然他们需要先发送一个广播来实现解析，这里小提一下不明白的直接忽略）为什么要伪造网关呢，你上网的时候是要经过数据封装然后传到路由表里面，路由表在进行处理你的这个数据该怎么出去，这里你就把网关当作是门，一个出口，只有经过这个门和出口才能把东西送出去，好了现在想一想会发ARP攻击的木马把你的机器伪造成网关，然后别的机器以为你的电脑是网关，就把数据都往你这传，你好好想想你这机器能把数据传到外面去吗？显而易见这就是欺骗。
　　现在明白了木马病毒是产生ARP欺骗的根源，也许你会觉得自己一个人上网怎么没掉线啊，那麻烦你想想你的网内就你一台机器，欺骗谁啊？欺骗自己吗？所以ARP欺骗对局域网的影响是相当大的，要防范ARP欺骗就要保证内网机器是没有病毒的，杀毒软件随时更新，并且定时进行查杀，当然你要不放心可以装个ARP防火墙，也可以做一个批处命令然后设置为启动项就绑定。
　　2：人为的ARP欺骗，一般局域网内都会做一个MAC地址和IP绑定，但是有些网内的兄弟就是不老实希望给人添乱他才开心，当然我是没遇见过这样的人才，解决方法和上面一样，找出来你就收拾他咯。
　　3：P2P，聚生网管。。。。等管理软件也是用欺骗形式来控制的人的，用这玩意会让人不能上网和网速慢，相信大家都知道吧，我不是研发人员，这个软件我也没详细了解过，只是懂点皮毛中的皮毛，但我做过试验，我用这些网管软件限制过局域网内的一台电脑，这台电脑装了ARP防火墙，当我控制它的时候这台电脑就提示ARP冲突。也就是这么无意中发现的哈，当然没做深的研究，所以大家用这些软件控制别人的时候，如果对方装了ARP防火墙那么就无效了。
　　如果你想控制别的机器这里我提一下，你达到这要求就能。条件：你的PC是服务器，还得是双网卡。为什么呢这里我写个网络环境你看看，如看得懂最好了，看不懂的话，去论坛的“网络世界”发帖子问，因为需要一些网络基础才能明白这个道理。
　　要想用P2P，聚生网管等软件控制别的机器网速或者上网得要有下面条件
　　ADSL（路由器）+服务器双网卡（安装了网管软件）+交换+PC
　　总的说来ARP欺骗一般来自病毒，大家要勤杀毒，保证局域网机器无毒的话一般不会有欺骗，当然了人为的除外。
　　好了文章到这也差不多了，希望大家能明白。相信网管兄弟们明白得比较快，这是局域网内最烦人的事情，当然你也可以用VLAN来减小广播广播域，这样处理起问题来也快得多，有不对之处请大家海涵、指点，个人愚见仅供参考。
　　PS：ARP防火墙我比较喜欢“彩影”ARP防火墙这个真的不错，比360的强多了，现在是收费版的，以前只要这个软件只要指定IE是百度的地址就可以免费使用。
　　还有个抓包工具名字是Ethereal-setup，这软件功能挺强大的，可以抓TPC,UDP.ICMP.ARP等等，有兴趣的可以下下来看看，不过是E文版的。这个抓包的软件下载版本到1.0了吧名字也换了，大家如果找这个软件下估计最高版本是0.99的。
　　下面是这个款软件的截图