在同一局域网内的所以机器是通过MAC地址通讯。方法为,PC和另一台设备通讯,PC会先寻找对方的IP地址,然后在通过ARP表(ARP表里面有所以可以通讯IP和IP所对应的MAC地址)调出相应的MAC地址。通过MAC地址与对方通讯。也就是说在内网中各设备互相寻找和用来通讯的地址是MAC地址,而不是IP地址。
但是当初ARP方式的设计没有考虑到过多的安全问题。给ARP留下很多的隐患,ARP欺骗就是其中一个例子。
网内的任何一台机器都可以轻松的发送ARP广播,来宣称自己的IP和自己的MAC。这样收到的机器都会在自己的ARP表格中建立一个他的ARP项,记录他的IP和MAC地址。如果这个广播是错误的其他机器也会接受。例如: 192.168.1.11机器MAC是 00:00:00:11:11:11,他在内网广播自己的IP地址是192.168.1.254(其实是路由器的IP),MAC地址是00:00:00:11:11:11(他自己的真实MAC).这样大家会把给192.168.1.254的信息和发给00:00:00:11:11:11.也就是192.168.1.11..。 有了这个方法欺骗者只需要做一个软件,就可以在内网想骗谁就骗谁.而且软件网上到处都是。
ARP 攻击,对内网的PC进行攻击,使内网PC机的ARP列表混乱,导致内网某些PC机无法上网。目前路由器无法抵挡这种病毒的攻击,因为他们的攻击方式是攻击内网的PC机,只有请用户从内网的PC机下手防范。
这种病毒的显现为内网的部分PC机不能上网,或者所有人不能上网,最重要的特点是不可以上网的PC机的ARP表会乱掉,当我们发现内网某台PC无法上网时,进入到DOS窗体,然后输入命令ARP -A可以看到同一个MAC地址对应多个IP就是有问题了,不过有的时候未必表现的这么明显,这只是一个典型的例子。
现象:
网吧短时间内断线(全断或部分断),在很短的时间内会自动恢复.这是因为MAC地址冲突引起的,当病机的MAC映射到主机或者路由器之类的NAT设备,那么全网断线,如果只映射到网内其他机器,则只有这部分机器出问题.多发于传奇游戏特别是私服务外挂等方面.
解决方案
双向绑定
1 采用工具软件(或者arp -s 方法)在服务器上将MAC地址和IP绑定,如果您的路由支持IP/MAC绑定,在您的路由器绑定即可,或者使用能将MAC地址和IP地址进行绑定的交换机来避免此类情况发生。
在PC上做MAC-IP绑定,将网关IP地址与MAC地址设为静态。
2 登陆路由器配置界面,查看路由器的LAN口MAC地址。(例如:LAN口IP:192.168.0.253 00-0A-EB-BC-8E-7A)
3 编写批处理文件123.bat:
1)新建记事本,输入如下
@echo off
arp -d
arp -s 192.168.0.253 00-0A-EB-BC-8E-7A
192.168.0.253是你网吧路由的网关,后面的是对应的MAC地址.
2)选择记事本中的“文件”→“另存为”,文件名为123;并修改文件名后缀为.bat。3)将这个批处理文件放到每台PC机的启动目录:“windows--开始--程序--启动”目录中。如果是网吧可以通过(万象或者美萍等)管理软件发送文件到每台PC,并退出还原卡保存设置。 4)当您需要修改该批处理文件时,你只需鼠标右键单击123.bat文件,选择“编辑”即可修改。
本文转自redking51CTO博客,原文链接:http://blog.51cto.com/redking/15623,如需转载请自行联系原作者
