原创,制服你--arp欺骗
这篇帖子不求大家能一个字的的读下去,只想让那些就会转贴的人明白:知识学到身上才叫技术,多发点原创。9月15号下午
开了n久的车,睡了n久的觉。迷迷糊糊的,真的是很头疼!终于来到了地狱的入口:客户的公司的门口!看了看手机,GOD!没信号~!哦!对了我这个是津门通的卡不能漫游。算了算时间开了5个多小时的车,现在是20:30分。
来到办公楼,粗粗的统计了一下一共有89台机器。分别在这撞办公楼的3层,还真是不小啊!这次发财了!找到他们的负责人本来想了解点情况,结果得到的结果是负责人下班了!晕死,这么大的公司出了那么大的问题他们的leader居然能下班!来到他们的网管中心(以下简称wc:web center)终于找到了一个值班的网管(以下简称wm:webmaster).看他一副很惆怅的样子我的头就更疼了!看来这个问题一定很严重!接着这个公司安排我们去吃晚饭,看着晚饭食同嚼蜡,没胃口了!在饭桌上问了一些详细的网络状况,那个wm看来是个很会装的人!说了好多英文的术语名字,以为这样就能唬我们!靠!你想什么呢?真么容易就嫩那个被你唬住?接着我问了他4个问题只有一个他听懂了,但还没能回答给我。这下知道你是什么水平了!
通过wm了解到整个的网络的结构:lan内一共有90台电脑,由4个24口的简单交换机进行堆叠连接然后通过一个tp-link的路由器介入wan。而wan是由cnc(此单位垃圾至极,所以在这看不提此中文名称)提供的10m光纤。还有一台服务器进行erp和韩国的总部联系。
而lan的情况是这样的:这几十台电脑是分为4个工作组:财务,生产,人事,总务。而这些工作组是没有任何的权限的设置的。所以完全可以随便的互相访问。在使用网络的高峰期经常会出现访问wan掉线有的时候甚至是连lan都不能访问,web页面有的时候能打开但有的时候打不开。但是如msn.qq等等确没有问题。ping 202.99.96.96的时候丢包很严重,而返回的时间却是让我大吃一惊:居然是2000多ms!!网络打印机不能正常地打印,扫描也会出现提示:成像设备不能正常联机的问题。
看来这里的问题还真不小,解决起来还真的麻烦看了看我们就3个人能干什么?当了解到wc一共有5个人时,我真的是很兴奋。但是现在是22.xx了啊!都半夜了难道还能去找他们?还是人道点吧!就我们3个人!干!于是我们3个人开始制定计划:
1.基于lan的这种情况我们首先因该看看是不是wan端的问题。
2.当确定wan没有问题的时候,再去确定是不是lan病毒的原因。
3.我们找找在wc里的所有的设备旁边是不是有强磁场的存在。
4.是不是用人在非法的破坏,或者在用p2p的软件进行网络资源的非法占用。
5.明早和cnc联系一下,看是否和光纤的融接有关系。
计划制定好了我么开始行动,我们拿出早已准备好的linksys的路由器换和上,进行小面积的测试。发现ping的丢包率还是很严重在70%左右。在换上linksys的防火墙大开代理服务共享上网,问题还是一样没什么变化。接着我断开3个交换机 只测试一个离我最近的交换机。问题还是没有得到解决。然后我依次断开每一个交换机结果发现2,3,4的问题都有缓解点。分别ping他们的机器ip发现偶尔丢包。在网上访问他们也能访问。于是我又把1交换机连接上,在这4个交换机中进行采样测试结果发现前10分钟没有什么问题,但是到15分钟的时候发现左右测试的机器有在丢包了。看来我还真蒙到了问题的关键。看了看表已经是凌晨2:45了算了,睡睡再说吧!真的很困啊
9月16号
10点多又开工了,我们到wc的时候果然发现了多了几个人。这样我们就有7个人了,工作起来也简单点!他们的公司的领导给了我们每个人一个对讲机,这样我们就更方便了!我们又联系了cnc叫他们来查一下。结果cnc从局端到融接点在到他们的骨干交换机都查了,就是没有问题!看来这条路是被堵死了!
昨晚我们的劳动没白费,问题的重点落在了1交换机上,难道是交换机的本身有问题?换上我们自己的交换机结果可想而知:没有缓解。我们几个人现在有在考虑是不是先从软件的方面入口!其实这个问题我也想过因为:90台机器每台机器都要检查我们都可以在这里过年了。所以昨晚我力挺先测试我们触手可及的的方面。现在看来是我固执了!今天是周六公司里并不是所有的员工都要上班业,也就是说并不是所有的电脑都会打开。于是我们再进行测试结果还是和昨晚一样,我们兴奋不已。那说明问题就要出在现在正在运行的某一台机器里。这样我们就省了不少的时间。还真有点峰回路转的感觉。我们用瑞星给每台机器进行dos杀毒,结果还真的杀掉不少的病毒。这下我终于能够解释出现这种问题的原因了------------------广播风暴
到下午所有的机器的杀毒工作已经完成,我们在每个交换机了挑了10台机器进行ping测试,我们最先ping的时防火墙的ip地址,也就是网关的地址。半个小时过去了没有问题,我们开始有点飘飘然了!然后我们打开防火墙的日志发现所有的ping的活动都被阻挡,而始发地址都是lan里的合法地址。ok!重起防火墙,我们再ping cnc的dns,5分钟,10分钟, 20分钟,都没问题!看 来问题解决了!兴奋我终于能提前回去了,于是我们几个人就去吃饭了!
晚上19.xx 吃完饭回来,惊奇地发现所有的机器都在丢包。天啊!这才是真正的地域啊!怎么办?解决这种问题最好的办法就是把所有的机器做成vlan或者端口限制,可是那样做的成本很大啊!难道不是广播风暴的问题?这是我猛然的想到,出现丢包的问题只有两种情况:
1.物理连接有问题。这点我们一直认为不可能。
2.在lan里所有的数据传播都是要交换机的帮助,而要得到交换机的帮助一定要有一个符合规则的ip地址个子网掩码。这样才能进行和网关的通信,才能访问internet。
于是我们打开防火墙的日志发现,我们在刚才测试ping网关的Ip的地址时。代理服务器并没有和网络连接,也就是说当时不能上网。我还记得我重起过一次防火墙,后来我们又进行了dns的测试,是通的!难道通是因为我没连接到wan?而不通就是连接到了wan? 奇怪!难道问题就出现在网关的上面?我们又拿来了路由器和电脑做代理结果没什么区别。我们又在每台机器上察看了arp-a 结果得到的是两个ip地址。我惊奇的发现网关的位置那里是因该是192.168.1.1的,但是那里却是192.168.1.2!!!!于是我们查看了每一台的机器结果都是192.168.1.1.哈哈!明白了!中浓郁叫我遇上了,arp欺骗!!!!!!!
当我提出arp欺骗的时候,我的同事都大惊失色的说:不会吧!这么简单?于是我们找到192.168.1.2的机器时 更让我们吃惊的是192.168.1.2的机器居然是那台作erp的服务器,因为这台服务器要求有公网的ip,要用vpn在所以用的是cnc分的另一个ip再用交换机和光线转换器联接。这样他们就共享10m的光线了而erp要做考勤设备的信息采集所以又要连接到lan里这样才会有个lan的ip地址。明白了!!!!
我们断开了192.168.1.2的这台机器,发现全部的测试机器都正常。可是这样这台服务器就不能用了啊?有一个问题出现了!既然不能放弃这台服务器,那我们只能从其他的机器上下手了。我们把所有的网卡的mac地址和ip地址进行捆绑。再到路由器里进行捆绑。再把服务器进行捆绑。接着我们进行测试,这次是真的ok了!我又试了试qq,msn软件都能正常登陆。这下我们能说问题解决了。都不知道说什么好了!网络这东西真是害人不浅,更证明了一句话:网管不是人干的差事。
问题的原因:(原因是网上摘取的)
在局域网中,通过ARP协议来完成IP地址转换为第二层物理地址(即MAC地址)的。ARP协议对网络安全具有重要的意义。通过伪造IP地址和MAC地址实现ARP欺骗,能够在网络中产生大量的ARP通信量使网络阻塞。
ARP协议是“Address Resolution Protocol”(地址解析协议)的缩写。在局域网中,网络中实际传输的是“帧”,帧里面是有目标主机的MAC地址的。在以太网中,一个主机要和另一个主机进行直接通信,必须要知道目标主机的MAC地址。但这个目标MAC地址是如何获得的呢?它就是通过地址解析协议获得的。所谓“地址解析”就是主机在发送帧前将目标IP地址转换成目标MAC地址的过程。ARP协议的基本功能就是通过目标设备的IP地址,查询目标设备的MAC地址,以保证通信的顺利进行。
简单的说arp就是你家的门,而arp欺骗就是把你家的门锁上了一把别人的锁,而你没有钥匙出不去。就是这样,原理很简单,过程很复杂。而这种欺骗杀毒软件是查不到的,我周一的时候联系过瑞星的工程师,他们说:arp欺骗不是病毒也不是木马,只是一种程序利用tcp/ip协议和路由器的的漏洞来进行攻击,还有一种可能就是那些盗号的木马造成的。因为每个软件都分为还记个部分,而最低层的就是负责通讯的程序(如果你能明白盗号木马的工作原理,那么这根问题很容易解释)。杀毒软件会得到比较高的程次的病毒定义,可以把比较高的程序模块当作病毒杀掉。但是最低层的arp部分,由于涉及到tcp/ip协议,所以就被忽略了。结果造成了现在的结果。
好了,这下终于能结束了。也能回家了,哇哈哈哈~!!
页:
[1]