關(guān)于arp欺騙造成的ip地址沖突,如何找到是誰干的
我的電腦是通過一棟樓里的網(wǎng)關(guān)實(shí)現(xiàn)上網(wǎng)的.正常情況下,我的ip地址是必須指定的,但不管指定哪一個地址,(只要不重復(fù))都可以上網(wǎng).
但最近.我懷疑是網(wǎng)內(nèi)有人用了什么軟件,我的電腦一開機(jī)就顯示出"ip地址沖突",上網(wǎng)上不了.而且不管我換什么地址,都是如此顯示.后來,我用家里的另一臺電腦,(同一根上網(wǎng)線),也是顯示"ip地址沖突".只有在夜里1點(diǎn)到7點(diǎn)的時候,沒有ip地址沖突,可以上網(wǎng),過了這個時間,就又出現(xiàn)問題.(我懷疑可以上網(wǎng)的時候是因?yàn)槟莻€人關(guān)機(jī)睡覺了)
我的問題是:
1.這是不是就是傳說中的arp欺騙?
2.如何找出這個人是誰??(最重要的問題)
3.如果已經(jīng)顯示"ip地址沖突",如何解決?
問題補(bǔ)充:我可能沒說清楚,如果我的計算機(jī)顯示"ip地址沖突"的時候,原來所有可用的ip地址更換后也都顯示為"ip地址沖突",沒有一個地址可用.
提問者: mpsuper - 兵卒 一級
最佳答案
如何對付arp欺騙工具--網(wǎng)絡(luò)執(zhí)法官
[ 作者:佚名 文章屬性:轉(zhuǎn)載 來自:未知 點(diǎn)擊數(shù):7568 錄入時間:2005-11-28 文章錄入:飛泉 ]
一�、網(wǎng)絡(luò)執(zhí)法官是很好的arp欺騙工具
我們可以在局域網(wǎng)中任意一臺機(jī)器上運(yùn)行網(wǎng)絡(luò)執(zhí)法官的主程序NetRobocop.exe,它可
以穿透防火墻、實(shí)時監(jiān)控���、記錄整個局域網(wǎng)用戶上線情況,可限制各用戶上線時所
用的IP��、時段�����,并可將非法用戶踢下局域網(wǎng)�。該軟件適用范圍為局域網(wǎng)內(nèi)部,不能
對網(wǎng)關(guān)或路由器外的機(jī)器進(jìn)行監(jiān)視或管理�,適合局域網(wǎng)管理員使用��。
在網(wǎng)絡(luò)執(zhí)法官中�����,要想限制某臺機(jī)器上網(wǎng)�����,只要點(diǎn)擊"網(wǎng)卡"菜單中的"權(quán)限"����,選擇
指定的網(wǎng)卡號或在用戶列表中點(diǎn)擊該網(wǎng)卡所在行���,從右鍵菜單中選擇"權(quán)限"���,在彈
出的對話框中即可限制該用戶的權(quán)限。對于未登記網(wǎng)卡�,可以這樣限定其上線:只
要設(shè)定好所有已知用戶(登記)后,將網(wǎng)卡的默認(rèn)權(quán)限改為禁止上線即可阻止所有
未知的網(wǎng)卡上線��。使用這兩個功能就可限制用戶上網(wǎng)���。其原理是通過ARP欺騙發(fā)給被
攻擊的電腦一個假的網(wǎng)關(guān)IP地址對應(yīng)的MAC��,使其找不到網(wǎng)關(guān)真正的MAC地址����,這樣
就可以禁止其上網(wǎng)。
二���、ARP欺騙的原理
網(wǎng)絡(luò)執(zhí)法官中利用的ARP欺騙使被攻擊的電腦無法上網(wǎng)��,其原理就是使該電腦無法找
到網(wǎng)關(guān)的MAC地址���。那么ARP欺騙到底是怎么回事呢?知其然�,知其所以然是我們《
黑客X檔案》的優(yōu)良傳統(tǒng),下面我們就談?wù)勥@個問題��。
首先給大家說說什么是ARP,ARP(Address Resolution Protocol)是地址解析協(xié)議
���,是一種將IP地址轉(zhuǎn)化成物理地址的協(xié)議。從IP地址到物理地址的映射有兩種方式
:表格方式和非表格方式�����。ARP具體說來就是將網(wǎng)絡(luò)層(IP層���,也就是相當(dāng)于OSI的
第三層)地址解析為數(shù)據(jù)連接層(MAC層��,也就是相當(dāng)于OSI的第二層)的MAC地址�����。
ARP原理:某機(jī)器A要向主機(jī)B發(fā)送報文����,會查詢本地的ARP緩存表,找到B的IP地址對
應(yīng)的MAC地址后����,就會進(jìn)行數(shù)據(jù)傳輸。如果未找到�����,則廣播A一個ARP請求報文(攜帶
主機(jī)A的IP地址Ia——物理地址Pa)���,請求IP地址為Ib的主機(jī)B回答物理地址Pb����。網(wǎng)
上所有主機(jī)包括B都收到ARP請求,但只有主機(jī)B識別自己的IP地址�,于是向A主機(jī)發(fā)
回一個ARP響應(yīng)報文。其中就包含有B的MAC地址���,A接收到B的應(yīng)答后��,就會更新本地
的ARP緩存�����。接著使用這個MAC地址發(fā)送數(shù)據(jù)(由網(wǎng)卡附加MAC地址)��。因此����,本地高
速緩存的這個ARP表是本地網(wǎng)絡(luò)流通的基礎(chǔ)�����,而且這個緩存是動態(tài)的����。
ARP協(xié)議并不只在發(fā)送了ARP請求才接收ARP應(yīng)答�����。當(dāng)計算機(jī)接收到ARP應(yīng)答數(shù)據(jù)包的
時候,就會對本地的ARP緩存進(jìn)行更新�����,將應(yīng)答中的IP和MAC地址存儲在ARP緩存中��。
因此�����,當(dāng)局域網(wǎng)中的某臺機(jī)器B向A發(fā)送一個自己偽造的ARP應(yīng)答�����,而如果這個應(yīng)答是
B冒充C偽造來的�,即IP地址為C的IP,而MAC地址是偽造的��,則當(dāng)A接收到B偽造的AR
P應(yīng)答后�����,就會更新本地的ARP緩存��,這樣在A看來C的IP地址沒有變,而它的MAC地址
已經(jīng)不是原來那個了��。由于局域網(wǎng)的網(wǎng)絡(luò)流通不是根據(jù)IP地址進(jìn)行���,而是按照MAC地
址進(jìn)行傳輸���。所以,那個偽造出來的MAC地址在A上被改變成一個不存在的MAC地址���,
這樣就會造成網(wǎng)絡(luò)不通�����,導(dǎo)致A不能Ping通C�!這就是一個簡單的ARP欺騙����。
網(wǎng)絡(luò)執(zhí)法官利用的就是這個原理!知道了它的原理��,再突破它的防線就容易多了��。
三�����、修改MAC地址突破網(wǎng)絡(luò)執(zhí)法官的封鎖
根據(jù)上面的分析����,我們不難得出結(jié)論:只要修改MAC地址,就可以騙過網(wǎng)絡(luò)執(zhí)法官的
掃描����,從而達(dá)到突破封鎖的目的。下面是修改網(wǎng)卡MAC地址的方法:
在"開始"菜單的"運(yùn)行"中輸入regedit���,打開注冊表編輯器��,展開注冊表到:HKEY_
LOCAL_ MACHINE\System\CurrentControl Set\Control\Class\{4D36E972-E325-11CE-BFC1-08002BE10318}子鍵�����,在子鍵下的0000���,0001,0002等分支中查找DriverDesc(如果你有一塊以上的網(wǎng)卡�,就有0001,0002......在這里保存了有關(guān)你的網(wǎng)卡的信息�����,其中的DriverDesc內(nèi)容就是網(wǎng)卡的信息描述,比如我的網(wǎng)卡是Intel 21041 based Ethernet Controller)��,在這里假設(shè)你的網(wǎng)卡在0000子鍵�����。
在0000子鍵下添加一個字符串��,命名為"NetworkAddress"���,鍵值為修改后的MAC地址��,要求為連續(xù)的12個16進(jìn)制數(shù)�����。然后在"0000"子鍵下的NDI\params中新建一項(xiàng)名為
NetworkAddress的子鍵�����,在該子鍵下添加名為"default"的字符串����,鍵值為修改后的
MAC地址。在NetworkAddress的子鍵下繼續(xù)建立名為"ParamDesc"的字符串��,其作用為指定NetworkAddress的描述�����,其值可為"MAC Address"�。這樣以后打開網(wǎng)絡(luò)鄰居的"屬性"���,雙擊相應(yīng)的網(wǎng)卡就會發(fā)現(xiàn)有一個"高級"設(shè)置�����,其下存在MAC Address的選項(xiàng)�����,它就是你在注冊表中加入的新項(xiàng)"NetworkAddress"�,以后只要在此修改MAC地址就可以了���。
關(guān)閉注冊表�,重新啟動����,你的網(wǎng)卡地址已改����。打開網(wǎng)絡(luò)鄰居的屬性���,雙擊相應(yīng)網(wǎng)卡項(xiàng)會發(fā)現(xiàn)有一個MAC Address的高級設(shè)置項(xiàng)�����,用于直接修改MAC地址����。
MAC地址也叫物理地址����、硬件地址或鏈路地址,由網(wǎng)絡(luò)設(shè)備制造商生產(chǎn)時寫在硬件內(nèi)
部���。這個地址與網(wǎng)絡(luò)無關(guān)����,即無論將帶有這個地址的硬件(如網(wǎng)卡��、集線器、路由
器等)接入到網(wǎng)絡(luò)的何處����,它都有相同的MAC地址,MAC地址一般不可改變�,不能由
用戶自己設(shè)定。MAC地址通常表示為12個16進(jìn)制數(shù)���,每2個16進(jìn)制數(shù)之間用冒號隔開
,如:08:00:20:0A:8C:6D就是一個MAC地址����,其中前6位16進(jìn)制數(shù),08:00:20代表網(wǎng)
絡(luò)硬件制造商的編號�����,它由IEEE分配��,而后3位16進(jìn)制數(shù)0A:8C:6D代表該制造商所制
造的某個網(wǎng)絡(luò)產(chǎn)品(如網(wǎng)卡)的系列號�����。每個網(wǎng)絡(luò)制造商必須確保它所制造的每個
以太網(wǎng)設(shè)備都具有相同的前三字節(jié)以及不同的后三個字節(jié)��。這樣就可保證世界上每
個以太網(wǎng)設(shè)備都具有唯一的MAC地址。
另外���,網(wǎng)絡(luò)執(zhí)法官的原理是通過ARP欺騙發(fā)給某臺電腦有關(guān)假的網(wǎng)關(guān)IP地址所對應(yīng)的
MAC地址��,使其找不到網(wǎng)關(guān)真正的MAC地址�����。因此��,只要我們修改IP到MAC的映射就可
使網(wǎng)絡(luò)執(zhí)法官的ARP欺騙失效����,就隔開突破它的限制���。你可以事先Ping一下網(wǎng)關(guān)��,然
后再用ARP -a命令得到網(wǎng)關(guān)的MAC地址����,最后用ARP -s IP 網(wǎng)卡MAC地址命令把網(wǎng)關(guān)
的IP地址和它的MAC地址映射起來就可以了���。
四�����、找到兇手
解除了網(wǎng)絡(luò)執(zhí)法官的封鎖后��,我們可以利用Arpkiller的"Sniffer殺手"掃描整個局
域網(wǎng)IP段����,然后查找處在"混雜"模式下的計算機(jī),就可以發(fā)現(xiàn)對方了����。具體方法是
:運(yùn)行Arpkiller(圖2),然后點(diǎn)擊"Sniffer監(jiān)測工具"�,在出現(xiàn)的"Sniffer殺手"
窗口中輸入檢測的起始和終止IP(圖3)��,單擊"開始檢測"就可以了���。
檢測完成后����,如果相應(yīng)的IP是綠帽子圖標(biāo)����,說明這個IP處于正常模式��,如果是紅帽
子則說明該網(wǎng)卡處于混雜模式�����。它就是我們的目標(biāo)���,就是這個家伙在用網(wǎng)絡(luò)執(zhí)法官
在搗亂。
掃描時自己也處在混雜模式���,把自己不能算在其中哦����!
找到對方后怎么對付他就是你的事了�����,比方說你可以利用網(wǎng)絡(luò)執(zhí)法官把對方也給封
鎖了�!
參考資料:某網(wǎng)站
回答者:咴忻 - 魔法師 五級 2-13 09:17
提問者對于答案的評價:
只是一定要當(dāng)arp欺騙發(fā)生的時候才可以用的上,還有沒有別的辦法?
不過還是謝謝
您覺得最佳答案好不好? 目前有 0 個人評價
50% (0)
50% (0)
其他回答共 2 條arp欺騙會讓你斷網(wǎng)��,但不是ip沖突
你也沒必要找�����,因?yàn)椴皇莂rp
你找到可用的ip后和你的網(wǎng)卡綁定就是了
回答者:dxynew2001 - 一派掌門 十二級 2-13 09:17
1,這不是ARP欺騙
2,不容易找出來
3,改個能用的IP就行了,如果要綁定IP,可以在cmd下輸入arp -s IP地址 網(wǎng)卡MAC
