arp小记

 

 

        整个楼层就2家公司都是我们董事长的，另一家公司部分员工在我们的办公区上班，其实也是一大隐患啊！！
   3天前部门同事反应QQ老是掉线，我也感觉不正常了，我的第一反应是网络中招了。公司网络是简单的不能再简单的那种，所
以不需要专门的网络维护，出了问题还是要解决的，问题就落到我的头上了，悲催。。。哈哈。这事情遇到的不多。
   登上路由看log，我擦，wan口总是被ping，还好，小包不足畏惧，也是禁ping的，但有一条是内部一台机器莫名的乱发包，
看来是中ARP。就怕IP和MAC都是虚假的，那我可就悲剧了。
   我sniffer还真不怎么通，只能常规的来进行判断，筛选了。

 

   
   1、不管是不是日志报告的那台机器的问题，我都会把他的MAC在路由防火墙上禁止掉，好让他找行政说无法上网，好知道是
谁。（有点残忍啦，但是没办法）
   2、arp  -a  查看网关对应的MAC地址。哈哈，网关对应的MAC地址不是它自己的，在路由器上找出来那个MAC地址，还真是有
，又将其禁掉（在路由上禁止MAC后内部、公网都不行）。

   频繁掉线大概30分钟左右就停止了。而且上不了网的信息也传过来了，结果和我预料的差不多，非我公司人员所为，逼迫他
重新装了系统，然后安装杀毒、打补丁。一切正常。如果还是没有解决问题我都想出最笨的方法了，去交换机上拔端口，机器规模又不大。

   内部缺陷：没有固定ip和mac对应，全部都是DHCP活的地址的；如果有vlan也好啊。
   个人缺陷：我咋就对抓包这些不会呢？
  ################################################################################################
   最后写一下ARP的原理吧。
  
   我今天遇到的问题就是一个简单的网关欺骗。
  
    ARP协议是“Address Resolution Protocol”（地址解析协议）的缩写。在局域网中，网络中实际传输的是“帧”，帧里面是
有目标主机的MAC地址的。在以太网中，一个主机要和另一个主机进行直接通信，必须要知道目标主机的MAC地址。但这个目标MAC地址是如何获得的呢？它就是通过地址解析协议获得的。所谓“地址解析”就是主机在发送帧前将目标IP地址转换成目标MAC地址的过程。ARP协议的基本功能就是通过目标设备的IP地址，查询目标设备的MAC地址，以保证通信的顺利进行。

    正常情况下：
     A和B 对应的网关MAC 都是gg-gg-gg-gg-gg-gg,通过网关往外发送数据。并定期更新自己的缓存表。
    
     如果arp缓存表里面没有对应的ip，A就会在整个网段发送一个广播"我的ip是192.168.1.10 MAC是aa-aa-aa-aa-aa-aa 192.
168.1.1的MAC是多少"
     在相同网络上的机器都能接收到，但是只有192.168.1.1回应，MAC是gg-gg-gg-gg-gg-gg ，这样A也会更新自己的ARP缓存
表，以后发送就会直接查找缓存表进行发送。

 

   问题情况下：
  
    如果arp缓存表里面没有对应的ip，A就会在整个网段发送一个广播"我的ip是192.168.1.10 MAC是aa-aa-aa-aa-aa-aa 192.
168.1.1的MAC是多少"
    B这时却回答了"192.168.1.1的MAC是bb-bb-bb-bb-bb-bb" A也不知道真假，既然有了回应，更新自己的ARP表。
   
   这样有了B的插足，所有找网关的都跑到B那去了。
  
   ###################################################################################3
  
   结束语：
     还好这次网灾没有全部断网，出问题的机器不是本公司的，兄弟公司咱也不好说什么，但是却也让人很纠结的是都是裸奔
。