關于arp欺騙造成的ip地址沖突,如何找到是誰干的 - 青出于藍的日志 - 網易博客

象王 2011-05-16

展開全文

關于arp欺騙造成的ip地址沖突,如何找到是誰干的

計算機技術 2008-04-21 20:08:20 閱讀727 評論0 字號：大中小訂閱

關于arp欺騙造成的ip地址沖突,如何找到是誰干的

我的電腦是通過一棟樓里的網關實現上網的.正常情況下,我的ip地址是必須指定的,但不管指定哪一個地址,(只要不重復)都可以上網.

但最近.我懷疑是網內有人用了什么軟件,我的電腦一開機就顯示出"ip地址沖突",上網上不了.而且不管我換什么地址,都是如此顯示.后來,我用家里的另一臺電腦,(同一根上網線),也是顯示"ip地址沖突".只有在夜里1點到7點的時候,沒有ip地址沖突,可以上網,過了這個時間,就又出現問題.(我懷疑可以上網的時候是因為那個人關機睡覺了)

我的問題是:

1.這是不是就是傳說中的arp欺騙?

2.如何找出這個人是誰??(最重要的問題)

3.如果已經顯示"ip地址沖突",如何解決?

問題補充：我可能沒說清楚,如果我的計算機顯示"ip地址沖突"的時候,原來所有可用的ip地址更換后也都顯示為"ip地址沖突",沒有一個地址可用.

提問者： mpsuper - 兵卒一級

最佳答案

如何對付arp欺騙工具--網絡執(zhí)法官

[ 作者：佚名文章屬性：轉載來自：未知點擊數：7568 錄入時間：2005-11-28 文章錄入：飛泉 ]

一、網絡執(zhí)法官是很好的arp欺騙工具

我們可以在局域網中任意一臺機器上運行網絡執(zhí)法官的主程序NetRobocop.exe,它可

以穿透防火墻、實時監(jiān)控、記錄整個局域網用戶上線情況，可限制各用戶上線時所

用的IP、時段，并可將非法用戶踢下局域網。該軟件適用范圍為局域網內部，不能

對網關或路由器外的機器進行監(jiān)視或管理，適合局域網管理員使用。

在網絡執(zhí)法官中，要想限制某臺機器上網，只要點擊"網卡"菜單中的"權限"，選擇

指定的網卡號或在用戶列表中點擊該網卡所在行，從右鍵菜單中選擇"權限"，在彈

出的對話框中即可限制該用戶的權限。對于未登記網卡，可以這樣限定其上線：只

要設定好所有已知用戶（登記）后，將網卡的默認權限改為禁止上線即可阻止所有

未知的網卡上線。使用這兩個功能就可限制用戶上網。其原理是通過ARP欺騙發(fā)給被

攻擊的電腦一個假的網關IP地址對應的MAC，使其找不到網關真正的MAC地址，這樣

就可以禁止其上網。

二、ARP欺騙的原理

網絡執(zhí)法官中利用的ARP欺騙使被攻擊的電腦無法上網，其原理就是使該電腦無法找

到網關的MAC地址。那么ARP欺騙到底是怎么回事呢？知其然，知其所以然是我們《

黑客X檔案》的優(yōu)良傳統(tǒng)，下面我們就談談這個問題。

首先給大家說說什么是ARP,ARP（Address Resolution Protocol）是地址解析協議

，是一種將IP地址轉化成物理地址的協議。從IP地址到物理地址的映射有兩種方式

：表格方式和非表格方式。ARP具體說來就是將網絡層（IP層，也就是相當于OSI的

第三層）地址解析為數據連接層（MAC層，也就是相當于OSI的第二層）的MAC地址。

ARP原理：某機器A要向主機B發(fā)送報文，會查詢本地的ARP緩存表，找到B的IP地址對

應的MAC地址后，就會進行數據傳輸。如果未找到，則廣播A一個ARP請求報文（攜帶

主機A的IP地址Ia——物理地址Pa），請求IP地址為Ib的主機B回答物理地址Pb。網

上所有主機包括B都收到ARP請求，但只有主機B識別自己的IP地址，于是向A主機發(fā)

回一個ARP響應報文。其中就包含有B的MAC地址，A接收到B的應答后，就會更新本地

的ARP緩存。接著使用這個MAC地址發(fā)送數據（由網卡附加MAC地址）。因此，本地高

速緩存的這個ARP表是本地網絡流通的基礎，而且這個緩存是動態(tài)的。

ARP協議并不只在發(fā)送了ARP請求才接收ARP應答。當計算機接收到ARP應答數據包的

時候，就會對本地的ARP緩存進行更新，將應答中的IP和MAC地址存儲在ARP緩存中。

因此，當局域網中的某臺機器B向A發(fā)送一個自己偽造的ARP應答，而如果這個應答是

B冒充C偽造來的，即IP地址為C的IP，而MAC地址是偽造的，則當A接收到B偽造的AR

P應答后，就會更新本地的ARP緩存，這樣在A看來C的IP地址沒有變，而它的MAC地址

已經不是原來那個了。由于局域網的網絡流通不是根據IP地址進行，而是按照MAC地

址進行傳輸。所以，那個偽造出來的MAC地址在A上被改變成一個不存在的MAC地址，

這樣就會造成網絡不通，導致A不能Ping通C！這就是一個簡單的ARP欺騙。

網絡執(zhí)法官利用的就是這個原理！知道了它的原理，再突破它的防線就容易多了。

三、修改MAC地址突破網絡執(zhí)法官的封鎖

根據上面的分析，我們不難得出結論：只要修改MAC地址，就可以騙過網絡執(zhí)法官的

掃描，從而達到突破封鎖的目的。下面是修改網卡MAC地址的方法：

在"開始"菜單的"運行"中輸入regedit，打開注冊表編輯器，展開注冊表到：HKEY_

LOCAL_ MACHINE\System\CurrentControl Set\Control\Class\{4D36E972-E325-11CE-BFC1-08002BE10318}子鍵，在子鍵下的0000，0001，0002等分支中查找DriverDesc（如果你有一塊以上的網卡，就有0001，0002......在這里保存了有關你的網卡的信息，其中的DriverDesc內容就是網卡的信息描述，比如我的網卡是Intel 21041 based Ethernet Controller），在這里假設你的網卡在0000子鍵。

在0000子鍵下添加一個字符串，命名為"NetworkAddress"，鍵值為修改后的MAC地址，要求為連續(xù)的12個16進制數。然后在"0000"子鍵下的NDI\params中新建一項名為

NetworkAddress的子鍵，在該子鍵下添加名為"default"的字符串，鍵值為修改后的

MAC地址。在NetworkAddress的子鍵下繼續(xù)建立名為"ParamDesc"的字符串，其作用為指定NetworkAddress的描述，其值可為"MAC Address"。這樣以后打開網絡鄰居的"屬性"，雙擊相應的網卡就會發(fā)現有一個"高級"設置，其下存在MAC Address的選項，它就是你在注冊表中加入的新項"NetworkAddress"，以后只要在此修改MAC地址就可以了。

關閉注冊表，重新啟動，你的網卡地址已改。打開網絡鄰居的屬性，雙擊相應網卡項會發(fā)現有一個MAC Address的高級設置項，用于直接修改MAC地址。

MAC地址也叫物理地址、硬件地址或鏈路地址，由網絡設備制造商生產時寫在硬件內

部。這個地址與網絡無關，即無論將帶有這個地址的硬件（如網卡、集線器、路由

器等）接入到網絡的何處，它都有相同的MAC地址，MAC地址一般不可改變，不能由

用戶自己設定。MAC地址通常表示為12個16進制數，每2個16進制數之間用冒號隔開

，如：08:00:20:0A:8C:6D就是一個MAC地址，其中前6位16進制數，08:00:20代表網

絡硬件制造商的編號，它由IEEE分配，而后3位16進制數0A:8C:6D代表該制造商所制

造的某個網絡產品（如網卡）的系列號。每個網絡制造商必須確保它所制造的每個

以太網設備都具有相同的前三字節(jié)以及不同的后三個字節(jié)。這樣就可保證世界上每

個以太網設備都具有唯一的MAC地址。

另外，網絡執(zhí)法官的原理是通過ARP欺騙發(fā)給某臺電腦有關假的網關IP地址所對應的

MAC地址，使其找不到網關真正的MAC地址。因此，只要我們修改IP到MAC的映射就可