大家看图吧,发这个问题好几次了,一次都没有显示.网关发送请求,一秒发一次,数量不固定.
请大家帮忙分析一下。谢谢啊 解决问题的,送100分 没人回答的话我要关闭问题啦。
网关突然向我发送大量请求
答案:1 悬赏:60 手机版
解决时间 2021-02-23 07:21
- 提问者网友:两耳就是菩提
- 2021-02-23 02:08
最佳答案
- 五星知识达人网友:走死在岁月里
- 2021-02-23 03:46
你查到的是网关发的,但是内网中有人用ARP欺骗的方式伪装网关也不无可能.
大型路由器防范arp病毒就是这样整网扫描。
据我判断如果你上网正常那就应该是arp的一种防范策略。
至于你说的网速慢那肯定是有人在p2p占用资源,具体的要你自己去做测试。
arp包有两种,一种是请求包,一种是应答包。如果不断的发应答包,这个肯定是有问题,因为正常arp应该是先请求,然后同一广播域的客户端收到后,符合条件的才应答;另外根据你的描述,是arp请求包,应该是存在网络扫描的情况
局域网内arp攻防策略
写这个完全是这些天来,跟局域网内各种不良行为做斗争的结果。呵呵
文中的实验环境,是ADSL路由器+交换机+若干PC组成,PC包括windows跟linux的系统。文中的知识也应该适应大部分同学的网络环境。
先介绍一点基础知识:
在局域网中,或者扩大范围,任何网络环境中,两台机器的标示一般都是IP地址来表示的。但是,网络协议栈分层确不是以IP层为最底层,所以,实际通信中,必须依靠MAC地址来标识两台不同的主机。当然,本机是可以获取到本机的MAC的,但是如何获得与之通信的另一方的MAC地址呢?这就需要今天的主角出场了,欢迎臭名昭著的ARP协议登场!一提到ARP,大家都会想到ARP病毒,(ARP同学:“我太冤了!”),其实网络中根本就离不开ARP协议,虽然这个协议很傻。ARP的工作流程如下:比如我的主机是192.168.0.100,
然后我想跟网关192.168.0.1通信,但是现在我不知道192.168.0.1的MAC地址,首先,我会发送一个ARP的请求包,其中填写我的IP(192.168.0.100)跟MAC地址(11:22:33:44:55:66),并且说"谁是192.168.0.1,把你的MAC发给我",正常情况下,192.168.0.1收到包以后,会回复一个包给192.168.0.100,告知他的MAC(99:88:77:66:55:44),下来双方都已经知道对方的MAC,就可以正常通信了。
以上就是正常的局域网内的获取MAC地址的过程,现在大家也可以发现,在这个过程中,有一个漏洞,就是无论是哪台机器给请求机发一个确认报文,请求机都会认为这是可靠的主机发送的,并把这个机器的MAC跟IP记录在自己的表中,这个表是可以用arp -a来查看到得,正确的应该如下显示:
C:\Documents and Settings\Administrator>arp -a
Interface: 123.125.128.49 --- 0x3
Internet Address Physical Address Type
192.168.0.1 99:88:77:66:55:44 dynamic
192.168.0.106 00-1c-25-90-e4-2d dynamic
这个表中有两条ARP的记录,说明主机曾经接受过两个包,分别是192.168.0.1跟192.168.0.106的。(看起来是这样的)。
其实,当另一台主机想对你进行欺骗的时候,它一般会发送一个ARP包给你,告诉他的MAC地址跟网关的IP,这样,你的主机就会记录这条假的网关的信息,以后发送的正常通信的包都会经由欺骗主机转发出去,这样,这台主机就会获取到你的一切记录!是不是很恐怖啊。有没有什么方法可以让你发出去的正常包直接经过正常的网关出去呢,有,那就是ARP绑定,可以在你的主机执行如下命令:
arp -s 网关ip 网关MAC
这样去查看arp表就会发现类型已经不是dynamic,而是static了。
上述命令可在windows与linux下执行,但是windows下的MAC是用“-”来分隔的,linux下是用“:”来分隔的。
这样就可以避免局域网内的中毒主机对你进行的ARP欺骗了。
但是网络环境中总有一些居心不良的哥们在妄图独霸网络,这些人采用的手段无所不用其极!各种限制网速的工具层出不穷。经过上述步骤以后,发现网速依然很慢,基本等同没有,通过arp表来查看,发现除网关以外,还有其他条目。这绝对不正常,因为正常环境中,局域网内两台主机很少会发生通信的,通过抓包工具观察,发现一台主机在给所有网内主机发送ARP请求包,有问题,对方为什么要获取所有其他机器的MAC地址呢?绝对有问题。据在下估计,可能是攻击主机获取正常主机的MAC地址之后,给网关发送欺骗包来修改正常主机的MAC与IP对应关系,使网关与主机之间不能正常通信。有没有解决办法呢?有,在网关端绑定所有主机的IP与MAC就好了。一般的ADSL猫应该都带有这个功能的。
接下来是比较麻烦的一个问题了,我没有路由器的密码,根本无权限在网关端进行操作,怎么办呢?有一个变态的解决方案,在
linux下有一个工具叫arpoison,可以编辑ARP报文并发送,下载安装的过程就不说了,下面是用法:
arpoison -i eth0 -d 网关IP -s 本机IP -t 网关MAC -r 本机MAC
这条命令会通过eth网卡往出不断的发送本机的MAC与ip给网关,这样可以保证网关端关于你的主机的信息是正确的。
当然这条命令还可以做什么我就不多说了,再说就是教人干坏事了,有兴趣的朋友可以自己发挥想象力,开动脑筋去做一些无伤大雅的实验。当然,要做就要做到不留痕迹,被人发现了群殴的时候可不要说这是在下介绍的方法。
经过这些以后,基本可以确保你在MAC跟IP这两层之间是不会出什么问题了,另外,为了安全,最好不要通过DHCP来获取地址,而改成静态地址,并且DNS最好手动填写,不要从网关获取,这样可以降低风险。以上就是这些天跟网内恶霸做斗争的心得,分享给大家,最后说一句,良好的网络环境还得大家共同维护。
大型路由器防范arp病毒就是这样整网扫描。
据我判断如果你上网正常那就应该是arp的一种防范策略。
至于你说的网速慢那肯定是有人在p2p占用资源,具体的要你自己去做测试。
arp包有两种,一种是请求包,一种是应答包。如果不断的发应答包,这个肯定是有问题,因为正常arp应该是先请求,然后同一广播域的客户端收到后,符合条件的才应答;另外根据你的描述,是arp请求包,应该是存在网络扫描的情况
局域网内arp攻防策略
写这个完全是这些天来,跟局域网内各种不良行为做斗争的结果。呵呵
文中的实验环境,是ADSL路由器+交换机+若干PC组成,PC包括windows跟linux的系统。文中的知识也应该适应大部分同学的网络环境。
先介绍一点基础知识:
在局域网中,或者扩大范围,任何网络环境中,两台机器的标示一般都是IP地址来表示的。但是,网络协议栈分层确不是以IP层为最底层,所以,实际通信中,必须依靠MAC地址来标识两台不同的主机。当然,本机是可以获取到本机的MAC的,但是如何获得与之通信的另一方的MAC地址呢?这就需要今天的主角出场了,欢迎臭名昭著的ARP协议登场!一提到ARP,大家都会想到ARP病毒,(ARP同学:“我太冤了!”),其实网络中根本就离不开ARP协议,虽然这个协议很傻。ARP的工作流程如下:比如我的主机是192.168.0.100,
然后我想跟网关192.168.0.1通信,但是现在我不知道192.168.0.1的MAC地址,首先,我会发送一个ARP的请求包,其中填写我的IP(192.168.0.100)跟MAC地址(11:22:33:44:55:66),并且说"谁是192.168.0.1,把你的MAC发给我",正常情况下,192.168.0.1收到包以后,会回复一个包给192.168.0.100,告知他的MAC(99:88:77:66:55:44),下来双方都已经知道对方的MAC,就可以正常通信了。
以上就是正常的局域网内的获取MAC地址的过程,现在大家也可以发现,在这个过程中,有一个漏洞,就是无论是哪台机器给请求机发一个确认报文,请求机都会认为这是可靠的主机发送的,并把这个机器的MAC跟IP记录在自己的表中,这个表是可以用arp -a来查看到得,正确的应该如下显示:
C:\Documents and Settings\Administrator>arp -a
Interface: 123.125.128.49 --- 0x3
Internet Address Physical Address Type
192.168.0.1 99:88:77:66:55:44 dynamic
192.168.0.106 00-1c-25-90-e4-2d dynamic
这个表中有两条ARP的记录,说明主机曾经接受过两个包,分别是192.168.0.1跟192.168.0.106的。(看起来是这样的)。
其实,当另一台主机想对你进行欺骗的时候,它一般会发送一个ARP包给你,告诉他的MAC地址跟网关的IP,这样,你的主机就会记录这条假的网关的信息,以后发送的正常通信的包都会经由欺骗主机转发出去,这样,这台主机就会获取到你的一切记录!是不是很恐怖啊。有没有什么方法可以让你发出去的正常包直接经过正常的网关出去呢,有,那就是ARP绑定,可以在你的主机执行如下命令:
arp -s 网关ip 网关MAC
这样去查看arp表就会发现类型已经不是dynamic,而是static了。
上述命令可在windows与linux下执行,但是windows下的MAC是用“-”来分隔的,linux下是用“:”来分隔的。
这样就可以避免局域网内的中毒主机对你进行的ARP欺骗了。
但是网络环境中总有一些居心不良的哥们在妄图独霸网络,这些人采用的手段无所不用其极!各种限制网速的工具层出不穷。经过上述步骤以后,发现网速依然很慢,基本等同没有,通过arp表来查看,发现除网关以外,还有其他条目。这绝对不正常,因为正常环境中,局域网内两台主机很少会发生通信的,通过抓包工具观察,发现一台主机在给所有网内主机发送ARP请求包,有问题,对方为什么要获取所有其他机器的MAC地址呢?绝对有问题。据在下估计,可能是攻击主机获取正常主机的MAC地址之后,给网关发送欺骗包来修改正常主机的MAC与IP对应关系,使网关与主机之间不能正常通信。有没有解决办法呢?有,在网关端绑定所有主机的IP与MAC就好了。一般的ADSL猫应该都带有这个功能的。
接下来是比较麻烦的一个问题了,我没有路由器的密码,根本无权限在网关端进行操作,怎么办呢?有一个变态的解决方案,在
linux下有一个工具叫arpoison,可以编辑ARP报文并发送,下载安装的过程就不说了,下面是用法:
arpoison -i eth0 -d 网关IP -s 本机IP -t 网关MAC -r 本机MAC
这条命令会通过eth网卡往出不断的发送本机的MAC与ip给网关,这样可以保证网关端关于你的主机的信息是正确的。
当然这条命令还可以做什么我就不多说了,再说就是教人干坏事了,有兴趣的朋友可以自己发挥想象力,开动脑筋去做一些无伤大雅的实验。当然,要做就要做到不留痕迹,被人发现了群殴的时候可不要说这是在下介绍的方法。
经过这些以后,基本可以确保你在MAC跟IP这两层之间是不会出什么问题了,另外,为了安全,最好不要通过DHCP来获取地址,而改成静态地址,并且DNS最好手动填写,不要从网关获取,这样可以降低风险。以上就是这些天跟网内恶霸做斗争的心得,分享给大家,最后说一句,良好的网络环境还得大家共同维护。
我要举报
如以上回答内容为低俗、色情、不良、暴力、侵权、涉及违法等信息,可以点下面链接进行举报!
点此我要举报以上问答信息
大家都在看
推荐资讯