幫忙：老總的ip被人占用了，怎么辦？

sunsroad

原帖由 "jackyshu" 發(fā)表：
我想請樓上的朋友用“圣經(jīng)”的知識解釋一下：
一個VLan就是一個廣播域，在沒有第三層設備的情況下，你如何讓兩個廣播域能夠通訊？
BTW:這個問題要能解決，路由器廠商都該破產(chǎn)了。 :wink:

   

這個問題你應該請教 JohnBull 先生，是這位先生在前面的一個貼子里
http://www.chinaunix.net/forum/viewtopic.php?t=68840
教導大家的
好象還用來給他所培訓的弟子做什么下馬威來著

有老師如此，幸甚至哉

sunsroad

原帖由 "jackyshu" 發(fā)表：
   
如果你想說通過編程的方法來發(fā)送虛假的源MAC地址的包，很顯然這已經(jīng)脫離了IP地址盜用問題的范疇了。

   

我認為，這個問題也是可以解決的，不管他是不是用的假的mac，在交換機的映射表里的映射都是不會錯的，如下：

port number                   mac address
   .                               .
   .                               .
   .                               .
port n                           macA
   .                               .

這里的macA對應的就是他用來構造鏈路幀的那一個mac不必要管他是真還是假。

然后我在一臺跟他通訊過不久的機器用上arp -a:


ip address                  mac address
   .                               .
   .                               .
   .                               .
ip of the host                   macA
   .                               .

不管他用的是什么樣的mac，總之這里的mac跟在交換機里show出來的mac肯定是對應的，真假都無所謂。

這個過程是可逆的，所以最后總是能夠抓得出ip的那臺機器。

不知道您是什么觀點呢 ？

在線網(wǎng)絡

最土的方法往往是最實用的方法  我喜歡

JohnBull

原帖由 "sunsroad"]ohnBull" 發(fā)表：
看來你連紙上談兵的資格都沒有。
難道我用別人的mac做壞事，就必須修改我的mac地址嗎？難道不能編程嗎？你自己不會，別人也不會嗎？千萬別拿UNIX網(wǎng)絡編程壓我，你會撞在我槍口上的 icon_biggrin.gif 。
..........

   

你還是沒明白！
我根本就不修改自己的mac地址，而是使用libnet或者pktgen等方法偽造一個ARP回應，讓對方在進行免費ARP的時候誤以為自己的IP被占用。
明白了？我不修改自己的mac地址，OK？

JohnBull

原帖由 "jackyshu" 發(fā)表：
   

你說的這種情況的確會存在，但是這樣做會導致的結果并不是無法追查的。
這樣做最終導致的結果是MAC地址表的不穩(wěn)定甚至無法收斂，對于上層協(xié)議來說，會出現(xiàn)大量丟包的現(xiàn)象。第四層和應用層相應都有重發(fā)機制?.........

   

你所謂的“某個MAC地址對應了2個端口”這種情況是不存在的，實際情況是交換機遇到發(fā)生這種情況的時候，會認為某臺機器更換了位置，從而根據(jù)新情況刷新mac表。如果出現(xiàn)了一個MAC地址對應2個端口的情況，只能說明這個交換機的設計者很弱智。
況且當一個交換機發(fā)現(xiàn)某個數(shù)據(jù)幀不知道如何處理的時候，將作廣播處理。也不存在所謂的“丟幀”，而僅僅是效率受到影響而以。

我也非常贊賞你這種勇于堅持自己的意見的風格，不難看出，你在網(wǎng)絡知識上還是下了一些功夫的，但同時最好也看看黑客的資料。但是我個人覺得你的基礎知識還不夠扎實，一些基本的原理性的東西還需要更深一步的了解——特別是網(wǎng)絡工作的機制以及細節(jié)。（我認為你能夠花大力氣研究一下七層協(xié)議是一個非常不錯的主意，這個東西才真正是網(wǎng)絡通訊的“圣經(jīng)”）同時我也希望能和你繼續(xù)討論技術問題——學海無涯嘛。

JohnBull

還有一個問題我想問問各位：
arp詢問者收到arp回應之后，是把以太幀頭的源mac地址當作答案呢？還是使用arp報文內部的硬件地址作為答案呢？交換機識別哪個呢？
這些協(xié)議的細節(jié)問題你們考慮過嗎？？？

sunsroad

原帖由 "JohnBull" 發(fā)表：
你還是沒明白！
我根本就不修改自己的mac地址，而是使用libnet或者pktgen等方法偽造一個ARP回應，讓對方在進行免費ARP的時候誤以為自己的IP被占用。
明白了？我不修改自己的mac地址，OK？

   

那好，我就對你在此以下提的三個問題做一個統(tǒng)一的答復，我利用下面的一個步驟，你看一下我能否抓出你所在的交換機的端口號：

我首先在我的機器里裝一個抓包的軟件，運行之后，我就進行抓包的動作，我只需要被冒充的這一個IP地址的包即可。

第二步，我利用arp -c將 arp table 清空。

第三步，我開始 ping 被冒充的這一個 ip 地址，直至有回應為止。

第四步，我抓出其中的arp reply包，記下其中的mac，包括兩個，一個是以太幀的包頭源地址，另外一個就是你在 arp package內的地址。

到這一步為止，我想你應該不會認為無法實現(xiàn)吧？！

最后呢，我不管你用的是哪種方法，這兩個報文之中至少會有一個在交換機的地址映射表中。

這個時候，我再show一下mac，你是否還認為我沒法抓到你所在的端口呢？！

還有什么疑問嗎？！

JohnBull

原帖由 "sunsroad" 發(fā)表：
   

那好，我就對你在此以下提的三個問題做一個統(tǒng)一的答復，我利用下面的一個步驟，你看一下我能否抓出你所在的交換機的端口號：

我首先在我的機器里裝一個抓包的軟件，運行之后，我就進行抓包的動作，我只需..........

   

之所以說你們紙上談兵，就是因為你們常說一些理論上似乎有道理，而實際上根本無法實現(xiàn)的東西。也就是說理論與實踐相脫節(jié)。

首先，你ping那個IP是根本沒有意義的，因為他可能根本就沒有使用這個IP，而是惡意用戶企圖擾亂網(wǎng)絡。你永遠也ping不到他。

其次，如果你ping他的意圖只是在于讓他回應你，而讓你抓包的話，他仍然有辦法，就是我前面說的方法，虛虛實實，mac地址真真假假。甚至，再聰明一點的人，可以設計程序，受到arp詢問后，在回答之前再“反問”一下，確保詢問發(fā)自詢問者本人，你將仍然無功而返。

按照你的思路，就算把你前面說到的功能全都結合起來，也未必能徹底解決問題。告訴你吧，arp是IP over Ethernet的軟肋！

然而，實際上，只要你配置一個VLAN+PPPoE就可以清晰優(yōu)美地徹底解決問題！你不采用，我只能理解為你不是在進行技術討論，而是故意要跟我斗氣。

jackyshu

原帖由 "JohnBull" 發(fā)表：
   

之所以說你們紙上談兵，就是因為你們常說一些理論上似乎有道理，而實際上根本無法實現(xiàn)的東西。也就是說理論與實踐相脫節(jié)。

首先，你ping那個IP是根本沒有意義的，因為他可能根本就沒有使用這個IP，而是惡..........

   

有人說你愛鉆牛角尖真是一點都沒錯。
這個帖子討論的是盜用IP的問題，不是IP欺騙的問題。照你這樣的做法的確能偽造一些東西增加跟蹤的難度，但是這樣做有什么意義呢？這樣做了你就能正常地使用網(wǎng)絡而不被人發(fā)現(xiàn)么？ 再這樣討論下去范圍無限擴大，跑題了。建議另開一貼，討論IP欺騙。 :wink:

sunsroad

首先我希望你看清楚，我們正在解決的問題是什么，我們是在解決別人盜用IP的問題�。�！

    其次，如果是惡意用戶為了搗亂，大可不必進行的這么低級！幾個包就可以讓整個網(wǎng)絡崩潰！！系統(tǒng)一個重啟，甚么東西都沒有了，就算你使用的是PPPOE也一樣得死掉。網(wǎng)絡的正常運行都成問題，何談通過網(wǎng)絡來解決問題？！這種情況之下，對人對己都沒有好處，那是人的心理問題，跟技術無關的，不要把這些事情拿到這里來討論好嗎？！

    自始至終你就是文不對題，強詞奪理的目的只有一個，就是為了逃避面對自己的錯誤，做一些不必要的抬杠而已�。。。�