Chinaunix

标题: 两个一样的MAC地址? [打印本页]

作者: qishking 时间: 2007-09-20 18:06
标题: 两个一样的MAC地址?
C:\>arp -a

Interface: 192.168.0.112 --- 0x2
  Internet Address    Physical Address    Type
  192.168.0.1          00-1a-92-82-a3-bc    dynamic
  192.168.0.102       00-1a-92-82-a3-bc    dynamic

本机的网络情况:
C:\>ipconfig/all
Windows IP Configuration
      Host Name . . . . . . . . . . . . : xp-qi
      Primary Dns Suffix  . . . . . . . :
      Node Type . . . . . . . . . . . . : Unknown
      IP Routing Enabled. . . . . . . . : No
      WINS Proxy Enabled. . . . . . . . : No
Ethernet adapter 本地连接:
      Connection-specific DNS Suffix  . :
      Description . . . . . . . . . . . : Realtek RTL8139 Family PCI Fast Ethe
rnet NIC
      Physical Address. . . . . . . . . : 00-13-8F-B4-A1-D7
      Dhcp Enabled. . . . . . . . . . . : No
      IP Address. . . . . . . . . . . . : 192.168.0.112
      Subnet Mask . . . . . . . . . . . : 255.255.255.0
      Default Gateway . . . . . . . . . : 192.168.0.1
      DNS Servers . . . . . . . . . . . : 61.144.56.100
                                          202.96.128.68

作者: brokencluster 时间: 2007-09-20 19:07

arp病毒...

作者: platinum 时间: 2007-09-20 19:13
102 这个电脑有 arp 病毒，或者在恶意使用聚生网管这样的流氓网络工具

作者: qishking 时间: 2007-09-20 20:00

原帖由 platinum 于 2007-9-20 19:13 发表
102 这个电脑有 arp 病毒，或者在恶意使用聚生网管这样的流氓网络工具

肯定是房东在榨我的带宽,怪不得上CU都这么慢!这小样跟我玩阴的啊...~~
有什么好办法绕过这种"网管工具"?102这台机又是PING不通

作者: qishking 时间: 2007-09-20 20:03
MAC,IP都改过还是不起作用.我也去下个聚生网管工具,

作者: ssmarine 时间: 2007-09-20 20:41
最大可能是102这台机器开了网络执行官之类的东西，arp防火墙应该可以解决的。

作者: platinum 时间: 2007-09-20 20:52
去下一个ARP防火墙，google 一下，有很多的，可以干掉房东

作者: qishking 时间: 2007-09-20 21:52
搞定了,thanks

作者: MagicBSD 时间: 2007-09-21 10:52
曾经我们校园也是用MAC认证方式上网,我们就改成搜索到MAC,实现传说中的同一MAC上网。。。

作者: boyonline 时间: 2007-09-21 10:58

原帖由 MagicBSD 于 2007-9-21 10:52 发表
曾经我们校园也是用MAC认证方式上网,我们就改成搜索到MAC,实现传说中的同一MAC上网。。。

同一MAC上网？
可否详解一下。。。。。。。。。。。。。

作者: coldrainsunc 时间: 2007-09-21 11:10
同一MAC上网？好象没法上吧？时断时续！

作者: tingfengmanbu 时间: 2007-09-21 11:22

原帖由 platinum 于 2007-9-20 19:13 发表
102 这个电脑有 arp 病毒，或者在恶意使用聚生网管这样的流氓网络工具

问下BZ如果我用绑定MAC和IP呢？这样可以防止APR欺骗么？

作者: 5iwww 时间: 2007-09-21 11:23
同mac 好像不同于普通的arp欺骗普通的arp欺骗是骗3层的ip 而这个是2层的现象是什么？ 100%丢包还是50%?

作者: ssmarine 时间: 2007-09-21 11:45
相同MAC不能上网？更本不影响的。再仔细看看TCP/IP协议吧。

作者: platinum 时间: 2007-09-21 11:51

原帖由 5iwww 于 2007-9-21 11:23 发表
同mac 好像不同于普通的arp欺骗普通的arp欺骗是骗3层的ip 而这个是2层的现象是什么？ 100%丢包还是50%?

P2P终结者、聚生网管等都是这么做的，还可以通过这种方法控制同一个 VLAN 里的其他人，限速、阻断
因为是 ARP 欺骗，所以这样的做法很常见

作者: MagicBSD 时间: 2007-09-21 12:43
从实际操作来看,同一MAC地址上网当然是很不稳定的,如果带宽够好,速度不是问题,只不过偶尔掉线

作者: 5iwww 时间: 2007-09-21 13:04

原帖由 ssmarine 于 2007-9-21 11:45 发表
相同MAC不能上网？更本不影响的。再仔细看看TCP/IP协议吧。

相同mac的话同网段在2层帧转发的时候发给谁？不会不影响吧？

作者: 5iwww 时间: 2007-09-21 13:05

原帖由 platinum 于 2007-9-21 11:51 发表

P2P终结者、聚生网管等都是这么做的，还可以通过这种方法控制同一个 VLAN 里的其他人，限速、阻断
因为是 ARP 欺骗，所以这样的做法很常见

用这个这个方法实现管理的话，会不会影响类似 http ftp的使用？如果只是想制止p2p的话？限速的原理是什么？

作者: Yuri.G. 时间: 2007-09-21 13:35
windows下用arp -s 192.168.1.254 00-15-e9-a6-6d-9d来绑定IP和MAC的对应.
Linux下也是arp -s

作者: liuyaming0938 时间: 2007-09-21 13:44
ip不一样好象可以用的哦！

作者: tingfengmanbu 时间: 2007-09-21 14:18
我知道怎么绑定IP和MAC问题是我绑定以后可以防范APR欺骗么？或者可以防范聚生和P2P这2个流氓软件。。

作者: Yuri.G. 时间: 2007-09-21 14:41
标题: 回复 #21 tingfengmanbu 的帖子
你绑定网关的IP对应MAC之后,它就不会受到欺骗,也就是说你的包都是通过网管走的.别人再怎么折腾也拿你没办法啊.除非他把网关的MAC再改了.

作者: platinum 时间: 2007-09-21 20:08

原帖由 5iwww 于 2007-9-21 13:05 发表

用这个这个方法实现管理的话，会不会影响类似 http ftp的使用？如果只是想制止p2p的话？限速的原理是什么？

原理就是我自己欺骗成网关，别人上网经过我，我做数据代理，由我来决定谁的数据包可以通过我谁不可以

作者: drunkedfish 时间: 2007-09-22 01:32
很显然是ARP病毒，感染机子伪装

作者: flexyangjie 时间: 2007-09-22 09:31

原帖由 Yuri.G. 于 2007-9-21 14:41 发表
你绑定网关的IP对应MAC之后,它就不会受到欺骗,也就是说你的包都是通过网管走的.别人再怎么折腾也拿你没办法啊.除非他把网关的MAC再改了.

??????这样怎么做啊，我也深受其苦。，我用的是linux..

作者: flexyangjie 时间: 2007-09-22 09:32
标题: 回复 #22 Yuri.G. 的帖子
这样怎么做啊，我也深受其苦，我用的是 linux

作者: platinum 时间: 2007-09-22 09:40
设置静态 ARP 绑定啊！
man arp

作者: 98211023 时间: 2007-09-23 11:55
找出那台机,把那机干掉.

作者: alexann 时间: 2007-09-23 16:42
对于arp我觉得客户端下手不如直接从交换机上面搞哦，swi port-sec就好了。策略直接使用默认的，只要有非登记的mac使用该port,直接就shutdown了。

作者: flw2 时间: 2007-09-24 12:47
有很多方法，只要它不是你上网的必经之路
以前我也遇到过，写了个程序直接仍包给网关欺骗那个p2p的使用。后来那帮人没有办法，只能断电，做的好没有办法查出来

作者: 5iwww 时间: 2007-09-25 10:05
我还是不明白 LZ说的是mac地址相同诸位说的静态mac地址绑定有什么用？？譬如 192.168.0.1 对应的是 AA:AA:AA:AA:AA:AA 如果其中一台 192.168.0.2 也对应着 AA:AA:AA:AA:AA:AA 那么绑了有用吗？怎么绑？

作者: ssffzz1 时间: 2007-09-25 10:11

原帖由 5iwww 于 2007-9-25 10:05 发表
我还是不明白 LZ说的是mac地址相同诸位说的静态mac地址绑定有什么用？？譬如 192.168.0.1 对应的是 AA:AA:AA:AA:AA:AA 如果其中一台 192.168.0.2 也对应着 AA:AA:AA:AA:AA:AA 那么绑了有用吗？怎么绑？

如果真的是这样，并且是交换机的话，那么网络时通时断的；如果是HUB那么可以通信。
但事实上不可能出现这种情况，两张网卡不可能有相同的MAC地址，除非你刻意的修改了网卡的MAC

作者: platinum 时间: 2007-09-25 10:16
首先，真实网卡的 MAC 是不可能有一样的，因为前 24bit 是厂商编号，后 24bit 是厂商序列号，全世界唯一
arp 看到同样 MAC 的不同 IP 有三种可能
1、人为修改过 MAC（系统级）
2、人为修改过 MAC（EEPROM 硬件级）
3、ARP 病毒欺骗所致
对于前两种，绑定是无效的，对于第三种，绑定正确的 MAC 可以使 ARP 欺骗无效
一般实例中，第一种可能性占 5% 左右，第二种可能性几乎为 0%，第三种可能性占 95% 左右
以上数据是我个人估计的

作者: burning423 时间: 2007-09-26 09:03
呵呵..长见识了...要好好去看看ARP欺骗问题

作者: 5iwww 时间: 2007-09-26 10:15

原帖由 ssffzz1 于 2007-9-25 10:11 发表

如果真的是这样，并且是交换机的话，那么网络时通时断的；如果是HUB那么可以通信。
但事实上不可能出现这种情况，两张网卡不可能有相同的MAC地址，除非你刻意的修改了网卡的MAC

用hub我估计也不能正常通讯，ip包可能会因为到达的时间和顺序不正确导致正确的一方被丢弃。

作者: ssffzz1 时间: 2007-09-26 10:21
顺序和时间不正确的会丢弃,正确的会保留,因此能够通讯.
不过任何时候相同MAC的情况都是不应该存在的.

欢迎光临 Chinaunix (http://bbs.chinaunix.net/)