大话ARP，斗争经验。

karlpopper

住的出租屋是7家合租1条2M的电信宽带，其中有两家很自私，使用了P2P终结者，因为我是处在非管理环境中，无法有效干预到他们，下面谈谈我这一个月来的斗争经验吧。
坦白讲P2P终结者这个软件你还别看他不起，不但功能丰富而且相当有效，以至于网关欺骗IP冲突是样样能来，恶心人的指数是相当的高，旧的版本还姑且有个反P2P终结者，到了新版就已经无效了，不但无效，还正式出现了管理等级的概念，谁用的时间长谁就等级高，还可以杀灭其他的类似的软件，主要功能有2个，一个是限速，即 网关<->欺骗者<->被骗者，这里有一个前提就是说欺骗者会朝被欺骗者发送他是网关的假消息，向网关则发送他是被骗者的假消息，如果这种不成功的话丧心病狂的家伙可能就要对你下狠手给你来个不间断冲突了。他们俩人用的软件一样，以下简称小A小B；
A和B之间的冲突：
小A是率先引入P2P终结者并且是新版的，以至于我从一开始用反P2P终结者也拿他没办法，小B起初是旧版，直接用反P2P终结者就可以灭掉，不过他很快就升上来了。事实是小A比小B就是要占优势，他一上线小B也就没脾气了，你问我怎么知道的，因为我ARP /D然后又ARP /A然后又ARP /D再ARP /A。。。。得出的结论，俩人争着骗我，小A在小B就没有胜算，我被骗也是被骗过小A那里去。

我和小A的冲突：
起初网络里面还是很和谐的，不过后来小A就开始出现了，每天一上线就以30p/s的速度发送欺骗包给我，我的机器开始是裸奔的，以至于发现的时候都不知道被骗了多久了。起先我就ARP -S了一下，没用，我甚至到现在都不明白，为什么STATIC了都，还是会被他骗呢，每次看到列表里的网关变成了小A的MAC我就郁闷的不行了，没办法装个360的ARP防火墙，值得一提的是竟然无抵抗就投降了。当时很是生气，就疯狂FLOOD小A，也是ARP FLOOD，不过比他的规模要大多了，大概3Wp/s，以前按照我自己的实验结果看对方应该是界面假死无法操作CPU100%不断的IP冲突，但也不得不佩服MS的技术能力，假死就是假死并不是真死，对方该怎么发还是怎么发，因为发送ARP信息不要求有3层的源地址，所以即使对方IP冲突也依然可以在2层上作恶。他上不了我也上不了，他CPU100%我也有7 80%，也真是自杀式报复啊，可惜效果太差。
后来我用拔网线的办法找到了他们家，经过一番恶语相向后，安稳了一段时间，不过就几天就恢复老样子，没把我当回事。。。
我好歹也是挨踢人士的啊，怎么能让人欺负到这个份上，于是动用什么聚生网管、网络守护神、网络执法官啥的试图反击，但都不是P2P终结者的对手，因为你想将对方的进程杀掉在新版本看来已经没什么可能。
不过值得欣慰的是我终于知道了是360那个废物让我吃亏的，从新找了个金山的ARP防火墙就搞定了，如果你有类似问题一定要考虑一下你的防火墙到底靠不靠得住。
换装了新的防火墙我是不怕他欺骗也不怕他冲突了，还可以自己设置让网关响应地址给你，3-50p/s可选，算是很强大了。
防护是基本前提，反击才是终极目标。
P2P终结者本身不但有进攻的功能而且本身也可以防住一定规模的攻击。
超高频的FLOOD估计是不现实的，歼敌一千自损八百的破事是做不得的，后来无意间发现了“网络剪刀手”，这个软件也姑且算是跟P2P终结者同门的，不过他是师兄嘿嘿。。。。虽然不能杀灭对方的进程但是可以让他CUT OFF。。。。也是双向欺骗，资源占用稍小一点，因为小A心知肚明是怎么回事也就消停了。不过我的爱机因此染毒一身系统不治身亡了。

我和小B的冲突：
如果说小A还有点人性的话小B就是个禽兽，彻头彻尾的自私鬼，是不许其他家上的，老是冲突你就算换了IP也冲突。
不过装了防火墙就不怕他了，起初用反P2P终结者也是立竿见影轻轻的一按他就安静了，不过小B也升级了，变得跟小A一样难缠了。这个家伙可没小A那么知趣了，依然不停地攻击冲突我。
后来反思了一下，决定改变策略，你不是欺骗别人吗，那我就比你快的把正确信息发送给大家，你不是不想让别人上网吗，那我就让网关找不到你在哪！
于是乎用数据包生成器制定了3个数据包，一个是网关的真实MAC另外是把它们俩的IP引向空MAC，分别向FFFFFFFF和网关发送，间歇1ms，快过他们，这样他们的欺骗包就淹没在汪洋大海里了。。。。
关键是也不用装WINPACP更不占什么资源太美妙。

cheneylou

哈哈

karlpopper

原帖由 jameswang 于 2008-11-7 17:33 发表
楼主真是高啊。
我跟你一样的处境，深受p2p终结者之害。
唯一的区别，我这里只有小B，没有小A，楼主能详细透露点最后的解决方案么？

=========================================================
有人给你撑腰的话直接查到这个人K他一顿，没人给你撑腰的话首先也就是预防自己被骗了，建议安装这个金山ARP防火墙，经过测试不论IP冲突或者是ARP会话劫持都没有问题可以抵御，不过这个也是底线了，仅仅保证你能用，网络环境复杂的话部分用户也同样不会被他欺骗，所以带宽有限的大前提下你很难获得更高的提升。
至于数据包发送器我建议用科来的，只要不校验以大概200p/s的速度发送数据包就最多占个3 4%的CPU，内存也不过若干M，
例如
数据包信息:
    数据包编号:                              000001
    数据包长度:                              64
    捕获长度:                               60
    时间差                                 0.100000 秒
以太网 - II                                [0/14]
    目标地址:                               FF:FF:FF:FF:FF:FF  [0/6]
    源地址:                                00:00:00:00:00:00  [6/6]
    协议类型:                               0x0806  [12/2]
ARP - 地址解析协议                            [14/28]
    硬件类型:                               1  (以太网)  [14/2]
    协议类型:                               0x0800  [16/2]
    硬件地址长度:                             6  [18/1]
    协议地址长度:                             4  [19/1]
    操作类型:                               2  (ARP 响应)  [20/2]
    源物理地址:                              00:00:00:00:00:00  [22/6]
    源IP地址:                              192.168.1.2  [28/4]
    目标物理地址:                             00:00:00:00:00:00  [32/6]
    目标IP地址:                             0.0.0.0  [38/4]
额外数据:                                   [42/18]
    字节数:                                18 bytes  [42/18]
FCS - 帧校验序列:
    FCS:                                0xCFDD6401  (计算出的)
===================================================
这个旨在迷惑网关以及其他机器的
对他更具体的影响我也在测试
最近有一种非ARP的会话劫持，我想研究一下。。。

gawk

楼主牛啊

mz198424

f40682804

俺也是P2p得受害者

c0878

还是一个人独享一条10M线路爽 和人共享太难受了

小小白

哈哈 楼主太牛了，我们3个人共享不到1m的带宽，不过还好和平共处，呵呵@