帮忙：老总的ip被人占用了，怎么办？

sunsroad

原帖由 "jackyshu" 发表：
我想请楼上的朋友用“圣经”的知识解释一下：
一个VLan就是一个广播域，在没有第三层设备的情况下，你如何让两个广播域能够通讯？
BTW:这个问题要能解决，路由器厂商都该破产了。 :wink:

   

这个问题你应该请教 JohnBull 先生，是这位先生在前面的一个贴子里
http://www.chinaunix.net/forum/viewtopic.php?t=68840
教导大家的
好象还用来给他所培训的弟子做什么下马威来着

有老师如此，幸甚至哉

sunsroad

原帖由 "jackyshu" 发表：
   
如果你想说通过编程的方法来发送虚假的源MAC地址的包，很显然这已经脱离了IP地址盗用问题的范畴了。

   

我认为，这个问题也是可以解决的，不管他是不是用的假的mac，在交换机的映射表里的映射都是不会错的，如下：

port number                   mac address
   .                               .
   .                               .
   .                               .
port n                           macA
   .                               .

这里的macA对应的就是他用来构造链路帧的那一个mac不必要管他是真还是假。

然后我在一台跟他通讯过不久的机器用上arp -a:


ip address                  mac address
   .                               .
   .                               .
   .                               .
ip of the host                   macA
   .                               .

不管他用的是什么样的mac，总之这里的mac跟在交换机里show出来的mac肯定是对应的，真假都无所谓。

这个过程是可逆的，所以最后总是能够抓得出ip的那台机器。

不知道您是什么观点呢 ？

在线网络

最土的方法往往是最实用的方法  我喜欢

JohnBull

原帖由 "sunsroad"]ohnBull" 发表：
看来你连纸上谈兵的资格都没有。
难道我用别人的mac做坏事，就必须修改我的mac地址吗？难道不能编程吗？你自己不会，别人也不会吗？千万别拿UNIX网络编程压我，你会撞在我枪口上的 icon_biggrin.gif 。
..........

   

你还是没明白！
我根本就不修改自己的mac地址，而是使用libnet或者pktgen等方法伪造一个ARP回应，让对方在进行免费ARP的时候误以为自己的IP被占用。
明白了？我不修改自己的mac地址，OK？

JohnBull

原帖由 "jackyshu" 发表：
   

你说的这种情况的确会存在，但是这样做会导致的结果并不是无法追查的。
这样做最终导致的结果是MAC地址表的不稳定甚至无法收敛，对于上层协议来说，会出现大量丢包的现象。第四层和应用层相应都有重发机制?.........

   

你所谓的“某个MAC地址对应了2个端口”这种情况是不存在的，实际情况是交换机遇到发生这种情况的时候，会认为某台机器更换了位置，从而根据新情况刷新mac表。如果出现了一个MAC地址对应2个端口的情况，只能说明这个交换机的设计者很弱智。
况且当一个交换机发现某个数据帧不知道如何处理的时候，将作广播处理。也不存在所谓的“丢帧”，而仅仅是效率受到影响而以。

我也非常赞赏你这种勇于坚持自己的意见的风格，不难看出，你在网络知识上还是下了一些功夫的，但同时最好也看看黑客的资料。但是我个人觉得你的基础知识还不够扎实，一些基本的原理性的东西还需要更深一步的了解——特别是网络工作的机制以及细节。（我认为你能够花大力气研究一下七层协议是一个非常不错的主意，这个东西才真正是网络通讯的“圣经”）同时我也希望能和你继续讨论技术问题——学海无涯嘛。

JohnBull

还有一个问题我想问问各位：
arp询问者收到arp回应之后，是把以太帧头的源mac地址当作答案呢？还是使用arp报文内部的硬件地址作为答案呢？交换机识别哪个呢？
这些协议的细节问题你们考虑过吗？？？

sunsroad

原帖由 "JohnBull" 发表：
你还是没明白！
我根本就不修改自己的mac地址，而是使用libnet或者pktgen等方法伪造一个ARP回应，让对方在进行免费ARP的时候误以为自己的IP被占用。
明白了？我不修改自己的mac地址，OK？

   

那好，我就对你在此以下提的三个问题做一个统一的答复，我利用下面的一个步骤，你看一下我能否抓出你所在的交换机的端口号：

我首先在我的机器里装一个抓包的软件，运行之后，我就进行抓包的动作，我只需要被冒充的这一个IP地址的包即可。

第二步，我利用arp -c将 arp table 清空。

第三步，我开始 ping 被冒充的这一个 ip 地址，直至有回应为止。

第四步，我抓出其中的arp reply包，记下其中的mac，包括两个，一个是以太帧的包头源地址，另外一个就是你在 arp package内的地址。

到这一步为止，我想你应该不会认为无法实现吧？！

最后呢，我不管你用的是哪种方法，这两个报文之中至少会有一个在交换机的地址映射表中。

这个时候，我再show一下mac，你是否还认为我没法抓到你所在的端口呢？！

还有什么疑问吗？！

JohnBull

原帖由 "sunsroad" 发表：
   

那好，我就对你在此以下提的三个问题做一个统一的答复，我利用下面的一个步骤，你看一下我能否抓出你所在的交换机的端口号：

我首先在我的机器里装一个抓包的软件，运行之后，我就进行抓包的动作，我只需..........

   

之所以说你们纸上谈兵，就是因为你们常说一些理论上似乎有道理，而实际上根本无法实现的东西。也就是说理论与实践相脱节。

首先，你ping那个IP是根本没有意义的，因为他可能根本就没有使用这个IP，而是恶意用户企图扰乱网络。你永远也ping不到他。

其次，如果你ping他的意图只是在于让他回应你，而让你抓包的话，他仍然有办法，就是我前面说的方法，虚虚实实，mac地址真真假假。甚至，再聪明一点的人，可以设计程序，受到arp询问后，在回答之前再“反问”一下，确保询问发自询问者本人，你将仍然无功而返。

按照你的思路，就算把你前面说到的功能全都结合起来，也未必能彻底解决问题。告诉你吧，arp是IP over Ethernet的软肋！

然而，实际上，只要你配置一个VLAN+PPPoE就可以清晰优美地彻底解决问题！你不采用，我只能理解为你不是在进行技术讨论，而是故意要跟我斗气。

jackyshu

原帖由 "JohnBull" 发表：
   

之所以说你们纸上谈兵，就是因为你们常说一些理论上似乎有道理，而实际上根本无法实现的东西。也就是说理论与实践相脱节。

首先，你ping那个IP是根本没有意义的，因为他可能根本就没有使用这个IP，而是恶..........

   

有人说你爱钻牛角尖真是一点都没错。
这个帖子讨论的是盗用IP的问题，不是IP欺骗的问题。照你这样的做法的确能伪造一些东西增加跟踪的难度，但是这样做有什么意义呢？这样做了你就能正常地使用网络而不被人发现么？ 再这样讨论下去范围无限扩大，跑题了。建议另开一贴，讨论IP欺骗。 :wink:

sunsroad

首先我希望你看清楚，我们正在解决的问题是什么，我们是在解决别人盗用IP的问题！！！

    其次，如果是恶意用户为了捣乱，大可不必进行的这么低级！几个包就可以让整个网络崩溃！！系统一个重启，甚么东西都没有了，就算你使用的是PPPOE也一样得死掉。网络的正常运行都成问题，何谈通过网络来解决问题？！这种情况之下，对人对己都没有好处，那是人的心理问题，跟技术无关的，不要把这些事情拿到这里来讨论好吗？！

    自始至终你就是文不对题，强词夺理的目的只有一个，就是为了逃避面对自己的错误，做一些不必要的抬杠而已！！！！