|
 
- 社区积分
- 442
- 技术积分
- 443
- 阅读权限
- 100
- 注册时间
- 2006-4-25
论坛徽章 14 |
4楼
发表于 2008-8-26 17:31
| 只看该作者
你说的是P2P限制吧?看下文
引用:职工宿舍局域网内居然有人用P2P限制我的带宽,用迅雷下载速度居然到 10K (2兆带宽),气得我鼻子都要冒烟了。所以就得想对策!!
1.网上流行的一种反P2P的软件,首先我也试了这个。但是感觉效果不好,所以寻求别的方法!
2.随便找了一个单击版的ARP的防火墙,居然给防住了。这就让我想到P2P终结者到底用的是什么方法终结别人的呢!
原理
“P2P终结者”的原理和ARP攻击一样,只是目的不同罢了。
二者都是不断的广播(broadcast)欺骗ARP报文,来把自己所在的主机(命名为P)伪装成路由等网关。欺骗ARP报文包含主机P的MAC地址和网关IP地址。当其他主机收到这个ARP报文后,一般就会更新ARP表(除非是静态指定),将网关的IP地址所对应的MAC地址,改为了主机P的MAC地址。至此欺骗完成。
被欺骗的主机(命名为V)发送数据时,本要将自己的数据包发送给网关(再由网关转发给目标),但由于主机V的ARP表里网关的MAC地址是伪造的,数据包实际发给了主机P。“P2P终结者”因此就可以监听、控制局域网里的所有被欺骗的主机V(s)的流量:如果他不想阻碍主机V上网,就将主机V的数据包转发给真正的网关,否则就延迟或者不转发主机V的数据包,这样主机V的流量就被终结了……
防范:
1 知道原理后,防范就简单了。静态指定网关的MAC地址即可解决。
比如:我和几个同学一起通过路由接入ASDL,在这里路由就是网关,IP地址一般为“192.168.0.1”(视实际情况而定),在Windows命令行下输入“arp -a”即可看到当前的ARP表的内容:
可以看到网关IP对应的MAC地址(Physical Address)“XX-XX-XX-XX-XX-XX”,“dynamic”说明是Windows动态配置的。当你还为被欺骗时,把这个值记下来,再通过“arp -s 192.168.0.1 XX-XX-XX-XX-XX-XX”命令,使得网关IP-MAC地址静态配对:
可以看到type已经变成了“static”,这样欺骗ARP报文就无法起作用了。
如果你的机器已经被欺骗,则通过“arp -a”命令可以看见类似下图:
可以看到网关IP的MAC地址与局域网内另一台IP为192.168.0.6的机器(命名为X)的MAC相同,主机X就是攻击者。这时,如果你曾经记下了网关真正的MAC地址,那么直接用“arp -s 192.168.……”即可。否则,可以通过“arp -d 192.168.0.1”命令删除ARP表的“192.168.0.1”这行。由于网络工作原理,Windows很快会动态加入新的“192.168.0.1”行, 它很可能配置有正确的MAC地址(比如前面两副图中的“00-e0-4c-XX-XX-a1”)。但这个正确MAC地址的存在时间可能很短暂,因为“P2P终结者”会不断得发送欺骗ARP报文来修改你的ARP表。所以如果你发现网关MAC地址没变,多试几次即可。
得到真正的网关MAC地址后,使用“arp -s ……”命令,就不用再废话了。
需要说明的是,这种修改在机器重启或“本地连接”重启后就无效了,需要重新设置。
2.装个ARP防火墙!!!!!
3.可以将
arp -d
arp -s
做成BAT加到启动项 |
|
发表于 2008-8-26 16:04
| 
