1. 首先我們來看看交換機(jī)�,swith(交換機(jī))這個東東今天就先講講交換機(jī)和網(wǎng)橋的區(qū)別。這兩個設(shè)備都工作在第2層主要區(qū)別是���,交換機(jī)的轉(zhuǎn)發(fā)速度較快�,是硬件的轉(zhuǎn)發(fā)����,端口數(shù)比較多網(wǎng)橋就相反。兩者都是一樣的用途���,都能分隔沖突域。但是仍然在一個大的廣播域下面直接來看交換機(jī)的學(xué)習(xí)功能 , 也就是交換機(jī)的MAC地址學(xué)習(xí). 下面我們設(shè)想一個模型���,有A,B�,C�,D這四臺PC接在一臺交換機(jī)上, 首先交換機(jī)最初加電時它里面的MAC地址表為空�����,也就是還沒學(xué)習(xí)��,在學(xué)習(xí)的最初狀態(tài). 首先,比如A發(fā)給D一個數(shù)據(jù), 這個時候交換機(jī)首先在連接A那臺PC的端口上學(xué)習(xí)到A的MAC地址�����,并且把這個MAC地址記錄到交換機(jī)里的MAC地址表里, 但是這個時候交換機(jī)并不知道D是在哪�,因?yàn)镸AC表里還沒有D的MAC. 這個時候怎么辦呢?交換機(jī)會復(fù)制多份這個數(shù)據(jù)(多幀復(fù)制)�,向交換機(jī)的所有端口都轉(zhuǎn)發(fā)這個數(shù)據(jù)(除A接的那個端口外)����,這個稱為泛洪�����,flooding ����。當(dāng)B和C接到這個數(shù)據(jù)時����,首先檢查目的地址,發(fā)現(xiàn)不是發(fā)給我的����,那么就丟棄這個幀 . 當(dāng)D接到這個幀時�,發(fā)現(xiàn)這是發(fā)給自己的然后D便會發(fā)給A數(shù)據(jù)��,這個時候交換機(jī)在D的接口又學(xué)習(xí)到了D的MAC地址 , 這個時候交換機(jī)學(xué)習(xí)到了兩條MAC地址��。
2. 下面繼續(xù)講ARP協(xié)議。ARP是一個2-3層的協(xié)議. 有些裝B的人說是2.5層的協(xié)議���,也不是沒道理, 因?yàn)锳RP牽涉到IP地址和MAC地址的對應(yīng). 首先我們看看為什么出現(xiàn)了ARP,它帶來了什么�?有什么目的呢�?當(dāng)數(shù)據(jù)包到網(wǎng)絡(luò)層的時候�,這個時候會繼續(xù)向下層數(shù)據(jù)鏈路層封裝��,這個時候要找尋目的的MAC地址. 因?yàn)樵诘?層���,也就是交換機(jī)工作的那層是不不知道什么叫IP地址呢���,交換機(jī)始終是靠MAC地址找尋的.
列舉:還是那個開始的那個模型�����,當(dāng)A發(fā)數(shù)據(jù)給D。這個時候�,在網(wǎng)絡(luò)層只知道D的IP地址�,那么怎么獲取D的MAC地址����,從而讓交換機(jī)把數(shù)據(jù)發(fā)送到D的MAC地址呢?這個時候A便會發(fā)送arp,���,注意一點(diǎn),交換機(jī)本身是不會主動發(fā)送ARP的。那么在ARP這個報(bào)文里包含了啥東東呢����?ARP報(bào)文里有源MAC地址���,(也就是A的MAC地址)����,源IP地址���,目的IP地址(也就是D的IP地址)�,目的MAC地址這個時候?yàn)槿獸,,因?yàn)檫@個arp是一個廣播嘛�。全F的MAC地址就是一個廣播����,因?yàn)檫@個時候A不知道D的mac地址����,所以要發(fā)送一個廣播,通知全部的PC,找尋D的MAC地址 �����,怎么發(fā)送給全部同網(wǎng)段的PC呢���?就是靠全F的mac地址�。也叫flooding,我說了泛洪只是一個形象的比喻書法。當(dāng)D接到這個ARP請求后,發(fā)現(xiàn)是找自己的�,那么就返回一條ARP回應(yīng)給A��,告訴自己的MAC地址 ,全F的MAC地址就是廣播。這個時候A的arp表便記錄了D的ip地址和mac地址的對應(yīng)關(guān)系����。這樣便順利的發(fā)送給了D這臺機(jī)子的物理地址�����,mac。交換機(jī)的學(xué)習(xí)是交換機(jī)自己多幀復(fù)制,不是靠廣播實(shí)現(xiàn),ARP是PC發(fā)送ARP廣播�。在A的arp表項(xiàng)里會記錄D的ip和mac的對應(yīng)關(guān)系�,這個arp表在ms的系統(tǒng)里好像是15分鐘刷新一次�。
3,知道arp的原理理解arp病毒就容易了,下面我講病毒原理��,和解決方法這個東西在局域網(wǎng)里經(jīng)常發(fā)生,導(dǎo)致間斷上網(wǎng)等癥狀,比如還是剛才那個模型網(wǎng)關(guān)----A�,B,C����,D4臺PC 比如這個時候A這臺機(jī)子中了ARP病毒 ,D像往常一樣上網(wǎng)����,出網(wǎng)關(guān),這個時候D也像往常發(fā)送ARP請求��,找尋網(wǎng)關(guān)的MAC地址 ,但是這個時候因?yàn)锳中的ARP病毒,所以A發(fā)送自己的MAC給D�����,讓D誤會這個MAC地址是網(wǎng)關(guān)���,D被欺騙�,從而不能把數(shù)據(jù)發(fā)給網(wǎng)關(guān),而是發(fā)給了A��,所以導(dǎo)致不能上網(wǎng),其實(shí)這個時候并不是網(wǎng)關(guān)沒發(fā)送自己的MAC地址給D����,只是A最后發(fā)送自己的MAC給D從而覆蓋了正確的網(wǎng)關(guān)的MAC地址 .導(dǎo)致結(jié)果:第一,D不能正常出網(wǎng)關(guān)����,也就是上不了外網(wǎng)第二����,A能竊取D的信息�,如果是傳奇帳號或密碼.但是為什么會出現(xiàn)有時能上網(wǎng)有時不能上網(wǎng)呢?那么我再來講講ARP病毒的解決辦法��,如果出現(xiàn)了ARP病毒我們怎么做呢�?大家應(yīng)該知道了么?第一�,找到中毒的A主機(jī)第2�,隔離A主機(jī) .那么我們怎么找尋這個中毒的A機(jī)子呢�����?可以在交換機(jī)上找,也可以通過每臺主機(jī)去找在交換機(jī)上查看arp表項(xiàng)�。找到哪一個mac地址出現(xiàn)的次數(shù)最多��,那么就是這個mac在作祟,這樣就找到了病毒的主機(jī)���,就是這個mac地址,然后再在交換機(jī)上查看mac地址表����,找到這個mac對應(yīng)的接口�,然后關(guān)掉這接口����。隔離工作也完成了
1. 首先我們來看看交換機(jī)��,swith(交換機(jī))這個東東今天就先講講交換機(jī)和網(wǎng)橋的區(qū)別。這兩個設(shè)備都工作在第2層主要區(qū)別是�,交換機(jī)的轉(zhuǎn)發(fā)速度較快��,是硬件的轉(zhuǎn)發(fā),端口數(shù)比較多網(wǎng)橋就相反����。兩者都是一樣的用途��,都能分隔沖突域。但是仍然在一個大的廣播域下面直接來看交換機(jī)的學(xué)習(xí)功能 , 也就是交換機(jī)的MAC地址學(xué)習(xí). 下面我們設(shè)想一個模型�����,有A����,B,C���,D這四臺PC接在一臺交換機(jī)上, 首先交換機(jī)最初加電時它里面的MAC地址表為空,也就是還沒學(xué)習(xí)��,在學(xué)習(xí)的最初狀態(tài). 首先�����,比如A發(fā)給D一個數(shù)據(jù), 這個時候交換機(jī)首先在連接A那臺PC的端口上學(xué)習(xí)到A的MAC地址,并且把這個MAC地址記錄到交換機(jī)里的MAC地址表里, 但是這個時候交換機(jī)并不知道D是在哪,因?yàn)镸AC表里還沒有D的MAC. 這個時候怎么辦呢?交換機(jī)會復(fù)制多份這個數(shù)據(jù)(多幀復(fù)制),向交換機(jī)的所有端口都轉(zhuǎn)發(fā)這個數(shù)據(jù)(除A接的那個端口外),這個稱為泛洪,flooding ��。當(dāng)B和C接到這個數(shù)據(jù)時�����,首先檢查目的地址�����,發(fā)現(xiàn)不是發(fā)給我的,那么就丟棄這個幀 . 當(dāng)D接到這個幀時,發(fā)現(xiàn)這是發(fā)給自己的然后D便會發(fā)給A數(shù)據(jù),這個時候交換機(jī)在D的接口又學(xué)習(xí)到了D的MAC地址 , 這個時候交換機(jī)學(xué)習(xí)到了兩條MAC地址���。
2. 下面繼續(xù)講ARP協(xié)議。ARP是一個2-3層的協(xié)議. 有些裝B的人說是2.5層的協(xié)議,也不是沒道理, 因?yàn)锳RP牽涉到IP地址和MAC地址的對應(yīng). 首先我們看看為什么出現(xiàn)了ARP,它帶來了什么��?有什么目的呢����?當(dāng)數(shù)據(jù)包到網(wǎng)絡(luò)層的時候,這個時候會繼續(xù)向下層數(shù)據(jù)鏈路層封裝�,這個時候要找尋目的的MAC地址. 因?yàn)樵诘?層�����,也就是交換機(jī)工作的那層是不不知道什么叫IP地址呢,交換機(jī)始終是靠MAC地址找尋的.
列舉:還是那個開始的那個模型,當(dāng)A發(fā)數(shù)據(jù)給D。這個時候�����,在網(wǎng)絡(luò)層只知道D的IP地址�����,那么怎么獲取D的MAC地址,從而讓交換機(jī)把數(shù)據(jù)發(fā)送到D的MAC地址呢���?這個時候A便會發(fā)送arp,���,注意一點(diǎn),交換機(jī)本身是不會主動發(fā)送ARP的�����。那么在ARP這個報(bào)文里包含了啥東東呢�?ARP報(bào)文里有源MAC地址,(也就是A的MAC地址)��,源IP地址���,目的IP地址(也就是D的IP地址)�����,目的MAC地址這個時候?yàn)槿獸�,,因?yàn)檫@個arp是一個廣播嘛。全F的MAC地址就是一個廣播���,因?yàn)檫@個時候A不知道D的mac地址,所以要發(fā)送一個廣播,通知全部的PC���,找尋D的MAC地址 ,怎么發(fā)送給全部同網(wǎng)段的PC呢?就是靠全F的mac地址。也叫flooding,我說了泛洪只是一個形象的比喻書法。當(dāng)D接到這個ARP請求后��,發(fā)現(xiàn)是找自己的�,那么就返回一條ARP回應(yīng)給A,告訴自己的MAC地址 ,全F的MAC地址就是廣播�。這個時候A的arp表便記錄了D的ip地址和mac地址的對應(yīng)關(guān)系����。這樣便順利的發(fā)送給了D這臺機(jī)子的物理地址���,mac�。交換機(jī)的學(xué)習(xí)是交換機(jī)自己多幀復(fù)制���,不是靠廣播實(shí)現(xiàn)����,ARP是PC發(fā)送ARP廣播。在A的arp表項(xiàng)里會記錄D的ip和mac的對應(yīng)關(guān)系�����,這個arp表在ms的系統(tǒng)里好像是15分鐘刷新一次��。
3�����,知道arp的原理理解arp病毒就容易了,下面我講病毒原理�����,和解決方法這個東西在局域網(wǎng)里經(jīng)常發(fā)生,導(dǎo)致間斷上網(wǎng)等癥狀,比如還是剛才那個模型網(wǎng)關(guān)----A���,B����,C,D4臺PC 比如這個時候A這臺機(jī)子中了ARP病毒 ,D像往常一樣上網(wǎng)�����,出網(wǎng)關(guān),這個時候D也像往常發(fā)送ARP請求�,找尋網(wǎng)關(guān)的MAC地址 ,但是這個時候因?yàn)锳中的ARP病毒����,所以A發(fā)送自己的MAC給D,讓D誤會這個MAC地址是網(wǎng)關(guān),D被欺騙�����,從而不能把數(shù)據(jù)發(fā)給網(wǎng)關(guān)�����,而是發(fā)給了A��,所以導(dǎo)致不能上網(wǎng),其實(shí)這個時候并不是網(wǎng)關(guān)沒發(fā)送自己的MAC地址給D,只是A最后發(fā)送自己的MAC給D從而覆蓋了正確的網(wǎng)關(guān)的MAC地址 .導(dǎo)致結(jié)果:第一�,D不能正常出網(wǎng)關(guān)���,也就是上不了外網(wǎng)第二���,A能竊取D的信息�����,如果是傳奇帳號或密碼.但是為什么會出現(xiàn)有時能上網(wǎng)有時不能上網(wǎng)呢�?那么我再來講講ARP病毒的解決辦法�����,如果出現(xiàn)了ARP病毒我們怎么做呢���?大家應(yīng)該知道了么?第一,找到中毒的A主機(jī)第2��,隔離A主機(jī) .那么我們怎么找尋這個中毒的A機(jī)子呢��?可以在交換機(jī)上找�,也可以通過每臺主機(jī)去找在交換機(jī)上查看arp表項(xiàng)���。找到哪一個mac地址出現(xiàn)的次數(shù)最多����,那么就是這個mac在作祟,這樣就找到了病毒的主機(jī)�����,就是這個mac地址��,然后再在交換機(jī)上查看mac地址表��,找到這個mac對應(yīng)的接口,然后關(guān)掉這接口。隔離工作也完成了
