怎么確定網(wǎng)絡(luò)中IP地址被ARP協(xié)議欺騙盜用

問：我是一個(gè)小公司的網(wǎng)絡(luò)管理員， 最近總是出現(xiàn)IP地址沖突的問題， 另外由于經(jīng)常有外來人員使用筆記本連接公司網(wǎng)絡(luò)， 再加上公司的IP地址因?yàn)槟撤N原因是手動(dòng)設(shè)置的固定IP， 公司對于IP地址分布也沒有留有任何記錄信息， 所以當(dāng)有新計(jì)算機(jī)要連接到網(wǎng)絡(luò)中時(shí)只是隨便設(shè)置一個(gè)， 挑選的地址也是那些分布在網(wǎng)絡(luò)末尾或比較大的數(shù)字， 但是久而久之隨意設(shè)置的IP地址過多， 在新計(jì)算機(jī)連接網(wǎng)絡(luò)時(shí)再設(shè)置IP地址很容易造成沖突。 請問IT168的專家是否有好辦法可以解決我目前遇到的問題， 幫助我在設(shè)置IP地址前對網(wǎng)絡(luò)中的所有IP地址進(jìn)行掃描， 明確哪個(gè)IP被占用， 哪個(gè)沒有被占用。 當(dāng)然了解了如何掃描網(wǎng)絡(luò)中已占用的IP地址的話， 我就可以將掃描到的地址打印進(jìn)行保管， 以后新計(jì)算機(jī)接入網(wǎng)絡(luò)不使用這些地址即可。

答：在網(wǎng)絡(luò)中出現(xiàn)IP地址沖突的問題是非常麻煩的， 一方面他擾亂了我們網(wǎng)絡(luò)管理員管理網(wǎng)絡(luò)， 另一方面他影響了普通用戶的正常上網(wǎng)。 特別是對于部分中小公司來說經(jīng)常將IP地址與網(wǎng)絡(luò)資源訪問權(quán)限相關(guān)聯(lián)， 一旦IP地址被占用非法用戶將能非法使用網(wǎng)絡(luò)資源。 遇到這種情況我們?nèi)绾尾槌瞿膫�(gè)IP地址被占用呢？

正如前面網(wǎng)友提出的問題一樣， 當(dāng)公司使用手動(dòng)設(shè)置IP地址且沒有有效管理設(shè)置的IP地址的話， 很容易出現(xiàn)隨意設(shè)置地址并經(jīng)常沖突的問題。 遇到這種情況也需要我們學(xué)會(huì)掃描整個(gè)網(wǎng)絡(luò)， 將已經(jīng)連接到網(wǎng)絡(luò)中的IP地址進(jìn)行記錄， 防止地址沖突現(xiàn)象的發(fā)生。 我們主要有以下幾個(gè)辦法可以幫助大家掃描網(wǎng)絡(luò)中已用的IP地址。

方法一：原始ping法

第一個(gè)方法比較簡單， 而且受環(huán)境限制比較大。 眾所周知在沒有安裝防火墻和設(shè)置過濾規(guī)則的計(jì)算機(jī)上都容許ICMP協(xié)議數(shù)據(jù)包的通過， 那么我們可以通過“ping ip地址”這個(gè)命令來查看該IP地址是否有計(jì)算機(jī)使用。

通過任務(wù)欄的“開始->運(yùn)行”， 輸入CMD后回車進(jìn)入命令行模式。 假設(shè)公司網(wǎng)絡(luò)是192.168.1.0/255.255.255.0， 那么我們可以通過ping 192.168.1.1， ping 192.168.1.2......ping 192.168.1.254來測試IP地址是否被占用。

由于原始ping法比較簡單， 這里就不詳細(xì)說明了， 但是這種方法遇到計(jì)算機(jī)上安裝了防火墻對ICMP協(xié)議進(jìn)行過濾的話， 或者公司交換機(jī)和路由器上對ICMP實(shí)施ACL訪問控制列表過濾的話就不可行了。 因此這個(gè)方法受的局限比較大， 一般測試的成功率不高， 很容易把安裝了防火墻的計(jì)算機(jī)對應(yīng)的IP地址認(rèn)為沒有被使用。

方法二：掃描器掃描法

以前筆者在進(jìn)行網(wǎng)絡(luò)安全工作時(shí)就經(jīng)常使用掃描器掃描網(wǎng)絡(luò)中各個(gè)主機(jī)的漏洞， 那么現(xiàn)在我們完全可以使用此方法來查看本網(wǎng)絡(luò)有哪些IP地址被占用。 由于掃描器掃描時(shí)并不是僅僅使用ICMP協(xié)議進(jìn)行ping， 我們可以設(shè)置， 讓掃描器多掃描幾個(gè)端口， 多掃描幾個(gè)服務(wù)。 這樣即使計(jì)算機(jī)上安裝了防火墻或者交換機(jī)上有訪問控制列表過濾ICMP協(xié)議， 只要該計(jì)算機(jī)開放了某些端口或某些服務(wù)， 就不會(huì)出現(xiàn)漏報(bào)的問題。

通過掃描器掃描出來的IP地址列表還可以導(dǎo)出成HTML文件或TXT文件， 這樣方便我們保存和統(tǒng)計(jì)。

當(dāng)然掃描器工具很多， 這里推薦大家使用安全焦點(diǎn)出的X-SCAN和LANHELPER， 感興趣的讀者可以自行下載使用。

使用掃描器掃描法可以查看出網(wǎng)絡(luò)中幾乎全部計(jì)算機(jī)使用的IP地址， 但是對于那些極個(gè)別的設(shè)置了防火墻的復(fù)雜規(guī)則， 過濾了大部分常用端口和常見服務(wù)的計(jì)算機(jī)來說， 還是會(huì)或多或少的出現(xiàn)漏報(bào)或錯(cuò)報(bào)的問題， 再加上掃描器掃描法還需要我們下載專門的工具， 所以也給操作上帶來了不方便。

方法三：sniffer監(jiān)視法

作為網(wǎng)絡(luò)管理員的我們應(yīng)該都會(huì)使用sniffer， 那么我們只需要在網(wǎng)絡(luò)中開啟sniffer對網(wǎng)絡(luò)傳輸?shù)臄?shù)據(jù)包進(jìn)行監(jiān)視， 過一段時(shí)間就會(huì)查出有哪些IP地址有數(shù)據(jù)包發(fā)出， 這樣就可以確定該IP地址已經(jīng)被占用了。

不過用sniffer的方法不能將已經(jīng)占用的IP地址保存成文件輸出， 而且給人有一種大材小用的感覺， 畢竟sniffer正統(tǒng)不是用來做掃描IP地址的。

方法四：ARP緩存法

實(shí)際上筆者還發(fā)現(xiàn)了一個(gè)方法可以解決網(wǎng)友提出的問題， 他的原理是通過ARP緩存來查看獲得的， 不用使用任何第三方工具， 使用系統(tǒng)自帶的ARP -A即可。

ARP緩存法是以前面介紹的ping法為基礎(chǔ)而來的， 對于安裝了防火墻或設(shè)置過濾規(guī)則的計(jì)算機(jī)來說直接ping該IP地址是得不到返回信息的， 但是有一點(diǎn)我們必須注意， 那就是雖然無法從ping的返回信息中得出該IP地址是否被占用， 但是從ARP緩存中卻可以看出來。 防火墻等過濾設(shè)置可以不容許ICMP協(xié)議返回?cái)?shù)據(jù)包給源地址， 但是由于ARP是工作在二層上的， 所以在ICMP協(xié)議數(shù)據(jù)包被過濾前ARP已經(jīng)通過查看MAC的方式獲得了網(wǎng)絡(luò)中在線主機(jī)的MAC地址。

只要網(wǎng)絡(luò)中的計(jì)算機(jī)想上網(wǎng)， 那么他一定會(huì)將自己網(wǎng)卡的MAC地址告訴與其連接的交換機(jī)， 接下來交換機(jī)也會(huì)進(jìn)一步將他知道的MAC地址信息反饋給使用ping的主機(jī)。 這樣我們在使用ping的主機(jī)上就能夠通過是否獲得MAC地址的方式來了解該IP地址對應(yīng)的計(jì)算機(jī)是否在線了。

通過任務(wù)欄的“開始->運(yùn)行”， 輸入CMD后回車進(jìn)入命令行模式。 假設(shè)公司網(wǎng)絡(luò)是192.168.1.0/255.255.255.0， 那么我們可以通過ping 192.168.1.1， ping 192.168.1.2......ping 192.168.1.254來測試IP地址是否被占用。 當(dāng)然不管ping返回的是通還是不通， 全部ping完后執(zhí)行arp -a命令顯示ARP緩存表， 出現(xiàn)在緩存表中的IP地址就是被占用的地址。

對批處理命令熟悉的網(wǎng)絡(luò)管理員還可以自行編輯一個(gè)BAT命令來完成上面的一系列ping操作， BAT文件的內(nèi)容如下：

FOR /L %i IN (0,1,255) Do ping X.X.X.%i -n 1

arp -a > IP.txt

這個(gè)批處理文件將列出所有正在使用的IP地址跟他們的MAC地址， 保存到ip.txt文件中。 當(dāng)然語句中的X.X.X.%i是可以進(jìn)行修改的， 例如公司網(wǎng)絡(luò)為192.168.1.0/255.255.255.0那么應(yīng)該修改為

FOR /L %i IN (0,1,255) Do ping 192.168.1.%i -n 1

arp -a > IP.txt

最后再把這個(gè)方法的原理進(jìn)行總結(jié)——我們向網(wǎng)段內(nèi)所有IP地址發(fā)送一個(gè)icmp包， 也許他屏蔽了ICMP包， 但是這不要緊， 只要他使用了該IP地址就一定會(huì)回應(yīng)一個(gè)他的mac地址的數(shù)據(jù)包過來， 這樣用arp -a察看本地的arp緩存就能看到他的IP地址跟MAC地址了。

小提示：

我們也可以使用nbtstat -A IP命令來替代arp -a命令。

也許有人會(huì)問計(jì)算機(jī)能夠禁止ARP數(shù)據(jù)包的通過呢？實(shí)際上計(jì)算機(jī)上能禁止ICMP包， 但是是不可能禁止arp包的， 如果禁止了arp， 那么交換機(jī)就找不到該計(jì)算機(jī)了， 該計(jì)算機(jī)也無法連接網(wǎng)絡(luò)， 訪問網(wǎng)絡(luò)上的任何資源了。 所以說ARP緩存法讓我們通過現(xiàn)象看到了本質(zhì)， 即使ping無法返回任何有用信息， 但是實(shí)際上他已經(jīng)幫助我們找出了在線主機(jī)對應(yīng)的MAC地址， 進(jìn)一步了解了他的IP地址。

總結(jié)：

本文介紹了四種方法來解決查看網(wǎng)絡(luò)中已經(jīng)使用的IP地址的辦法， 當(dāng)然各種方法有各種方法的特點(diǎn)， 有的使用了第三方工具但是查看地址列表更加清晰， 有的沒有使用軟件僅僅采用系統(tǒng)自帶命令但是受到網(wǎng)絡(luò)環(huán)境的局限， 而有的雖然沒有任何工具， 但是需要編寫批處理文件， 難度較大。 當(dāng)然究竟采取哪個(gè)方法來解決實(shí)際問題， 是需要我們這些網(wǎng)絡(luò)管理員自己去比較， 自己去選擇的。 個(gè)人推薦使用第四種方法——ARP緩存法。