局域网网关欺骗分析

使用的网络是房东的中国电信有线网络,使用过程中,突然出现网络断开连接,一下好一下断开;打开360上网管理模块,拦截到 Arp 网关欺骗,显示的网关是 192.168.1.1 ,同时也定位到一个对应的 Mac 的物理地址 48-A0-xx-xx-xx-xx;

第一时间想到可能局域网内有人使用类似于 P2p 终结者的限速软件:

解决:我自己也去下载了一个 P2p 终结者破解版(有最高权限版),安装运行,上网正常了,但偶尔还是有断开现象,下载东西和看视频没啥问题,玩游戏肯定就不行了。

其中有个问题是,在我的 p2p 终结者里面并没有发现 48-A0- 这个 mac 地址,也就是说局域网内并没有这个被 360 拦截追踪得到 mac 地址。我的疑问,难道 mac 是伪装的?

根据这个疑问,我又安装了 Wireshark 这个抓包分析软件,安装运行捕获过滤,发现 48-A0 (牌子显示 Fiberhome 烽火)这个地址频繁的在发送 arp 广播,告诉局域网内的其它路由说自己是 192.168.1.1;在这里面还有一个 TP 路由器,mac 为 BC-46 的也在发送 arp 广播,告诉局域网内的其它路由说自己才是 192.168.1.1。那么谁才是真正的 192.168.1.1?

又根据新的疑问去网上查阅各种资料,最后总结得出:

出现网关欺骗的情况可能是以下原因造成:

  1. 使用类似 p2p 终结者的限速软件
  2. 中病毒了
  3. 两个路由器的网关地址冲突了

最后通过我两天的观察分析,发现一天到晚24小时 ,网关欺骗在本局域网内一直存在,也就是24小时开机不断。所以排除了第一项,因为大多数人的电脑都不会长时间一直开机待机;同时发现一直是那两台 48-A0 和 BC-46 的设备冲突,如果是病毒,应该会感染到更多的设备,所以排除了第二项(现在路由设备的防护能力已经不错了,当然或许技术很牛的人也可以找到漏洞攻击,这种情况应该非常的少)

排除了前两项,基本就是第三项了,再从网络上查询资料,我又分析出两种情况,其中第一种有待验证

  1. 老旧的路由器当交换机使用,开启 DHCP , LAN 地址设为 192.168.1.1 (这种情况我无法模拟,因为我手上没两套不同的 路由器,只有一台 TP-WR886N)
  2. 房东的路由器(也就是那台 BC-46 开头的 TP 路由器 )和其上游的光猫的网关地址一样,导致网关冲突

我的现象问题肯定是第二种了,因为我每次浏览器访问 192.168.1.1 这个地址的时候,有时候出现了 TP 路由器的登录界面 和 中国电信天翼网关的登录界面 ,那么 天翼网关的登录界面 应该就是那台 Fiberhome 48-A0 了,最终解决直接告诉房东修改他的 TP 路由器网关就行了。

或者你不告诉房东,你也可以自己下载一个 名叫 Ant ARP Sniffer 的软件,在内核层捕获 arp 广播,丢弃虚假的arp 包,只使用正确 网关 mac 的地址包。然后整个局域网就你一个人享受冲浪。

最后补充下第一种情况的模拟情况,我把我的路由器当成交换机, 先断开与上游的连接 ,LAN 地址设为 192.168.1.1,打开 DHCP ,我貌似并不能模拟出和上面一样的网关欺骗,因为我的这台 TP-WR886N 好像会自动识别这个地址段,如果 LAN 段和 WAN 段处于同一网段,就不能正常使用;当然还有别的情况条件有待验证,比如,关闭 DHCP 、先插网线然后配置我的路由器;如果你要把路由器当交换机使用,有两点是确定的,1 ,从上游LAN 口拉出来的网线一定是接到你路由器的 LAN 口;2 ,在接入网线之前,请先把路由器的网关地址修改一下,别和上游设备网关一样。 在目前常用的路由器牌子而言,打不打开 DHCP 已经无关紧要了,它会自己识别处理。

第三种:对于出租房的网络管理可以通过使用带有拨号服务器的路由器来管理或者软路由