思科交换机根据MAC/IP地址查找对应端口

网络工程师在做日常网络维护的时候可能经常会遇到这种情况:发现某个IP地址流量特别大,或者收发特别异常的时候,想找出该IP对应的用户出来。而在思科交换机搭建的环境中,是能做到通过对方MAC/IP地址来查找对端对应的交换机端口的,具体步骤如下:

  假设对端的MAC地址为:192.168.1.101
  在中心交换机(核心层交换机或汇聚层交换机)上输入:
switch-6509#show ip arp | in 192.168.1.101
Internet 192.168.50.47 2 0011.2233.4455 ARPA Vlan50

  在ARP表中我们找到了和192.168.1.101对应的MAC地址,如果要根据MAC地 Continue reading "思科交换机根据MAC/IP地址查找对应端口"

修改MAC地址突破HotSpot Shield的流量限制

HotSpot Shield是记录网络适配器的MAC地址来实现流量监控,所以当流量到达最高的时候,我们可以通过伪造MAC地址来突破流量的限制

这里推荐一款MAC地址修改的软件“Mac MakeUp”

Mac MakeUp使用介绍+最新汉化版下载
http://429006.com/article/Technology/1386.htm

Hotspot Shield下载:
http://429006.com/article/Technology/573.htm

点击“Run Hotspot Shield”,就会自动搜索VPN服务器,并连接。

Mac MakeUp最新版介绍+汉化版下载

Mac MakeUp是一款可以伪造修改MAC地址的软件

Size:300 Kb
Hits:20148
License:Freeware
Platform:Windows 2000/XP/2003
Publisher: H&C Works
Language:n/a
Description:
Mac MakeUp, lets you spoof your MAC address

下载地址:
http://www.gorlani.com/portal/projects/macmakeup-for-vista-seven-2008-windows-8/mcmkup.zip
http://www.gorlani.com/portal/projects/macmakeup-for-vista-seven-2008-windows-8

中文版:
http://www.downg.com/soft/5085.html

软件界面:

使用方法:
一、 备份您的MAC地址
本软件经过pop测试,安全有效。但是,修改MAC地址具有一定的风险性,所以请在修改之前做好备份:
1、如果您使用的是Windows 2000/2003/XP,点击屏幕左下角“开始”,选择“运行”,输入“CMD”回车启动命令行;如果您使用的是Vista,请在“程序 - 附件”中找到命令行,启动;
2、输入“ipconfig /all”命令查看网络设置
3、找到“Physical Address”,记录下后面的字母和数字[无需记录横杠],这就是您的网卡的MAC地址。

二、修改您的MAC地址
启动『Mac MakeUp』,点击“随机生成地址”然后选择新窗口中的任意一项生成MAC地址,您也可以自己输入MAC地址,然后点击更改,便完成了MAC地址修改。

如果您之前已经勾选了“自动重启网卡”,那么网卡会自动重启;如果没有,那么您可以点击“手动重启网卡”按钮重启网卡。重启后您的网卡便拥有了新的MAC地址。
如果修改后的MAC地址无效,那么您可以在这里恢复您之前记录下来的MAC地址:输入,然后更改。

NBtscan扫描整个局域网IP及MAC地址

安装:

然后将cygwin1.dll和nbtscan.exe复制到c:\windows\system32下
进入cmd窗口就可以输入命令,如:nbtscan 192.168.1.1/24就可以扫描整个C段了

安装好后直接就可以使用了,它的参数有12个之多(用NBTSCAN –H查看),但基本用到的不多。只要扫描IP设置正确就可以完成任务了。。。

IP格式主要有2种:

例如:
192.168.18.0/24 表示扫描整个C类IP段
192.168.18.13-190 表示从192.168.18.13扫描到192.168.18.190

Examples:
1、我要扫描192.168.18.0的整个C类IP段

现在可以知道和我同一个局域网的还有2台机器,可以看到主机名和MAC地址
(小知识:MAC地址可以简单理解为每个主机网卡唯一的标志)

2、我要扫描192.168.18.13-190的主机

这里就扫不到192.168.18.2了,因为我设置的范围是192.168.18.13-190
(小提示:NBTSCAN是扫不到自己的,想知道自己的MAC地址和其他网络设置的信息,可以用IPCONFIG命令查看)

下载地址:
http://www.anqn.com/soft/a/2005-12-13/a0976153.shtml
http://www.52z.com/Down/19306.html

国外下载地址:
http://www.inetcat.net/software/nbtscan1_5_1.zip

修改网卡的MAC地址

首先要说明,并不是所有的网卡在网卡属性-高级中自然就有Network Address这一项,尤其是笔记本电脑!另外既然你的网卡属性中都没有Network Address,那注册表里头一般也就没有这一项,所以只有通过修改注册表来让它显示了!

一、Win 2000/XP下修改MAC地址

  1.在“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Class\4D36E972-E325-11CE-BFC1-08002BE10318\0000、0001、0002”等主键下, 因为你有可能安装了不止一块网卡,所以在这个主键下可能会有多个类似于“0000、0001”的主键,这时候你可以查找DriverDesc内容为你要修改的网卡的描述相吻合的主键,如“0001”。

  2.在上面提到的主键下,添一个字符串,名字为“NetworkAddress”,把它的值设为你要的MAC地址,要连续写,如“001010101010”。

  3.然后到主键下“Ndi\params”中添加一项“NetworkAddress”的主键值,在该主键下添加名为“default”的字符串,值写原来的MAC地址,要连续写,如“001010101010”。

  【注】实际上这只是设置在后面提到的高级属性中的“初始值”,实际使用的MAC地址还是取决于在第2点中提到的“NetworkAddress”参数,而且一旦设置后,以后高级属性中值就是“NetworkAddress”给出的值而非“defaul t”给出的了。

  4.在“NetworkAddress”的主键下继续添加名为“ParamDesc”的字符串,其作用为指定“NetworkAddress”主键的描述,其值可为“Network Address”(也可以随意设置,这只是个描述,无关紧要,这个值将会在你以后直接修改MAC地址的时候作为描述出现),这样重新启动一次以后打开网络邻居的属性,双击相应网卡项会发现有一个高级设置,其下存在Network Address (就是你在前面设置的ParamDesc)的选项,这就是你在第二步里在注册表中加的新项“NetworkAddress”,以后只要在此修改MAC地址就可以了。(在这儿也能把MAC改回原来的)

  5.在“NetworkAddress”的主键下继续添加名为“Optional”的字符串,其值设为"1",作用是在上一步的基础上显示"不存在"这个选项!(这一步不明白的话就去看看别人网卡的高级属性,不做这一步也无所谓)有这一步的话以后要改回来就直接选中这个"不存在"就可以了!

  6.关闭注册表编辑器,重启网卡或系统,你的网卡地址已经改好了。打开网络邻居的属性,双击相应网卡项会发现有一个Network Address的高级设置项。用于直接修改MAC地址,而且不需要重新启动就可以实现MAC的随时更改。

2000/XP下是这样:

二、Win 98下修改MAC地址

  方法与2000/XP下类似,只是所修改的地点不一样!

  11.在“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Class\Net\0000、0001、0002”等主键下, 因为你有可能安装了不止一块网卡,所以在这个主键下可能会有多个类似于“0000、0001”的主键,这时候你可以查找DriverDesc内容为你要修改的网卡的描述相吻合的主键,如“0001”。
2.在上面提到的主键下,添一个字符串,名字为“NetworkAddress”,把它的值设为你要的MAC地址,要连续写,如“001010101010”。
3.然后到主键下“Ndi\params”中添加一项“NetworkAddress”的主键值,在该主键下添加名为“default”的字符串,值写原来的MAC地址,要连续写,如“001010101010”。

  【注】实际上这只是设置在后面提到的高级属性中的“初始值”,实际使用的MAC地址还是取决于在第2点中提到的“NetworkAddress”参数,而且一旦设置后,以后高级属性中值就是“NetworkAddress”给出的值而非“defaul t”给出的了。

  4.在“NetworkAddress”的主键下继续添加名为“ParamDesc”的字符串,其作用为指定“NetworkAddress”主键的描述,其值可为“Network Address”(也可以随意设置,这只是个描述,无关紧要,这个值将会在你以后直接修改MAC地址的时候作为描述出现),这样重新启动一次以后打开网络邻居的属性,双击相应网卡项会发现有一个高级设置,其下存在Network Address (就是你在前面设置的ParamDesc)的选项,这就是你在第二步里在注册表中加的新项“NetworkAddress”,以后只要在此修改MAC地址就可以了。(在这儿也能把MAC改回原来的)

5.在“NetworkAddress”的主键下继续添加名为“Optional”的字符串,其值设为"1",作用是在上一步的基础上显示"没有显示"这个选项!(这一步不明白的话就去看看别人网卡的高级属性,不做这一步也无所谓)有这一步的话以后要改回来就直接选中这个"没有显示"就可以了!

  6.关闭注册表编辑器,重启网卡或系统,你的网卡地址已经改好了。打开网络邻居的属性,双击相应网卡项会发现有一个Network Address的高级设置项。用于直接修改MAC地址,而且不需要重新启动就可以实现MAC的随时更改。
98下就是这样:
 

三、Linux下修改MAC地址(虽然没多少人用这个系统,不过还是说一下吧!)

  1.首先必须关闭网卡设备,否则会报告系统忙,无法更改。
  命令是:“/sbin/ifconfig eth0 down”

  2.修改MAC地址,这一步较Windows中的修改要简单。
  命令是:“/sbin/ifconfig eth0 hw ether 00AABBCCDDEE”

  3.重新启用网卡.
  命令是:“/sbin/ifconfig eth0 up”网卡的MAC地址更改就完成了。

四、如果你嫌自己改注册表太麻烦的话那我这儿给提供两个注册表文件(每两行虚线之间的内容),自己保存到一个文本文件中,并另存为.reg文件.双击该.reg文件,即可导入注册表!

2000/XP下:
-----------------------------------------------------------------------------------------------
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Class\4D36E972-E325-11CE-BFC1-08002BE10318\0000]
"NetWorkAddress"="112233445566"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Class\4D36E972-E325-11CE-BFC1-08002BE10318\0000\Ndi\Params\networkaddress]
"default"="665544332211"
"optional"="1"
"paramdesc"="NetWork Address"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Class\4D36E972-E325-11CE-BFC1-08002BE10318\0000\Ndi\Params\networkaddress]
"default"="665544332211"
"optional"="1"
"paramdesc"="NetWork Address"
-----------------------------------------------------------------------------------------------

98下:
-----------------------------------------------------------------------------------------------
REGEDIT4

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Class\Net\0000]
"NetWorkAddress"="112233445566"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Class\Net\0000\Ndi\Params\networkaddress]
"default"="665544332211"
"optional"="1"
"paramdesc"="NetWork Address"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Class\Net\0000\Ndi\Params\networkaddress]
"default"="665544332211"
"optional"="1"
"paramdesc"="NetWork Address"
-----------------------------------------------------------------------------------------------

  将上面两个文本中的所有的112233445566改为你想要的MAC地址,把所有的665544332211改为你原来的MAC地址!还有一点必须注意,就是必须确定你的网卡在注册表里究竟是“0000”,还是“0001”等其他的,然后在这个Reg文 件里进行相应的修改再执行导入操作。否则只会是白费力气。

局域网的MAC(arp)攻击解决方法

制作批处理文件:

在客户端做对网关的arp绑定,具体操作步骤如下:

步骤一:
查找本网段的网关地址,比如192.168.1.1,以下以此网关为例。在正常上网时,“开始→运行→cmd→确定”,输入:arp -a,点回车,查看网关对应的Physical Address。

比如:网关192.168.1.1 对应00-14-78-b7-9e-f8

步骤二:
编写一个批处理文件rarp.bat,内容如下:

@echo off
arp -d
arp -s  192.168.1.1 00-14-78-b7-9e-f8

保存为:rarp.bat。

步骤三:
运行批处理文件将这个批处理文件拖到“Windows→开始→程序→启动”中,如果需要立即生效,请运行此文件。

注意:以上配置需要在网络正常时进行

欺骗形式有欺骗路由器ARP表和欺骗电脑ARP两种,我们的防护当然也是两个方面的,首先在路由器上进行设置,来防止路由器的ARP表被恶意的ARP数据包更改;其次,我们也会在电脑上进行一下设置,来防止电脑的ARP表受恶意更改。两个方面的设置都是必须的,不然,如果您只设置了路由器的防止ARP欺骗功能而没有设置电脑,电脑被欺骗后就不会把数据包发送到路由器上,而是发送到一个错误的地方,当然无法上网和访问路由器了。

一、设置前准备

当使用了防止ARP欺骗功能(IP和MAC绑定功能)后,最好是不要使用动态IP,因为电脑可能获取到和IP与MAC绑定条目不同的IP,这时候可能会无法上网,通过下面的步骤来避免这一情况发生吧。

1.把路由器的DHCP功能关闭:打开路由器管理界面,“DHCP服务器”->“DHCP服务”,把状态由默认的“启用”更改为“不启用”,保存并重启路由器。

2.给电脑手工指定IP地址、网关、DNS服务器地址,如果您不是很清楚当地的DNS地址,可以咨询您的网络服务商。

二、设置路由器防止ARP欺骗

具备这种一功能的路由器产品很多,下面我们以某一款路由器为例,设置路由器防止ARP欺骗。

打开路由器的管理界面可以看到如下的左侧窗口:
可以看到比之前的版本多出了“IP与MAC绑定”的功能,这个功能除了可以实现IP和MAC绑定外,还可以实现防止ARP欺骗功能。

打开“静态ARP绑定设置”窗口如下:
注意,默认情况下ARP绑定功能是关闭,请选中启用后,点击保存来启用。

打开“ARP映射表”窗口如下:

这是路由器动态学习到的ARP表,可以看到状态这一栏显示为“未绑定”。 如果确认这一个动态学习的表没有错误,也就是说当时不存在arp欺骗的情况下(如果网络是正常运行的,而且不同的IP对应的MAC地址不一样,一般是没有错误的) ,我们把这一个表进行绑定,并且保存为静态表,这样路由器重启后这些条目都会存在,达到一劳永逸的效果。

点击“全部绑定”,可以看到下面界面:
可以看到状态中已经为已绑定,这时候,路由器已经具备了防止ARP欺骗的功能,上面的示范中只有三个条目,如果您的电脑多,操作过程也是类似的。有些条目如果没有添加,也可以下次补充上去。除了这种利用动态学习到的ARP表来导入外,也可以使用手工添加的方式,只要知道电脑的MAC地址,手工添加相应条目就可。

为了让下一次路由器重新启动后这些条目仍然存在,我们点击了“全部导入”,然后再次打开“静态ARP绑定设置”窗口:
可以看到静态条目已经添加,而且在绑定这一栏已经打上勾,表示启用相应条目的绑定。到此,我们已经成功设置路由器来防止192.168.1.111、192.168.1.112、222.77.77.1这三个IP受ARP欺骗的攻击,如果有更多的电脑,只是条目数不同,设置过程当然是一样的,不是很难吧?

三、设置电脑防止ARP欺骗

路由器已经设置了防止ARP欺骗功能,接下来我们就来设置电脑的防止ARP欺骗了。微软的操作系统中都带有ARP这一命令行程序,我们可以在windows的命令行界面来使用它。打开windows的命令行提示符如下:
通过“arp-s +路由器IP如192.168.1.1+路由器的MAC地址”这一条命令来实现对路由器的ARP条目的静态绑定,可以看到在arp -a 命令的输出中,已经有了我们刚才添加的条目,Type类型为static表示是静态添加的。至此,我们也已经设置了电脑的静态ARP条目,这样电脑发送到路由器的数据包就不会发送到错误的地方去了。

怎么知道路由器的MAC地址是多少呢?可以打开路由器的管理界面,进入“网络参数”->“LAN口设置”:
LAN口的MAC地址就是电脑的网关的MAC地址。

细心的人可能已经发现了,如果使用上面的方法,电脑每次在重启后都需要输入上面的命令来实现防止ARP欺骗,有没有更简单的方法自动来完成,不用手工输入呢?有!

我们可以新建一个批处理文件如static_arp.bat,注意后缀名为bat。编辑它,在里面加入我们刚才的命令:

保存就可以了,以后可以通过双击它来执行这条命令,还可以把它放置到系统的启动目录下来实现启动时自己执行。打开电脑“开始”->“程序”,双击“启动”打开启动的文件夹目录,把刚才建立的static_arp.bat复制到里面去:

好了,以后电脑每次启动时就会自己执行arp –s命令了,网吧网管和老板终于可以好好休息一下,不再受到ARP攻击的干扰。