編號：時間：2021年x月x日書山有路勤為徑，學海無涯苦作舟頁碼：第表所示。此外，如果多于一個功能同時被激活，那么表2-2中每一列將取相應的最小值。表2-3CSM6800/CSM6850特定功能的兼容性NonzeroDopplerPIC4-wayRxBoomer8-SlotACDNonzeroDopplerPIC*允許4-wayRx允許禁止Boomer禁止禁止禁止--8-SlotACD?禁止-禁止禁止-*PIC功能的限制只適用于CSM6800，對于CSM6850沒有這種限制。?只有CSM6850支持8時隙接入信道周期(ACD)功能。接入信道分配機制CSM6800和CSM6850的接入信道分配算法如下：Per-sector-num-access-channelsProbe-length-normalized-power2probe-length-raw所以，CSM所能支持的最大載扇數量同時取決于接入信道容量，公式如下：Max-num-sector-carriers=MIN(Num-ACEs/Per-sector-num-access-channels,表表3-1給出了對于不同的“CapsuleLengthMax”和“AccessCycleDuration”參數設置，所對應的每載扇接入信道數量實例。表31每載扇接入信道數量實例CapsuleLengthMaxAccessCycleDurationProbe-length-raw*Proble-length-normalized-power2Per-sector-num-access-channelsRequiredpersector-carrier4(64slots)32slots68(+12)?128416slots68(+12)?12883(48slots)32slots52(+12)?64216slots52(+12)?644*對于EV-DORev.A，假設PreambleLengthSlots=4slots。?如果網絡中存在Rel0終端，對于Rel0假定PreambleLength=1frames(16slots)。注：若不遵循CSM的配置要求有可能導致CSM無法啟動。舉個例子：假設一單芯片的CSM6800配置了6載扇，如果設置CapsuleLengthMax=4以及AccessCycleDuration=16，那么CSM6800將無法初始化和啟動。原因是因為這樣的參數設置，每載扇要求的最少ACE的數目是8個（見表3-1第2行的計算）。然而對于假設一單芯片的CSM6800配置了6載扇后，每載扇只有24/6=4個ACE少于此參數配置下對ACE的最低要求（每載扇8個ACE）。CSM6850的4x接入信道增強4x接入信道增強包括兩個新的功能，每個新功能帶來潛在的2x接入信道容量的增強。這兩個新功能的概況在以下章節中介紹。時隙接入信道周期當運行在8時隙接入信道周期模式下，每載扇接入信道數量的計算方法與設置為其它接入信道周期時的計算方法相同，如上所述。2次解調/接入信道周期激活“2次解調/接入信道周期”功能后，每個接入信道周期最多能夠成功解調兩個接入探針，每個芯片將預留額外的24個物理信道，用于在第二個解調器上解調接入探針。注意，這些額外的24個物理信道不能夠用于接入信道周期中的第一次解調，即使該功能關閉。RapidDormancy功能混合終端設置了2個RapidDromancy相關的Timer，當終端收到網絡側發起的連接，這2個Timer會啟動，當終端側的RapidDormancyTimer超時，終端會釋放空口連接。如果在RestoreTimer內未觸發終端的RapidDormancyTimer，則恢復使用網絡側的DormancyTimer。終端側DormancyTimer默認值是5s，RestoreTimer默認值是20s。根據PCMD對現網終端的RapidDormancyTimer設置進行分析，分析方法如下：取AN發起的連接，對各型號終端的連接時長按秒級進行分布統計，根據其連接時長匯聚區間分析。現網主要有5s和1s兩種設置，大部分終端采用默認值5s，廠商調整為1s的主要為摩托的幾款主流終端。兩類連接占比TOPN10的終端型號及占比如下：終端側DormancyTimer為5s：終端側DormancyTimer為1s：用戶業務模型(區間統計)忙時激活用戶數(連接數忙時)從3月到5月忙時,數據卡激活用戶數變化不大，而智能手機激活用戶數漲幅明顯.激活用戶數3月占日用戶數百分比5月占日用戶數百分比數據卡34,89924.46%37,48924.85%普通機25,33923.64%33,91424.28%智能機18,55740.74%44,48639.48%類型未知手機3256529.01%4191232.63%忙時激活用戶數(流量忙時)從3月到5月忙時,數據卡激活用戶數變化不大,而智能手機激活用戶數漲幅明顯。激活用戶數3月占日用戶數百分比5月占日用戶數百分比數據卡32,58122.84%37,40524.80%普通機20,72219.33%26,82319.21%智能機17,35138.09%40,22935.70%類型未知手機3059527.26%3696028.77%忙時每用戶連接數(連接數忙時)平均連接數3月5月數據卡22.5322.86普通機12.8413.30智能機17.1918.00忙時每用戶連接數(流量忙時)平均連接數3月5月數據卡19.3818.87普通機12.9114.03智能機15.4816.85忙時每用戶前向RLP流量(連接數忙時)平均前向數據流量(KBytes)3月5月數據卡25,12023,596普通機253232智能機452352忙時每用戶前向RLP流量(流量忙時)平均前向數據流量(KBytes)3月5月數據卡28,87025,142普通機388314智能機437345忙時每用戶反向RLP流量(連接數忙時)平均反向數據流量(KBytes)3月5月數據卡5,9285,610普通機3737智能機8749忙時每用戶反向RLP流量(流量忙時)平均反向數據流量(KBytes)3月5月數據卡8,6366,991普通機4452智能機5554忙時每用戶連接時長(連接數忙時)平均連接時長(分鐘)3月5月數據卡34.4334.16普通機5.955.78智能機5.244.83忙時每用戶連接時長(流量忙時)平均連接時長(分鐘)3月5月數據卡35.6234.05普通機5.455.71智能機4.744.57忙時每用戶連接間隔(連接數忙時)平均連接間隔(秒)3月5月數據卡21.9822.34普通機51.7352.58智能機68.4064.16注：該統計排除了和Session相關的連接。忙時每用戶連接間隔(流量忙時)平均連接間隔(秒)3月5月數據卡21.5322.44普通機48.1248.58智能機66.2161.62注：該統計排除了和Session相關的連接。忙時每連接時長(連接數忙時)每連接平均時長(秒)3月5月數據卡102.7778.17普通機16.5217.45智能機15.0513.53注：該統計排除了和Session相關的連接。忙時每連接時長(流量忙時)每連接平均時長(秒)3月5月數據卡99.3499.34普通機14.8516.27智能機13.3913.91注：該統計排除了和Session相關的連接。忙時每連接RLP流量(連接數忙時)每連接RLP流量(KB)3月5月數據卡1,1261,040普通機1211智能機2317忙時每連接RLP流量(流量忙時)每連接RLP流量(KB)3月5月數據卡1,7291,492普通機1815智能機2419忙時每用戶前向RLP吞吐率(連接數忙時)每連接前向RLP吞吐率(kbps)3月5月數據卡44.9843.49普通機4.814.70智能機7.717.20忙時每用戶前向RLP吞吐率(流量忙時)每連接前向RLP吞吐率(kbps)3月5月數據卡42.7642.41普通機8.567.83智能機7.686.81忙時每用戶反向RLP吞吐率(連接數忙時) 每連接反向RLP吞吐率(kbps)3月5月數據卡7.587.92普通機2.372.37智能機2.061.88忙時每用戶反向RLP吞吐率(流量忙時)每連接反向RLP吞吐率(kbps)3月5月數據卡7.928.03普通機2.292.35智能機1.701.55完附錄資料：不需要的可以自行刪除超全ARP知識什么是ARPARP（AddressResolutionProtocol）是地址解析協議，是一種將IP地址轉化成物理地址的協議。從IP地址到物理地址的映射有兩種方式：表格方式和非表格方式。ARP具體說來就是將網絡層（也就是相當于OSI的第三層）地址解析為數據鏈路層（也就是相當于OSI的第二層）的物理地址(注:此處物理地址并不一定指MAC地址)。ARP原理：某機器A要向主機B發送報文，會查詢本地的ARP緩存表，找到B的IP地址對應的MAC地址后，就會進行數據傳輸。如果未找到，則廣播A一個ARP請求報文（攜帶主機A的IP地址Ia——物理地址Pa），請求IP地址為Ib的主機B回答物理地址Pb。網上所有主機包括B都收到ARP請求，但只有主機B識別自己的IP地址，于是向A主機發回一個ARP響應報文。其中就包含有B的MAC地址，A接收到B的應答后，就會更新本地的ARP緩存。接著使用這個MAC地址發送數據（由網卡附加MAC地址）。因此，本地高速緩存的這個ARP表是本地網絡流通的基礎，而且這個緩存是動態的。ARP協議并不只在發送了ARP請求才接收ARP應答。當計算機接收到ARP應答數據包的時候，就會對本地的ARP緩存進行更新，將應答中的IP和MAC地址存儲在ARP緩存中。因此，當局域網中的某臺機器B向A發送一個自己偽造的ARP應答，而如果這個應答是B冒充C偽造來的，即IP地址為C的IP，而MAC地址是偽造的，則當A接收到B偽造的ARP應答后，就會更新本地的ARP緩存，這樣在A看來C的IP地址沒有變，而它的MAC地址已經不是原來那個了。由于局域網的網絡流通不是根據IP地址進行，而是按照MAC地址進行傳輸。所以，那個偽造出來的MAC地址在A上被改變成一個不存在的MAC地址，這樣就會造成網絡不通，導致A不能Ping通C！這就是一個簡單的ARP欺騙。（讀者注：某機器A利用其它某機器B的IP地址和一個事實上并不存在的MAC地下向另一臺機器C發出ARP請求，導致C中的ARP緩存表的錯誤映射，稱為ARP欺騙）ARP協議的工作原理在每臺裝有tcp/ip協議的電腦里都有一個ARP緩存表，表里的ip地址與mac地址是一一對應的，如圖。arp緩存表以主機A（）向主機B（）發送數據為例。當發送數據時，主機A會在自己的ARP緩存表中尋找是否有目標IP地址。如果找到了，也就知道了目標的MAC地址，直接把目標的MAC地址寫入幀里面發送就可以了；如果在ARP緩存表里面沒有目標的IP地址，主機A就會在網絡上發送一個廣播,目標MAC地址是“ff-ff-ff-ff-ff-ff”，這表示向同一網段的所有主機發出這樣的詢問：“的mac地址是什么呀？”網絡上的其他主機并不回應這一詢問，只有主機B接受到這個幀時才向A作出回應：“的MAC地址是00-aa-0-62-c6-09。（如上表）”這樣，主機A就知道了主機B的MAC地址，就可以向主機B發送信息了。同時，它還更新了自己的ARP緩存表，下次再向B發送數據時，直接在ARP緩存表找就可以了。ARP緩存表采用老化的機制，在一段時間里表中的某一行沒有使用，就會被刪除，這樣可以大大減少ARP緩存表的長度，加快查詢的速度。如何查看ARP緩存表ARP緩存表示可以查看的，也可以添加和修改。在命令提示符下，輸入“arp-a”就可以查看arp緩存表的內容了。用“arp-d”可以刪除arp緩存表里的所有內容。用“arp-s“可以手動在arp表中制定ip地址與MAC地址的對應關系。ARP欺騙的種類ARP欺騙是黑客常用的攻擊手段之一，ARP欺騙分為二種，一種是對路由器ARP表的欺騙；另一種是對內網PC的網關欺騙。第一種ARP欺騙的原理是——截獲網關數據。它通知路由器一系列錯誤的內網MAC地址，并按照一定的頻率不斷進行，使真實的地址信息無法通過更新保存在路由器中，結果路由器的所有數據只能發送給錯誤的MAC地址，造成正常PC無法收到信息。第二種ARP欺騙的原理是——偽造網關。它的原理是建立假網關，讓被它欺騙的PC向假網關發數據，而不是通過正常的路由器途徑上網。在PC看來，就是上不了網了，“網絡掉線了”。一般來說，ARP欺騙攻擊的后果非常嚴重，大多數情況下會造成大面積掉線。有些網管員對此不甚了解，出現故障時，認為PC沒有問題，交換機沒掉線的“本事”，電信也不承認寬帶故障。而且如果第一種ARP欺騙發生時，只要重啟路由器，網絡就能全面恢復，那問題一定是在路由器了。為此，寬帶路由器背了不少“黑鍋”。arp欺騙－網絡執法官的原理在網絡執法官中，要想限制某臺機器上網，只要點擊"網卡"菜單中的"權限"，選擇指定的網卡號或在用戶列表中點擊該網卡所在行，從右鍵菜單中選擇"權限"，在彈出的對話框中即可限制該用戶的權限。對于未登記網卡，可以這樣限定其上線：只要設定好所有已知用戶（登記）后，將網卡的默認權限改為禁止上線即可阻止所有未知的網卡上線。使用這兩個功能就可限制用戶上網。其原理是通過ARP欺騙發給被攻擊的電腦一個假的網關IP地址對應的MAC，使其找不到網關真正的MAC地址，這樣就可以禁止其上網。修改MAC地址突破網絡執法官的封鎖根據上面的分析，我們不難得出結論：只要修改MAC地址，就可以騙過網絡執法官的掃描，從而達到突破封鎖的目的。下面是修改網卡MAC地址的方法：在"開始"菜單的"運行"中輸入regedit，打開注冊表編輯器，展開注冊表到：HKEY_LOCAL_MACHINE/System/CurrentControlSet/Control/Class/子鍵，在子鍵下的0000，0001，0002等分支中查找DriverDesc（如果你有一塊以上的網卡，就有0001，0002在這里保存了有關你的網卡的信息，其中的DriverDesc內容就是網卡的信息描述，比如我的網卡是Intel21041basedEthernetController），在這里假設你的網卡在0000子鍵。在0000子鍵下添加一個字符串，命名為"NetworkAddress"，鍵值為修改后的MAC地址，要求為連續的12個16進制數。然后在"0000"子鍵下的NDI/params中新建一項名為NetworkAddress的子鍵，在該子鍵下添加名為"default"的字符串，鍵值為修改后的MAC地址。在NetworkAddress的子鍵下繼續建立名為"ParamDesc"的字符串，其作用為指定NetworkAddress的描述，其值可為"MACAddress"。這樣以后打開網絡鄰居的"屬性"，雙擊相應的網卡就會發現有一個"高級"設置，其下存在MACAddress的選項，它就是你在注冊表中加入的新項"NetworkAddress"，以后只要在此修改MAC地址就可以了。關閉注冊表，重新啟動，你的網卡地址已改。打開網絡鄰居的屬性，雙擊相應網卡項會發現有一個MACAddress的高級設置項，用于直接修改MAC地址。MAC地址也叫物理地址、硬件地址或鏈路地址，由網絡設備制造商生產時寫在硬件內部。這個地址與網絡無關，即無論將帶有這個地址的硬件（如網卡、集線器、路由器等）接入到網絡的何處，它都有相同的MAC地址，MAC地址一般不可改變，不能由用戶自己設定。MAC地址通常表示為12個16進制數，每2個16進制數之間用冒號隔開，如：08:00:20:0A:8C:6D就是一個MAC地址，其中前6位16進制數，08:00:20代表網絡硬件制造商的編號，它由IEEE分配，而后3位16進制數0A:8C:6D代表該制造商所制造的某個網絡產品（如網卡）的系列號。每個網絡制造商必須確保它所制造的每個以太網設備都具有相同的前三字節以及不同的后三個字節。這樣就可保證世界上每個以太網設備都具有唯一的MAC地址。另外，網絡執法官的原理是通過ARP欺騙發給某臺電腦有關假的網關IP地址所對應的MAC地址，使其找不到網關真正的MAC地址。因此，只要我們修改IP到MAC的映射就可使網絡執法官的ARP欺騙失效，就隔開突破它的限制。你可以事先Ping一下網關，然后再用ARP-a命令得到網關的MAC地址，最后用ARP-sIP網卡MAC地址命令把網關的IP地址和它的MAC地址映射起來就可以了。找到使你無法上網的對方解除了網絡執法官的封鎖后，我們可以利用Arpkiller的"Sniffer殺手"掃描整個局域網IP段，然后查找處在"混雜"模式下的計算機，就可以發現對方了。具體方法是：運行Arpkiller（圖2），然后點擊"Sniffer監測工具"，在出現的"Sniffer殺手"窗口中輸入檢測的起始和終止IP（圖3），單擊"開始檢測"就可以了。檢測完成后，如果相應的IP是綠帽子圖標，說明這個IP處于正常模式，如果是紅帽子則說明該網卡處于混雜模式。它就是我們的目標，就是這個家伙在用網絡執法官在搗亂。局域網ARP欺騙的應對一、故障現象及原因分析情況一、當局域網內某臺主機感染了ARP病毒時，會向本局域網內（指某一網段，比如：這一段）所有主機發送ARP欺騙攻擊謊稱自己是這個網端的網關設備，讓原本流向網關的流量改道流向病毒主機，造成受害者正常上網。情況二、局域網內有某些用戶使用了ARP欺騙程序（如：網絡執法官,QQ盜號軟件等）發送ARP欺騙數據包，致使被攻擊的電腦出現突然不能上網，過一段時間又能上網，反復掉線的現象。關于APR欺騙的具體原理請看我收集的資料ARP欺騙的原理二、故障診斷如果用戶發現以上疑似情況，可以通過如下操作進行診斷：點擊“開始”按鈕->選擇“運行”->輸入“arp–d”->點擊“確定”按鈕，然后重新嘗試上網，如果能恢復正常，則說明此次掉線可能是受ARP欺騙所致。注：arp-d命令用于清除并重建本機arp表。arp–d命令并不能抵御ARP欺騙，執行后仍有可能再次遭受ARP攻擊。三、故障處理1、中毒者：建議使用趨勢科技SysClean工具或其他殺毒軟件清除病毒。2、被害者：(1)綁定網關mac地址。具體方法如下：1）首先，獲得路由器的內網的MAC地址（例如網關地址54的MAC地址為0022aa0022aa）。2）編寫一個批處理文件AntiArp.bat內容如下：@echooffarp-darp-s5400-22-aa-00-22-aa將文件中的網關IP地址和MAC地址更改為您自己的網關IP地址和MAC地址即可，計算機重新啟動后需要重新進行綁定，因此我們可以將該批處理文件AntiArp.bat文件拖到“windows--開始--程序--啟動”中。這樣開機時這個批處理就被執行了。(2)使用ARP防火墻(例如AntiArp)軟件抵御ARP攻擊。AntiArp軟件會在提示框內出現病毒主機的MAC地址四，找出ARP病毒源第一招：使用Sniffer抓包在網絡內任意一臺主機上運行抓包軟件，捕獲所有到達本機的數據包。如果發現有某個IP不斷發送ARPRequest請求包，那么這臺電腦一般就是病毒源。原理：無論何種ARP病毒變種，行為方式有兩種，一是欺騙網關，二是欺騙網內的所有主機。最終的結果是，在網關的ARP緩存表中，網內所有活動主機的MAC地址均為中毒主機的MAC地址；網內所有主機的ARP緩存表中，網關的MAC地址也成為中毒主機的MAC地址。前者保證了從網關到網內主機的數據包被發到中毒主機，后者相反，使得主機發往網關的數據包均發送到中毒主機。第二招：使用arp-a命令任意選兩臺不能上網的主機，在DOS命令窗口下運行arp-a命令。例如在結果中，兩臺電腦除了網關的IP，MAC地址對應項，都包含了86的這個IP，則可以斷定86這臺主機就是病毒源。原理：一般情況下，網內的主機只和網關通信。正常情況下，一臺主機的ARP緩存中應該只有網關的MAC地址。如果有其他主機的MAC地址，說明本地主機和這臺主機最后有過數據通信發生。如果某臺主機（例如上面的86）既不是網關也不是服務器，但和網內的其他主機都有通信活動，且此時又是ARP病毒發作時期，那么，病毒源也就是它了。第三招：使用tracert命令在任意一臺受影響的主機上，在DOS命令窗口下運行如下命令：tracert48。假定設置的缺省網關為，在跟蹤一個外網地址時，第一跳卻是86，那么，86就是病毒源。原理：中毒主機在受影響主機和網關之間，扮演了“中間人”的角色。所有本應該到達網關的數據包，由于錯誤的MAC地址，均被發到了中毒主機。此時，中毒主機越俎代庖，起了缺省網關的作用。~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~·（ARP欺騙的更容易理解的解析）最近在論壇上經常看到關于ARP病毒的問題，于是在Google上搜索ARP關鍵字，結果出來很多關于這類問題的討論。我的求知欲很強，想再學習ARP下相關知識，所以對目前網絡中常見的ARP問題進行了一個總結。1.ARP概念咱們談ARP之前，還是先要知道ARP的概念和工作原理，理解了原理知識，才能更好去面對和分析處理問題。1.1ARP概念知識ARP，全稱AddressResolutionProtocol，中文名為地址解析協議，它工作在數據鏈路層，在本層和硬件接口聯系，同時對上層提供服務。IP數據包常通過以太網發送，以太網設備并不識別32位IP地址，它們是以48位以太網地址傳輸以太網數據包。因此，必須把IP目的地址轉換成以太網目的地址。在以太網中，一個主機要和另一個主機進行直接通信，必須要知道目標主機的MAC地址。但這個目標MAC地址是如何獲得的呢？它就是通過地址解析協議獲得的。ARP協議用于將網絡中的IP地址解析為的硬件地址（MAC地址），以保證通信的順利進行。1.2ARP工作原理首先，每臺主機都會在自己的ARP緩沖區中建立一個ARP列表，以表示IP地址和MAC地址的對應關系。當源主機需要將一個數據包要發送到目的主機時，會首先檢查自己ARP列表中是否存在該IP地址對應的MAC地址，如果有﹐就直接將數據包發送到這個MAC地址；如果沒有，就向本地網段發起一個ARP請求的廣播包，查詢此目的主機對應的MAC地址。此ARP請求數據包里包括源主機的IP地址、硬件地址、以及目的主機的IP地址。網絡中所有的主機收到這個ARP請求后，會檢查數據包中的目的IP是否和自己的IP地址一致。如果不相同就忽略此數據包；如果相同，該主機首先將發送端的MAC地址和IP地址添加到自己的ARP列表中，如果ARP表中已經存在該IP的信息，則將其覆蓋，然后給源主機發送一個ARP響應數據包，告訴對方自己是它需要查找的MAC地址；源主機收到這個ARP響應數據包后，將得到的目的主機的IP地址和MAC地址添加到自己的ARP列表中，并利用此信息開始數據的傳輸。如果源主機一直沒有收到ARP響應數據包，表示ARP查詢失敗。例如：A的地址為：IP：MAC:AA-AA-AA-AA-AA-AAB的地址為：IP：MAC:BB-BB-BB-BB-BB-BB根據上面的所講的原理，我們簡單說明這個過程：A要和B通訊，A就需要知道B的以太網地址，于是A發送一個ARP請求廣播（誰是，請告訴），當B收到該廣播，就檢查自己，結果發現和自己的一致，然后就向A發送一個ARP單播應答（在BB-BB-BB-BB-BB-BB）。1.3ARP通訊模式通訊模式（PatternAnalysis）：在網絡分析中，通訊模式的分析是很重要的，不同的協議和不同的應用都會有不同的通訊模式。更有些時候，相同的協議在不同的企業應用中也會出現不同的通訊模式。ARP在正常情況下的通訊模式應該是：請求->應答->請求->應答，也就是應該一問一答。2.常見ARP攻擊類型個人認為常見的ARP攻擊為兩種類型：ARP掃描和ARP欺騙。2.1ARP掃描（ARP請求風暴）通訊模式（可能）：請求->請求->請求->請求->請求->請求->應答->請求->請求->請求...描述：網絡中出現大量ARP請求廣播包，幾乎都是對網段內的所有主機進行掃描。大量的ARP請求廣播可能會占用網絡帶寬資源；ARP掃描一般為ARP攻擊的前奏。出現原因（可能）：*病毒程序，偵聽程序，掃描程序。*如果網絡分析軟件部署正確，可能是我們只鏡像了交換機上的部分端口，所以大量ARP請求是來自與非鏡像口連接的其它主機發出的。*如果部署不正確，這些ARP請求廣播包是來自和交換機相連的其它主機。2.2ARP欺騙ARP協議并不只在發送了ARP請求才接收ARP應答。當計算機接收到ARP應答數據包的時候，就會對本地的ARP緩存進行更新，將應答中的IP和MAC地址存儲在ARP緩存中。所以在網絡中，有人發送一個自己偽造的ARP應答，網絡可能就會出現問題。這可能就是協議設計者當初沒考慮到的！2.2.1欺騙原理假設一個網絡環境中，網內有三臺主機，分別為主機A、B、C。主機詳細信息如下描述：A的地址為：IP：MAC:AA-AA-AA-AA-AA-AAB的地址為：IP：MAC:BB-BB-BB-BB-BB-BBC的地址為：IP：MAC:CC-CC-CC-CC-CC-CC正常情況下A和C之間進行通訊，但是此時B向A發送一個自己偽造的ARP應答，而這個應答中的數據為發送方IP地址是（C的IP地址），MAC地址是BB-BB-BB-BB-BB-BB（C的MAC地址本來應該是CC-CC-CC-CC-CC-CC，這里被偽造了）。當A接收到B偽造的ARP應答，就會更新本地的ARP緩存（A被欺騙了），這時B就偽裝成C了。同時，B同樣向C發送一個ARP應答，應答包中發送方IP地址四（A的IP地址），MAC地址是BB-BB-BB-BB-BB-BB（A的MAC地址本來應該是AA-AA-AA-AA-AA-AA），當C收到B偽造的ARP應答，也會更新本地ARP緩存（C也被欺騙了），這時B就偽裝成了A。這樣主機A和C都被主機B欺騙，A和C之間通訊的數據都經過了B。主機B完全可以知道他們之間說的什么：）。這就是典型的ARP欺騙過程。注意：一般情況下，ARP欺騙的某一方應該是網關。2.2.2兩種情況ARP欺騙存在兩種情況：一種是欺騙主機作為“中間人”，被欺騙主機的數據都經過它中轉一次，這樣欺騙主機可以竊取到被它欺騙的主機之間的通訊數據；另一種讓被欺騙主機直接斷網。第一種：竊取數據（嗅探）通訊模式：應答->應答->應答->應答->應答->請求->應答->應答->請求->應答...描述：這種情況就屬于我們上面所說的典型的ARP欺騙，欺騙主機向被欺騙主機發送大量偽造的ARP應答包進行欺騙，當通訊雙方被欺騙成功后，自己作為了一個“中間人“的身份。此時被欺騙的主機雙方還能正常通訊，只不過在通訊過程中被欺騙者“竊聽”了。出現原因（可能）：*木馬病毒*嗅探*人為欺騙第二種：導致斷網通訊模式：應答->應答->應答->應答->應答->應答->請求…描述：這類情況就是在ARP欺騙過程中，欺騙者只欺騙了其中一方，如B欺騙了A，但是同時B沒有對C進行欺騙，這樣A實質上是在和B通訊，所以A就不能和C通訊了，另外一種情況還可能就是欺騙者偽造一個不存在地址進行欺騙。對于偽造地址進行的欺騙，在排查上比較有難度，這里最好是借用TAP設備（這個東東好像有點貴勒），分別捕獲單向數據流進行分析！出現原因（可能）：*木馬病毒*人為破壞*一些網管軟件的控制功能3.常用的防護方法搜索網上，目前對于ARP攻擊防護問題出現最多是綁定IP和MAC和使用ARP防護軟件，也出現了具有ARP防護功能的路由器。呵呵，我們來了解下這三種方法。3.1靜態綁定最常用的方法就是做IP和MAC靜態綁定，在網內把主機和網關都做IP和MAC綁定。欺騙是通過ARP的動態實時的規則欺騙內網機器，所以我們把ARP全部設置為靜態可以解決對內網PC的欺騙，同時在網關也要進行IP和MAC的靜態綁定，這樣雙向綁定才比較保險。方法：對每臺主機進行IP和MAC地址靜態綁定。通過命令，arp-s可以實現“arp–sIPMAC地址”。例如：“arp–sAA-AA-AA-AA-AA-AA”。如果設置成功會在PC上面通過執行arp-a可以看到相關的提示：InternetAddressPhysicalAddressTypeAA-AA-AA-AA-AA-AAstatic(靜態)一般不綁定,在動態的情況下：InternetAddressPhysicalAddressTypeAA-AA-AA-AA-AA-AAdynamic(動態)說明：對于網絡中有很多主機，500臺，1000臺...，如果我們這樣每一臺都去做靜態綁定，工作量是非常大的。。。。，這種靜態綁定，在電腦每次重起后，都必須重新在綁定，雖然也可以做一個批處理文件，但是還是比較麻煩的！3.2使用ARP防護軟件目前關于ARP類的防護軟件出的比較多了，大家使用比較常用的ARP工具主要是欣向ARP工具，Antiarp等。它們除了本身來檢測出ARP攻擊外，防護的工作原理是一定頻率向網絡廣播正確的ARP信息。我們還是來簡單說下這兩個小工具。3.2.1欣向ARP工具我使用了該工具，它有5個功能：?A.IP/MAC清單選擇網卡。如果是單網卡不需要設置。如果是多網卡需要設置連接內網的那塊網卡。IP/MAC掃描。這里會掃描目前網絡中所有的機器的IP與MAC地址。請在內網運行正常時掃描，因為這個表格將作為對之后ARP的參照。之后的功能都需要這個表格的支持，如果出現提示無法獲取IP或MAC時，就說明這里的表格里面沒有相應的數據。?B.ARP欺騙檢測這個功能會一直檢測內網是否有PC冒充表格內的IP。你可以把主要的IP設到檢測表格里面，例如，路由器，電影服務器，等需要內網機器訪問的機器IP。(補充)“ARP欺騙記錄”表如何理解：“Time”：發現問題時的時間；“sender”：發送欺騙信息的IP或MAC；“Repeat”：欺詐信息發送的次數；“ARPinfo”：是指發送欺騙信息的具體內容.如下面例子：timesenderRepeatARPinfo22:22:2221433isat00:0e:03:22:02:e8這條信息的意思是：在22:22:22的時間,檢測到由2發出的欺騙信息，已經發送了1433次，他發送的欺騙信息的內容是：的MAC地址是00:0e:03:22:02:e8。打開檢測功能，如果出現針對表內IP的欺騙，會出現提示。可以按照提示查到內網的ARP欺騙的根源。提示一句，任何機器都可以冒充其他機器發送IP與MAC，所以即使提示出某個IP或MAC在發送欺騙信息，也未必是100％的準確。所有請不要以暴力解決某些問題。