从错误信息可看出，是由于生存时间的问题导致的。
TTL是生存时间的意思，就是说这个ping的数据包能在网络上存在多少时间。当我们对
网络上的主机进行ping操作的时候，我们本地机器会发出一个数据包，数据包经过一
定数量的路由器传送到目的主机，但是由于很多的原因，一些数据包不能正常传送到
目的主机，那如果不给这些数据包一个生存时间的话，这些数据包会一直在网络上传
送，导致网络开销的增大。当数据包传送到一个路由器之后，TTL就自动减1，如果减
到0了还是没有传送到目的主机，那么就自动丢失。
当TTL被扣到0时，最后一个经手的路由器就会给源主机发来一个Time to live
exceeded的ICMP信息。

很有可能是形成了路由环路，导致TTL变为0了。。。验证下：

果然是在bj141-142-81.bjtelecom.net (219.141.142.81) 那里形成路由环路了。
查看一下wordpress.org.cn的真实IP:

看来ping 到的IP也是正确的，确实是在bj141-142-81.bjtelecom.net (219.141.142.81)
这个路由这里出问题了。。。
现在要想访问wordpress,除非换走不同的路由。。。
算了，换用电信的网ping 也是一样的结果。。。囧
看来bj141-142-81.bjtelecom.net是必经之地了。。。

随机日志

• 2010年10月17日 // 晨枫U盘维护系统 V2.0 512M MaxDos 8.0版 by荒野无灯 (7)
• 2011年12月18日 // 普通青年版:WordPress管理员密码忘记了怎么办？上传一个文件即可 (3)
• 2011年10月12日 // 夜的钢琴曲五 (7)
• 2011年12月17日 // WordPress管理员密码忘记了怎么办？删除一个符号即可 (8)
• 2008年02月22日 // PHP中使用$_SESSION带来的问题 (0)
• 2010年05月2日 // 让mplayer支持firefox播放 (0)

若要通过连接VPN上网，则要确保此选项（“在远程网络上使用默认网关”）勾选：

否则，若你是要通过本地连接的网关上网的话，则务必要把这个勾（“在远程网络上使用默认网关”）取消掉。

随机日志

• 2011年08月24日 // 分享一款极品编程专用字体：Envy Code R (8)
• 2011年08月20日 // 修正Habari检查PHP文件语法的一个BUG (1)
• 2008年02月21日 // 页面转向代码 (0)
• 2011年07月6日 // PHP 真值表 (2)
• 2009年11月9日 // Wordpress评论链接重定向跳转（修正代码） (60)
• 2012年01月4日 // W3 Total Cache让你的WordPress博客飞起来！ (8)

具体可参见这篇文章：《XP下无法使用netsh禁用/启用本地连接》

简单地备份和恢复网卡IP配置的方法：
备份：

恢复：

本文txt版：
注意：该页面嵌入了下载文件，请访问 该页面下载该文件。

相关资料：

有关 Internet 协议路由中的“自动跃点计数”功能的说明

《Windows TCP/IP 的默认网关行为》

相关日志

• 2009年06月17日 // 批处理全自动配置IP地址,网关,dns (3)
• 2011年11月3日 // what is my IP (11)
• 2010年12月28日 // windows下SVN服务器的安装配置 (1)
• 2010年04月10日 // Windows下安装BIND作为DNS缓存服务器 (11)
• 2010年03月8日 // 删除windows.old文件夹 (5)
• 2009年11月5日 // windows xp 下结束进程的N种方法 (6)

这里表示扫描192.168.1.0这个网段。

从上面结果可以看出毒源就是 172.30.16.36这台机子了。

用nbtstat 可以通过ip地址查询相应主机的mac地址：
如：

【解决办法】
　　
　　采用双向绑定的方法解决并且防止ARP欺骗。
　　
　　1、在PC上绑定安全网关的IP和MAC地址：
　　
　　1）首先，用arp命令获得获得安全网关的内网的MAC地址:

　　
　　2）编写一个批处理文件antiarp.bat内容如下：
　　

　　
　　将文件中的网关IP地址和MAC地址更改为实际使用的网关 IP地址和MAC地址即可。
　　
　　将这个批处理软件拖到自启动目录中。
　　
　　　
　　2、在安全网关上绑定用户主机的IP和MAC地址。

随机日志

• 2010年07月17日 // CurrPorts：windows下查看网络连接端口的利器 (0)
• 2010年05月6日 // wordpress下载管理插件Hacklog-downloadmanager v2.1.4 (315)
• 2011年05月4日 // win7/archlinux双系统安装手记（一） (7)
• 2011年06月9日 // xhEditor开源可视化编辑器 (2)
• 2008年12月25日 // Discuz中的分页函数 (0)
• 2011年11月25日 // wordpress多用户站点配置 (1)

主要是为了解决三个问题：速度、安全、效率

Google finds this DNS latency unacceptable and has opened up two globally distributed DNS servers to public use hoping to improve browsing speed. They are trying to address three main issues:

* Speed: Resolver-side cache misses are one of the primary contributors to sluggish DNS responses. Clever caching techniques can help increase the speed of these responses. Google Public DNS implements pre-fetching: before the TTL on a record expires, we refresh the record continuously, asynchronously and independently of user requests for a large number of popular domains. This allows Google Public DNS to serve many DNS requests in the round trip time it takes a packet to travel to our servers and back.
* Security: DNS is vulnerable to spoofing attacks that can poison the cache of a name server and can route all its users to a malicious website. Until new protocols like DNSSEC get widely adopted, resolvers need to take additional measures to keep their caches secure. Google Public DNS makes it more difficult for attackers to spoof valid responses by randomizing the case of query names and including additional data in its DNS messages.
* Validity: Google Public DNS complies with the DNS standards and gives the user the exact response his or her computer expects without performing any blocking, filtering, or redirection that may hamper a user’s browsing experience.

目前我试用中，巧合的是发现换了这个DNS后google.cn无法访问了，google.com可以访问。

随机日志

• 2009年11月1日 // upgrade to ubuntu 9.10 (3)
• 2010年03月30日 // 今天 – 许巍2002-2008生活作品集 (7)
• 2010年05月8日 // gravatar头像缓存插件——Hacklog Gravatar Cache (48)
• 2012年01月22日 // 祝各位新年快乐 (6)
• 2010年06月16日 // real desktop——让桌面名副其实 (3)
• 2009年11月11日 // 几个有意思的博客 (8)

ping 命令是我在排除网络故障中使用得最频繁的一个命令之一。
该命令只有在安装了 tcp/ip 协议后才可以使用，它是用来检查网络是否通畅或者网络连接速度的命令。它所利用的原理是这样的：网络上的机器都有唯一确定的IP地址，我们给目标IP地址发送一个数据包，对方就要返回一个同样大小的数据包，根据返回的数据包我们可以确定目标主机的存在，可以初步甚至还可以判断目标主机的操作系统等。
这个命令在win和＊nix平台下都有。
先介绍在win平台下的吧：
一、win平台下的ping命令
DOS窗口中键入：ping /? 回车
可看到如下信息 :

这个使用说明是英文的，对于习惯中文的人来说还是看中文的舒服些：

Tips:

TTL英文全称为Time to Live，意思就是生存周期。
TTL是IP协议包中的一个值，它告诉网络,数据包（例如ICMP包）在网络中的时间是否太长而应被丢弃。有很多原因使包在一定时间内不能被传递到目的地。例如，不正确的路由表可能导致包的无限循环。一个解决方法就是在一段时间后丢弃这个包，然后给发送者一个报文，由发送者决定是否要重发。TTL的初值通常是系统缺省值，是包头中的8位的域。TTL的最初设想是确定一个时间范围，超过此时间就把包丢弃。由于每个路由器都至少要把TTL域减一，TTL通常表示包在被丢弃前最多能经过的路由器个数。当记数到0时，路由器决定丢弃该包，并发送一个ICMP报文给最初的发送者。
　　TTL：(Time To Live ) 生存时间
　　指定数据包被路由器丢弃之前允许通过的网段数量。
　　TTL 是由发送主机设置的，以防止数据包不断在 IP 互联网络上永不终止地循环。转发 IP 数据包时，要求路由器至少将 TTL 减小 1。
　　使用PING时涉及到的 ICMP 报文类型
　　一个为ICMP请求回显（ICMP Echo Request）
　　一个为ICMP回显应答（ICMP Echo Reply）
　　TTL 字段值可以帮助我们识别操作系统类型。
　　UNIX 及类 UNIX 操作系统 ICMP 回显应答的 TTL 字段值为 255
　　Compaq Tru64 5.0 ICMP 回显应答的 TTL 字段值为 64
　　微软 Windows NT/2K操作系统 ICMP 回显应答的 TTL 字段值为 128
　　微软 Windows 95 操作系统 ICMP 回显应答的 TTL 字段值为 32
　　当然，返回的TTL值是相同的
　　但有些情况下有所特殊
　　LINUX Kernel 2.2.x & 2.4.x ICMP 回显应答的 TTL 字段值为 64
　　FreeBSD 4.1, 4.0, 3.4; 、　　Sun Solaris 2.5.1, 2.6, 2.7, 2.8; 、　　OpenBSD 2.6, 2.7, 　　NetBSD 、　　HP UX 10.20 　　ICMP 回显应答的 TTL 字段值为 255
　　Windows 95/98/98SE 、　　Windows ME 　　ICMP 回显应答的 TTL 字段值为 32
　　Windows NT4 WRKS 、　　Windows NT4 Server 、　　Windows 2000 、　　Windows XP 　　ICMP 回显应答的 TTL 字段值为 128
　　这样，我们就可以通过这种方法来辨别操作系统
　　TTL值的注册表位置HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters 其中有个DefaultTTL的DWORD值，其数据就是默认的TTL值了，我们可以修改，但不能大于十进制的255

个人用得比较多的参数有这几个：
a：解析主机地址。
n：数据：发出的测试包的个数，缺省值为4。
l：数值：所发送缓冲区的大小。
t：继续执行Ping命令，直到用户按Ctrl＋C终上。

常见的出错信息：
1、Unknown host：不知名主机这种出错信息的意思是，该远程主机的名字不能被域名服务器(DNS)转换成IP地址。
故障原因可能是域名服务器有故障，或者其名字不正确，或者网络管理员的系统与远程主机之间的通信线路有故障。
2、Noanswer：无响应这种故障说明本地系统有一条通向中心主机的路由，但却接收不到它发给该中心主机的任何信息。故障原因可能是下列之一：中心主机没有工作；本地或中心主机网络配置不正确：本地或中心的路由器没有；通信线路有故障；中心主机存在路由选择问题。

3、Request timbd out：超时工作站与中心主机的连接超时，数据包全部丢失的原因：可能是到路由器的连接出现问题，或路由器不能通过，也可能是中心主机已经关机或死机。

要想让Ping命令有效发挥作用，我们首先需 要掌握使用该命令排查故障的一些测试顺序，只要依照顺序依次排查，再难解决的网络故障也能被很快解决掉，下面就是使用Ping命令测试故障原因的具体操作顺序：

（ps:先保证机器网线是插上的-_-)

1.首先对本地工作站的循环地址127.0.0.1进行 ping测试。
当遇到一些无法直接找到故障原因的特殊网络故障时，我们首先需要使用Ping命令测试一下本地工作站的循环地址127.0.0.1能否被正常Ping通，倘若该地址无法被正常Ping通的话，那么说明本地工作站的TCP/IP协议程序受到了破坏，或者网卡设备发生了损坏。
此时，我们不妨打开本地工作站系统的设备管理器窗口，从中找到网卡设备选项，并用鼠标右键单击该选项，从弹出的快捷菜单中执行“属性”命令，打开网卡设备的属性设置窗口，在该窗口的“常规”标签页面中我们就能看到当前的网卡工作状态是否正常了（如下图所示）。

当发现网卡工作状态正常的话，那很有可能是本地工作站的TCP/IP协议程序受到了破坏，此时我们不妨打开本地连接属性设置窗口，选中并删除该设置窗口 中的TCP/IP协议选项，之后再重新安装一下TCP/IP协议程序，相信这么一来本地工作站的循环地址127.0.0.1就能被正常Ping通了。

2.对本地工作站的IP地址进行ping测试。
在确认127.0.0.1地址能够被Ping通的情况下，我们继续使用Ping命令测试一下本地工作站的静态IP地址是否能被正常Ping通，倘若该地址不能被正常Ping通的话，那么说明本地工作站的网卡参数没有设置正确，或者网卡驱动程序不正确，也有可能是本地的路由表受到了破坏。此时我们可以重新检查一下本地工作站的网络参数是否设置正确(ipconfig /all)，如果在网络参数设置正确的情况下仍然无法Ping通本地IP地址的话，我们最好重新安装一下网卡设备的原装驱动程序，相信这 么一来我们就能正确Ping通本地工作站的静态IP地址了。一旦本地工作站的静态IP地址被顺利Ping通的话，那就表明本地工作站已经能够加入到局域网 网络中了。

3.对本地局域网的默认网关地址进行ping测试。
由于本地工作站是通过网关与局域网中的其他工作站进行相互通信的，只有本地工作站与默认网关之间连接正常，才能确保本地工作站与其他工作站通信正常。(注，在有些情况没有没有经过拨号认证前是无法ping通网关的，比如很多大学里采用的锐捷，在没有经过认证连网时是无法ping通网关的。)倘若网关地址能被正常Ping通的话，那就表明本地工作站可以与局域网中的其他工作站进行正常通信。
要是Ping命令操作不成功的话，那很有可能是网关设备自身存在问题，或者是本地工作站与网关之间的线路连接不正常，也有可能是本地工作站与网关没有设 置成同一个子网中。此时，我们可以先用专业的线缆测试工具测试一下网络线缆的连通性，在线缆连通性正常的情况下，再检查本地工作站的网络参数是否与网关的参数设置成同一个子网中。
倘若网络参数设置正确的话，我们再从其他工作站Ping一下网关地址，以便确认网关自身是否存在原因，如果局域网中的其他工作站也无法Ping通网关的话，那多半是网关设备自身存在问题，这个时候我们只要将故障排查重点锁定在网关设备上就可以了。

4.对互联网中任意一台远程工作站的IP地址进行ping测试，以便检验本地工作站能否通过网关设备与局域网中的其他工作站进行通信。
（如对 google.cn (203.208.39.99) ）
要是我们发现远程 工作站的IP地址无法Ping通的话，那很有可能是远程工作站自身无法响应，或者是远程工作站与网关设备之间的线路连接出现了问题，此时我们可以将网络故障的排查重点聚焦到远程工作站上或者是局域网的网络设备上。

5.最后对互联网的远程工作站主机名称进行ping测试。
（如ping google.cn ）
在确认能够Ping通远程工作站IP地址的情况下，仍然出现无法访问远程工作站内容的时候，我们就有必要进行这一项测试操作。如果该主机名称无法被Ping成功的话，那很有可能是DNS解析出现了问题，而不是网络连接发生了故障，此时我们不妨把故障检查重锁定在可以检查网卡的DNS服务器上配置。

小提示：为了有效地找出网络故障原因，我们在使用Ping命令进行测试检查时，尽量确保局域网中只配置了一个网关，同时确保本地工作站没有启用IP安全设置策略并且没有开启任何防火墙，这样可以保证Ping命令能够获得正确的测试结果。

停用Ping功能

在网络访问一切正常的情况下，我们有时使用Ping命令测试某个地址的连通性时，会出现Ping不通的现象，其实这种现象并不能算是网络故障，因为目前 不少病毒程序会通过Ping命令向局域网中发送大量的垃圾包，以便实施ddos攻击，而许多服务器或工作站为了远离这样的非法攻击，常常会采取措施将 Ping功能关闭掉，如此一来就会出现在网络访问一切正常的情况下，仍然发生Ping不通的奇怪现象。

为了保护本地工作站的安全，我们在平时可以采取如下措施，确保其他用户无法Ping通本地工作站的IP地址,但是如此一来本地工作站的Ping功能就被暂时停止使用了。
方法：运行->gpedit.msc
1,创建一个名为noping的ip安全策略:

2,创建筛选器和筛选器操作
右击“ip 安全策略，在 本地计算机“->在弹出的右键菜单中选择”管理ip筛选器和筛选器操作“
分别添加一个ip筛选器（,取名为“禁止icmp”）和一个筛选器操作（取名为“阻止”）.
接下来编辑名为noping的ip安全策略的属性，指定ip筛选器为”禁止icmp”,筛选器操作为“阻止”。
最后右击该ip 安全策略，选择“指派”，这样该策略就生效了。
现在无论是本机ping其它主机还是其它主机ping本机，都ping 不通了。

小提示：除了通过停用Ping功能来增强本地工作站的安全防范性能外，我们也可以通过伪装Ping命令测试结果的方法，来保护本地工作站或服务器的安 全。例如，在进行Ping命令测试时，如果DefaultTTL结果为128的话，我们就能判断目标主机的操作系统类型为Windows系统，如果 DefaultTTL结果为64的话，那目标主机的操作系统类型为Linux系统，根据这样的测试结果信息黑客就有可能实施有针对性地攻击，为此我们可以 故意伪装DefaultTTL结果信息，以便给黑客返回一个错误的结果，从而让黑客发动的非法攻击偏离方向。

要伪装DefaultTTL结果信息，我们只要先打开系统的注册表编辑窗口，并依次展开“HKEY_LOCAL_MACHINE\SYSTEM \CurrentControlSet\Services\Tcpip\Parameters”分支，然后在“Parameters”分支下面创建一个 “DefaultTTL”双字节值，再将它的数值设置成其他任意一个数字。

例如在Windows系统下，我们可以尝试将DefaultTTL结果信息设置成“64”，那样一来黑客使用Ping命令测试本地工作站时，还认为本地 工作站安装了Linux系统，于是他们可能会针对Linux系统发动攻击，但这样的攻击不会对Windows系统工作站造成任何影响，如此一来本地工作站 的安全性就得到了一定程度的保证。

pathping

在Windows 2000以上版本的工作站系统中，Ping命令还有一个“兄弟”作伴，这位“兄弟”其实就是平时很少露面的pathping命令，该命令在关键时刻也能帮 助我们找到网络故障原因。例如在网络访问速度非常缓慢的情况下，我们使用Ping命令或许根本找不到造成网络访问速度缓慢的故障原因，此时使用 pathping命令，我们就能轻易地找到究竟在哪一个网络连接环节出现了数据丢包现象。
该路由跟踪命令结合了 ping 和 tracert 命令的功能，可提供这两个命令都无法提供附加信息。经过一段时间，pathping 命令将数据包发送到最终目标位置途中经过的每个路由器，然后根据从每个跃点返回的数据包统计结果。因为 pathping 显示指定的所有路由器和链接的数据包的丢失程度，所以用户可据此确定引起网络问题的路由器或链接。
在cmd中，输入字符串命令“pathping xxx”，单击回车键后，我们就能从随后的结果信息中看到在访问DNS服务器过程中，中途经过了几个中间路由器（如下图所示）。

并且能清楚地知道究竟在哪一个跳转环节发生了数据丢包或网络延时现象。如果我们发现某一个路由器的数据丢包率非常高的话，那么该路由器很有可能出现了意外，此时我们只要将故障检查重点锁定在对应路由器设备上就可以了。

随机日志

• 2010年05月22日 // 查看会员登录记录的插件Hacklog Login Logger (14)
• 2010年04月19日 // 为你的wp制作旋转木马图片链接展示页面 (10)
• 2011年06月6日 // PHP Manual for Vim (1)
• 2009年10月29日 // Ubuntu 9.10官方正式版已经可以下载了 (6)
• 2009年04月5日 // 网页UTF8编码开发中空白的问题 (0)
• 2011年04月5日 // 给WP文章增加字体大小调整按钮 (5)

锐捷客户端本身可以检测到机器的多网卡，一发现有多网卡，则断网或者不能认证。如果使用homeshare等共享软件，它也可以检测到，貌似是五分钟断网一次（这个五分钟一般是学校可以设置的）。这样一来，如果要实现一个寝室开一个账号同时上几台机子，还是要花点时间来动点手脚了。关于如何突破锐捷的封鎖实现同寝室内共享上网，我这里就不说了，以前的文章中专门介绍过。这里讲一种最简单的实现共享上网的方法。
某日，一个同学刚开通了上网账号，但是他机子上没有锐捷网络客户端，我寝室里人又没有U盘，怎么办，我查看了他们寝室一个连了网的同学的机器的IP和MAC地址，然后把譔同学的IP和网卡MAC地址设置为与那位连了网的同学的一样。让我比较奇怪的事，两台同时开机接在同一个交 换机上的时候，居然不会报IP冲突，而且还可以同时上网。一般情况下如果在同一个局域网里存在两台相同IP的主机windows系统会报IP冲突的，想来windows 系统确定IP冲突是以同一IP被不同mac地址的网卡使用来判断的，既然两台机器的mac地址相同，windows也就识别不出IP冲突了，至于同时上网不冲突，回想了一下网络协议，也是有可能的，程序间的通信还需要使用端口，两个网卡收到同样的信息，其中一个正好监听正确接收，另一个因为端口号不同就废 弃掉。但如果两台机器程序使用同样的端口呢，是不是就会出现问题呢？

这个问题书上根本没有说，问了下老师，也只是说了下大概，还是请教万能的google吧：
下面是从网上搜索到的答案，原作者是谁不知，在此我要感謝他的劳动，让一个困扰我多时的问题得到解决。

1.MAC与IP 地址绑定原理

IP地址的修改非常容易，而MAC地址存储在网卡的EEPROM中，而且网卡的MAC地址是唯一确定的。因此，为了防止内部人员进行非法IP盗用(例 如盗用权限更高人员的IP地址，以获得权限外的信息)，可以将内部网络的IP地址与MAC地址绑定，盗用者即使修改了IP地址，也因MAC地址不匹配而盗 用失败：而且由于网卡MAC地址的唯一确定性，可以根据MAC地址查出使用该MAC地址的网卡，进而查出非法盗用者。

目前，很多单位的内部网络，尤其是学校校园网都采用了MAC地址与IP地址的绑定技术。许多防火墙（硬件防火墙和软件防火墙）为了防止网络内部的IP地址被盗用，也都内置了MAC地址与IP地址的绑定功能。

从表面上看来，绑定MAC地址和IP地址可以防止内部IP地址被盗用，但实际上由于各层协议以及网卡驱动等实现技术，MAC地址与IP地址的绑定存在很大的缺陷，并不能真正防止内部IP地址被盗用。

2 破解MAC与IP地址绑定策略

2.1 IP地址和MAC地址简介

现行的TCP/IP网络是一个四层协议结构，从下往上依次为链路层、网络层、传输层和应用层。

Ethernet协议是链路层协议，使用的地址是MAC地址。MAC地址是Ethernet网卡在Ethernet中的硬件标志，网卡生产时将其存于 网卡的EEPROM中。网卡的MAC地址各不相同，MAC地址可以唯一标志一块网卡。在Ethernet上传输的每个报文都含有发送该报文的网卡的MAC 地址。

Ethernet根据Ethernet报文头中的源MAC地址和目的MAC来识别报文的发送端和接收端。IP协议应用于网络层，使用的地址为IP地 址。使用IP协议进行通讯，每个IP报文头中必须含有源IP和目的IP地址，用以标志该IP报文的发送端和接收端。在Ethernet上使用IP协议传输 报文时，IP报文作为Ethernet报文的数据。IP地址对于Ethernet交换机或处理器是透明的。用户可以根据实际网络的需要为网卡配置一个或多 个IP地址。MAC地址和IP地址之间并不存在一一对应的关系。

MAC地址存储在网卡的EEPROM中并且唯一确定，但网卡驱动在发送Ethernet报文时，并不从EEPROM中读取MAC地址，而是在内存中来 建立一块缓存区，Ethernet报文从中读取源MAC地址。而且，用户可以通过操作系统修改实际发送的Ethernet报文中的源MAC地址。既然 MAC地址可以修改，那么MAC地址与IP地址的绑定也就失去了它原有的意义。

2.2 破解方案

下图是破解试验的结构示意图。其内部服务器和外部服务器都提供Web服务，防火墙中实现了MAC地址和IP地址的绑定。报文中的源MAC地址与1P地 址对如果无法与防火墙中设置的MAC地址与1P地址对匹配，将无法通过防火墙。主机2和内部服务器都是内部网络中的合法机器；主机1是为了做实验而新加入 的机器。安装的操作系统是W2000企业版，网卡是3Com的。

试验需要修改主机1中网卡的MAC和IP地址为被盗用设备的MAC和IP地址。首先，在控制面板中选择“网络和拨号连接”，选中对应的网卡并点击鼠标 右键，选择属性，在属性页的“常规”页中点击“配置”按钮。在配置属性页中选择“高级”，再在“属性”栏中选择“Network Address”，在“值”栏中选中输人框，然后在输人框中输人被盗用设备的MAC地址，MAC地址就修改成功了。

然后再将IP地址配置成被盗用设备的IP地址。盗用内部客户机IP地址：将主机1的MAC地址和IP地址分别修改为主机2的MAC地址和IP地址。主 机1可以访问外部服务器，能够顺利地通过防火墙，访问权限与主机2没有分别。而且，与此同时主机2也可以正常地访问外部服务器，完全不受主机1的影响。无 论是主机2还是防火墙都察觉不到主机1的存在。主机1如果访问内部服务器，根本无需通过防火墙，更是畅通无阻了。

盗用内部服务器IP地址：将主机1的MAC地址和U地址修改为内部服务器的MAC地址和IP地址。主机1也提供Web服务。为了使效果更明显，主机1上提供的Web服务内容与内部服务器提供的内容不同。

因为在实际的实验中主机1与主机2连在同一个HUB上，主机2的访问请求总是先被主机1响应，主机2期望访问的是内部服务器，得到的却总是主机1提供 的内容。更一般地，主机2如果试图访问内部服务器，获得的到底是主机1提供的内容还是内部服务器提供的内容具有随机性，要看它的访问请求首先被谁响应，在 后面的分析中我们将进一步对此进行阐述。

盗用服务器的MAC和IP危害可能更大，如果主机1提供的Web内容和内部服务器中的内容一样，那么主机2将无法识别它访问的到底是哪个机器；如果Web内容中要求输人账号、密码等信息，那么这些信息对于主机1来说则是一览无遗了。

3 破解成功的原因

上面的实验验证了绑定MAC地址与IP地址的确存在很大的缺陷，无法有效地防止内部IP地址被盗用。接下来，将从理论上对该缺陷进行详细的分析。

缺陷存在的前提是网卡的混杂接收模式，所谓混杂接收模式是指网卡可以接收网络上传输的所有报文，无论其目的MAC地址是否为该网卡的MAC地址。正是 由于网卡支持混杂模式，才使网卡驱动程序支持MAC地址的修改成为可能；否则，就算修改了MAC地址，但是网卡根本无法接收相应地址的报文，该网卡就变得 只能发送，无法接收，通信也就无法正常进行了。

MAC地址可以被盗用的直接原因是网卡驱动程序发送Ethernet报文的实现机制。Ethernet报文中的源MAC地址是驱动程序负责填写的，但 驱动程序并不从网卡的EEPROM中读取MAC，而是在内存中建立一个MAC地址缓存区。网卡初始化的时候将EEPROM中的内容读入到该缓存区。如果将 该缓存区中的内容修改为用户设置的MAC地址，以后发出去的Ethernet报文的源地址就是修改后的MAC地址了。

如果仅仅是修改MAC地址，地址盗用并不见得能够得逞。Ethernet是基于广播的，Ethernet网卡都能监听到局域网中传输的所有报文，但是 网卡只接收那些目的地址与自己的MAC地址相匹配的Ethernet报文。如果有两台具有相同MAC地址的主机分别发出访问请求，而这两个访问请求的响应 报文对于这两台主机都是匹配的，那么这两台主机就不只接收到自己需要的内容，而且还会接收到目的为另外一台同MAC主机的内容。

按理说，两台主机因为接收了多余的报文后，都应该无法正常工作，盗用马上就会被察觉，盗用也就无法继续了；但是，在实验中地址被盗用之后，各台实验设备都可以互不干扰的正常工作。这又是什么原因呢?答案应该归结于上层使用的协议。

目前，网络中最常用的协议是TCP/IP协议，网络应用程序一般都是运行在TCP或者UDP之上。例如，实验中Web服务器采用的HTTP协议就是基于 TCP的。在TCP或者UDP中，标志通信双方的不仅仅是IP地址，还包括端口号。在一般的应用中，用户端的端口号并不是预先设置的，而是协议根据一定的 规则生成的，具有随机性。像上面利用IE来访问Web服务器就是这样。UDP或者TCP的端口号为16位二进制数，两个16位的随机数字相等的几率非常 小，恰好相等又谈何容易?两台主机虽然MAC地址和IP地址相同，但是应用端口号不同，接收到的多余数据由于在TCP/UDP层找不到匹配的端口号，被当 成无用的数据简单地丢弃了，而TCP/UDP层的处理对于用户层来说是透明的；所以用户可以“正确无误”地正常使用相应的服务，而不受地址盗用的干扰。

当然，某些应用程序的用户端口号可能是用户或者应用程序自己设置的，而不是交给协议来随机的生成。那么，结果又会如何呢?例如，在两台MAC地址和IP地址都相同的主机上，启动了两个端口相同的应用程序，这两个应用是不是就无法正常工作了呢?其实不尽然。

如果下层使用的是UDP协议，两个应用将互相干扰无法正常工作。如果使用的是TCP协议，结果就不一样了。因为TCP是面向连接的，为了实现重发机 制，保证数据的正确传输，TCP引入了报文序列号和接收窗口的概念。在上述的端口号匹配的报文中，只有那些序列号的偏差属于接收窗口之内的报文才会被接 收，否则，会被认为是过期报文而丢弃。TCP协议中的报文的序列号有32位，每个应用程序发送的第一个报文的序列号是严格按照随机的原则产生的，以后每个 报文的序列号依次加1。

窗口的大小有16位，也就是说窗口最大可以是216，而序列号的范围是232，主机期望接收的TCP数据的序列号正好也处于对方的接收范围之内的概率为1/216，可谓小之又小。 TCP的序列号本来是为了实现报文的正确传输，现在却成了地址盗用的帮凶。

4 解决MAC与IP地址绑定被破解的方法

解决MAC与IP地址绑定被破解的方法很多，主要以下几种。

交换机端口、MAC地址和IP地址三者绑定的方法；
代理服务与防火墙相结合的方法；
用PPPoE协议进行用户认证的方法；
基于目录服务策略的方法；
统 一身份认证与计费软件相结合的方法等

随机日志

• 2011年10月6日 // 两个Linux下的pdf阅读器 (3)
• 2011年08月20日 // Tinyfader for Habari (0)
• 2010年06月6日 // PHP+wget+bat批量下载合并youku视频 (6)
• 2008年12月31日 // 主板系列知识：主板结构 (0)
• 2009年08月27日 // 原来NextGEN Gallery才是罪魁祸首 (4)
• 2008年12月27日 // top100.cn巨鲸音乐网 (0)

127.0.0.1

用二进制表示就是：

01111111000000000000000000000001

再把它转换为十进制数即是

2130706433

下面我们ping 一下这个数看，有什么发现？

以上是我在linux下ping 的，如果你在windows下，可以用

来测试。

ip地址＝网络号（网络地址）＋主机号
网络地址其实就是网段地址，它不能作为ip地址来使用，只能用来表示网段信息。（如192.168.1.0)
主机号全为1的地址称为广播地址（如192.168.1.255）
特殊地址：

0.0.0.0

表示本网段，也叫做任意网段或未知网络，它主要用在DHCP請求和默认路由上，既能作为源地址，又能作为目标地址使用。

255.255.255.255

被称为本地广播地址，能在本网段进行信息扩散。
本地环回地址：

127.0.0.1-127.255.255.254

默认环回地址为

127.0.0.1

，且对应wins或DNS名称被自动解析为

localhost ,它主要用来测试机器TCIP/IP协议是否存在问题。

一，分类ip地址

A类地址（1.0.0.1-127.255.255.254）中有一段私有ip地址：

10.0.0.1-10.255.255.254

可简写为10.0.0.0/8 (为什么这样写，不解释，先)。
B类地址（128.0.0.1-191.255.255.254)私有ip地址范围：

172.16.0.1-172.31.255.254

B类地址中还有一段特殊私有ip地址：当DHCP服务器出现问题导致无法将DHCP池中的IP地址分配给客户端时，就得使用这个特殊的保留的B类私有IP，其有效范围为：

169.254.0.1-169.254.255.254

C类ip地址（192.0.0.1-223.255.255.254)中私有ip地址范围为：

192.168.0.1-192.168.255.254

二，基于分类的ip地址的子网划分
1，
这是在分类ip地址的情况下进行子网划分，即将主机号再划分为子网号和主机号。
（注：网络号没变，只是向主机号借位来作为子网号）
例：某单位B类IP 为172.16.0.0 ，现有3个部门，要求3个部门用不同的ip地址段，这可以通过进行子网划分来实现。如：
172.16.1.0
172.16.2.0
172.16.3.0
这是一种比较简单的情况，这里我们向主机号（原来有16位）借8位过来作为子网号。

2，子网掩码
子网掩码和ip地址进行逐比特（bit）”与”运算，結果就是网络地址。
子网掩码位对应的网络号和子网号均为1 ，主机号则取0 。
如上例中的172.16.2.8 ,它的子网掩码为255.255.255.0
两者进行“与“运算即得网络地址为172.16.2.0

默认子网掩码：只考虑网络号而不考虑子网号，所以
A类： 255.0.0.0
B类：255.255.0.0
C类：255.255.255.0
D、E类不考虑这个。

三，VLSM 与CIDR （可变长子网掩码和无类域间路由）
1，无类ip地址：即不再使用A 、B、C类的划分方法，但D 、E类仍作为分类ip使用。
无类ip地址使用VLSM （Variable length Subnet Mask）技术来对IP地址进行划分。
CIDR（Classless Inter-Domain Routing ) 有三种表示法：
下面以192.168.1.0为例，若前20位表示主机号位数：

（1），X表示法：
11000000.10101000.000xxxxxxxxxxxx
（2），星号表示法：只用一个星号来表示主机号位数
11000000.10101000.0000*
（3），斜线表示法：斜线后数字表示网络号位数，这也种表示法是最常用的。
192.168.1.0/20 (这里要写成十进制形式)

2，路由聚合
路由聚合又叫构成超网。
路由聚合其实就是把多个路由合并成一个路由，这样可以减轻路由表的开销。
构成超网则表示一个网络地址包含了多个网络地址。
例如：前10位表示网络号，后22位表示主机号，

AAAAAAAA.AABBBBBB.BBBBBBBB.BBBBBBBB

现在我们来算一下它包含的分类ip地址数：
B类网络地址数为：2^6=64个，C类网络数为2^14=16384个
可看出这个无类网络地址包含了64个B类网络和16384个C类网络，而其中64个B类网络中已经包含了16384个C类网络，这就是路由聚合。

3，网段划分
好处：方便管理、分隔广播域防止ARP攻击、防止广播风暴、有效利用IP地址。
例1 ：某主机IP表示为 172.16.1.12/20
它的子网掩码是？ 很容易可以知道是：255.255.240.0
该网段能容纳的主机数是？
2^12-2=4094台 （为什么要减2 ？自己想一下）

例2：有4个网络地址：
172.168.193.0/24
172.168.194.0/24
172.168.196.0/24
172.168.198.0/24
求进行路由聚合后的网络地址？
方法：
用“最长前缀匹配法”
由于前两个字节（Byte）完全相同，因此只需把第3个字节划为二进制形式：

11000001 (193)
11000010 (194)
11000100 (196)
11000110 (198)

现在对比下，前5位完全相同，这样后3位就不再是网络号，而是主机号了。
所以聚合后网络地址为：

172.168.192.0/21

PS:
关于ADSL虚拟拨号获得的子网掩码为

255.255.255.255

如果子网掩码类似于255.255.255.248这样的，则我们可以对获得的IP进行网段划分，这样我们就可以得到多个IP地址，显然这样电信就会吃亏，所以子网掩码就只能为255.255.255.255
虚拟拨号：采用拨号池（类似DHCP池），用户每次拨号就从拨号池中选出一个IP给用户，这也是ADSL拨号上网每次IP地址不同的原因。

写了这么多，手都酸了（由于我的桌子太高，手总是悬着很吃力。。。。。。），所以文章中能省的地方我一切从简，写得不是很詳細，将就着看吧-_-

随机日志

• 2011年12月20日 // Hacklog Remote Attachment Upyun(又拍云版) v1.2.6 (39)
• 2011年06月26日 // 关于vsftpd匿名+虚拟用户的一些认识 (1)
• 2010年06月16日 // 栅栏桌面-Fences (5)
• 2009年05月24日 // Ubuntu 分区和文件系统的选择 (0)
• 2008年12月31日 // CPU基础知识：CPU前端总线 (0)
• 2009年09月28日 // 让wordpress在 HTML编辑器下添加链接在新窗口中打开 (8)