请大家帮我分析一下这个是否是正确的！

lovehack2006 · 发表于 2007-9-7 22:41:25

这个是我在网管联盟论坛上面看到的一个贴子，我有点疑问，请大家帮我解释一下。。。。。

原贴的内容如下：

首先请那些坚信“双绑 = 不吊线”的兄弟先别骂人，我发此贴无意争战，只是让您多一个意识，免得遇到问题时不知所措。

双绑的作用

1。客户机绑定路由：防止ARP广播包刷新本地ARP缓存，改写正确网关地址，从而掉线。

2。路由器绑定客户机：防止“IP-MAC对应关系错误”的机器和路由通讯，但是不等于“路由会按照绑定列表里的MAC-IP对应关系去工作”

当遇到一下情况时候，还是会发生掉线。假设有3台机器，他们的IP-MAC地址分别为

192.168.1.1 ---  AA-AA-AA-AA-AA-AA

192.168.1.2 ---  BB-BB-BB-BB-BB-BB

192.168.1.3 ---  CC-CC-CC-CC-CC-CC

假设 1号和2号都在和路由进行通讯，路由按照以上对应关系发送数据包，此时3号机器中毒，

开始广播 192.168.1.2 --- CC-CC-CC-CC-CC-CC，192.168.1.1 --- CC-CC-CC-CC-CC-CC,于是路由按照错误的 IP-MAC对应关系去寻址，吊线就会发生了。

-----------------------------------------------------------------------------------------

我的疑问：：：

假如A--B两个之间正在通信, 那就表示A,或者是B之间都有对方的ARP地址,.

而且会记录在本地的ARP缓存表里面....  你说此时C广播ARP地址，此时是不是有点晚了。。

难道AB要中止正在进行的通信，然后更新自己的ARP缓存吗？？但是他们既然在通信了就

证明有了ARP缓存了，，C再发包是不是多此一举了？？这样AB也能掉线？

请大家给我解释一下那个贴子的正确性。。。

[ 本帖最后由 lovehack2006 于 2007-9-7 22:59 编辑 ]

qzyuanmu · 发表于 2007-9-8 08:20:00

其实你说的掉线，让我想到一个问题，
如果你们的交换机是MAC表被刷新的怎么办
如果欺骗的那台正好和被骗的那台在同一个交换机上，欺骗是否成功？
另外说明一点，静态绑定以后，电脑上发送正确的地址肯定是对的，但网络方面呢？
望大家都提提

lovehack2006 · 发表于 2007-9-8 15:01:02

没有其它人解释一下吗？？？？

zealotcc · 发表于 2007-9-8 16:35:48

我认为从网络分层理解,单个数据包通过一层层封装到数据链路层的时候封装mac头的目的mac的时候会查缓存,没有则广播,那么楼主的疑问是一系列的通信中目的mac是否会改变,那么这种理解可能是错的,应该是以单个数据包为准,那么上一个是正确的,下一个完全可能被欺骗而变成错误的目的mac,因为arp协议的特性,任何arp回复都会被接受

至于这帖,问题的关键在于路由器上的绑定的实际意义!按上面的思路说也就是路由器在向机器发包时并不是按绑定的mac封装,这里的绑定只是内网管理机器的一个手段!两个绑不是一个意思!

[ 本帖最后由 zealotcc 于 2007-9-8 16:40 编辑 ]

只是一个神话 · 发表于 2007-9-8 17:53:57

首先请那些坚信“双绑 = 不吊线”的兄弟先别骂人，我发此贴无意争战，只是让您多一个意识，免得遇到问题时不知所措。

双绑的作用

1。客户机绑定路由：防止ARP广播包刷新本地ARP缓存，改写正确网关地址，从而掉线。

2。路由器绑定客户机：防止“IP-MAC对应关系错误”的机器和路由通讯，但是不等于“路由会按照绑定列表里的MAC-IP对应关系去工作”

当遇到一下情况时候，还是会发生掉线。假设有3台机器，他们的IP-MAC地址分别为

192.168.1.1 ---  AA-AA-AA-AA-AA-AA

192.168.1.2 ---  BB-BB-BB-BB-BB-BB

192.168.1.3 ---  CC-CC-CC-CC-CC-CC

假设 1号和2号都在和路由进行通讯，路由按照以上对应关系发送数据包，此时3号机器中毒，

开始广播 192.168.1.2 --- CC-CC-CC-CC-CC-CC，192.168.1.1 --- CC-CC-CC-CC-CC-CC,于是路由按照错误的 IP-MAC对应关系去寻址，吊线就会发生了。

---------------------------------------------------------------------------------------------------------------
不知道这个结论是谁得出的？特别是最后一句，静态绑定了就代表ARP缓存表里有一个到达目的地址的正确的IP－MAC。这个缓存是不受广播影响的，何来掉线之说？理由是什么？
换过来说，如果无绑定，那出现这种欺骗又何来掉线之说？当一个数据包到达交换机之前，出现类似攻击，那交换机即时更新MAC表，所以1发出的数据包会进过交换机到达3,然后再由3发出进过交换机，再到达2。这中间并不存在断线问题

[ 本帖最后由只是一个神话于 2007-9-8 17:58 编辑 ]

只是一个神话 · 发表于 2007-9-8 17:58:24

我的疑问：：：

假如A--B两个之间正在通信, 那就表示A,或者是B之间都有对方的ARP地址,.

而且会记录在本地的ARP缓存表里面.... 你说此时C广播ARP地址，此时是不是有点晚了。。

难道AB要中止正在进行的通信，然后更新自己的ARP缓存吗？？但是他们既然在通信了就

证明有了ARP缓存了，，C再发包是不是多此一举了？？这样AB也能掉线？

－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－

如果无绑定存在，那不管什么时候，不管什么情况，主机收到ARP回复就照单全收，即时更新MAC表。与是否正在进行通信无关系。AB不会掉线，上面我已有解释。

lovehack2006 · 发表于 2007-9-8 18:07:56

谢谢你版主，你说的我看明白了。。。我的疑问我也明白了。。

我的疑问，就是上面的结论应该是错的。。。那个发贴的没有考虑清楚！！

但是我发现这里参加讨论的人少了，又或者说这里的都是高手不在乎我

这样的小人物？？？大家不想弄清吗？？？

只是一个神话 · 发表于 2007-9-8 18:51:13

呵呵，这只是我的个人观点，不代表事实就是这样。真正的事实不是一个人的看法，而是所有人的看法。

PS：我很不赞同LZ用小人物来称呼自己，用高手去称呼别人。虽然谦虚是可贵的。来到这里的所有人都是学者。任何人都可以发表自己的观点和疑问。不然就是来灌水的

。

还有论坛前几天因为一些原因停了几天，前天才开放的。所以很多人可能还没来讨论。当然只要大家都出一份力，花个几分钟发表一下自己的观点和意见，相信论坛会越来越有人气的。