【转帖】MAC通讯－关于破解网络尖兵的辟谣

yanzizhu

N个月前，据说电信出台了一个新设备，叫网络尖兵，同时很多人争相去破解，然后就有了一篇这样的文章，大体的意思是说把同一子网内的所有主机改成MAC一致就可以达到破解的目的。写这个帖子的人没有注意使用对象，而转贴的人仍然是一个没头脑的家伙，自己也不懂，为了论坛币，总之不管对和错，扔上去再说。所谓的给论坛扔垃圾是同一码事。这篇文章居然受到很多人争相追捧，就相当于现在修改下某某注册表，安装某某软件可以提速一样的可笑。




电信的东西真有这么简单？既然这么简单为何他们自己不知道预防破解的方法？既然这个文章流传这么广为何他们还是出现无法共享？别傻了，挨忽悠了还不知道。




我们先来看，设备和设备之间怎么通讯的。一个设备，它应该有自己的一个身份证，就是IP地址，它的房屋门牌号码是多少？这个就是MAC地址，它是哪条街哪个城市的？这个就是它所在的端口。所以，设备的通讯具备3个特征：IP，MAC，端口。交换机在交换数据的时候都用了3个特征来区别不同的计算机吗？


现在清楚了，交换机是使用MAC地址表来区别的，那么这个表是怎么工作的？这个表是实时更新的，即：若有新的MAC地址进来，MAC表会对比自己的数据，若发现端口和旧数据相同，则更新自己的MAC，若MAC和旧数据同，则更新端口。若2者都和旧数据不同，则生产新的表项。这个就是交换MAC表的工作原理。




了解了原理后，我们来看TCP的通讯。TCP的通讯讲究准确性，也就是说，这3个特征，若有任何一个错误，都会丢弃这个包。也就是说，只有目的地返回返回的IP，MAC，端口都正确的情况下，这个包才会被源发起者接收。也就是说，只能在一条路径上面通讯。




那么交换机可以从多个端口对源地址通讯吗？可以，但是这个包发起和返回的都不是广播，只有地址全为1的包才是广播，也才会发到所有的端口上，而，ARP只有在更新的时候，交换机才会转发广播通知所有端口中MAC的变化（这个广播是其它设备要求的，不是交换机）。 到现在，基本上我们清楚了交换机的工作原理，TCP的工作原理。回到主题，如果有2个MAC一样的设备，
例如，PC A PC B PC C，他们连接的的端口是PA， PB， PC，MAC是 MA， MB ，MC。他们要访问网络或者PC C会出现什么情况？

A和B都有一样的MAC，不一样的端口，交换机是怎么处理的呢？若A发起一个连接到网关，而此时B存在但没有发任何请求的时候，交换机解包，得到网关地址后直接把包发送出去，包返回来的时候。解包得到目标地址是A，说明这是A的返回包，对比自己的表，发现MA对应位置PA，则将包返回A，这时A的连接是成功的。

但是有一种情况，若B在A发送了数据请求后，自己也在A的后面发出了请求，刚刚说到MAC一致的时候会更新自己端口，此时交换机解包A，丢出去。得到B，解包丢出去，同时，交换机解包B的时候发现MAC一致，但是端口变了！！这个时候交换机会更新自己的MAC地址表，将原来的MA对应的PA改成了PB！在数据包返回的时候，A的返回包经MAC表检查，得到MA对应的端口是修改过的的PB，则把A的包丢给了PB继而给了B，B检查包的返回IP，不是自己的目标IP，丢弃，那么A连接失败，而B的返回包连接成功。所以如果A和B在不断的交换数据，相互穿插，那么会有50％的丢包！！！若机器更多的情况，交换机处理的MAC时候更新MAC地址表频繁，除了网络阻塞外，还有更大的丢包率！！！

如果A ping B，则是一定是失败的。A发起echo icmp，交换机得到MAC还是A的MAC，不要忘记交换机不认识IP！！！所以这个包被返回到A，A检查发现返回的echo包不是目标的IP，因此包被丢弃，出现destination unreachable的错误提示。

如果C访问A和B，又会是什么情况呢？C首先发起一个ARP广播，问交换机A和B在哪里，交换机得到ARP请求是一个广播，则广播到全部端口，当然A和B也会收到。所有PC检查ARP广播的IP，看自己的IP是不是满足ARP的广播。A把自己的IP和MAC返回到C，记住，交换机仍然不知道ARP，IP是什么东西，仍然只知道转发，而不理解是什么意思。C收到A的答复，建立缓存，但B又返回一个请求，因为MAC一致，而后者返回的IP不一致，所以更新了C自己的ARP表，因此A被C忽略。同样若2者发起连接，只有后者，并且数据包在第一返回的情况下才可以通讯，不然会被交换机的MAC地址表或其它设备的ARP缓存更新中断。从上我们也可以知道ARP病毒就是不断的广播自己的MAC来替代网关，造成通讯中断。




因此，在交换机的环境下，更改机器的MAC一致，将导致丢包的情况出现，若机器多，那么网络会因此阻塞和频繁掉线。但是，如果这个环境是集线器的环境，那么外网的通讯不会有问题，也不会掉线，因为集线器是广播的模式，所有的包都会被发送到所有的端口，A和B都可以得到返回的包，但是，互访会出现问题。因为ARP请求被更新了。




上述内容经参阅了RFC文档和同朋友交流后，自己再做实验得到的验证。

msvcp60

很好，很详细

五月的风

真有你的 两个不相干的技术都能让你楞扯到一块 佩服

qiling117

谁写的？