版權(quán)說(shuō)明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)
文檔簡(jiǎn)介
新手入門(mén)線形暴光模式下如何控制暴光
一、白天時(shí)的布光思路與方法
(一)選擇好所有的渲染參數(shù)(草圖)
重點(diǎn):首次反彈值1.0;二次反彈控制在0.85-1.0。
(二)曝光方式選擇線形,暗部倍增與亮部倍增默認(rèn)即可。
(三)以小場(chǎng)景為例,在燈光的選擇上,要注意以下兩點(diǎn):
(1)、窗口處用VR面光模擬環(huán)境光,燈的亮度大小為默認(rèn)的1.0即可,然后渲染一次。只要得到我們想要的效果(窗口不曝光為準(zhǔn))即可。
如果曝光了,只要適當(dāng)調(diào)一下燈光的大小。如果暗了,就適當(dāng)?shù)靥岣邿艄獯笮?,直到自己滿意為止(這個(gè)過(guò)程會(huì)很煩瑣,但是這也是必不可少的)。
(2)、太陽(yáng)光(以目標(biāo)平光為例)
一般太陽(yáng)光的亮度大小可能會(huì)比VR模擬的環(huán)境光小一點(diǎn)(根據(jù)具體情況),這個(gè)燈一般是在最后才打的(后面我再講),所以之前第1步的環(huán)境光很重要。
(四)當(dāng)窗口的環(huán)境光得到我們想要的結(jié)果之后,渲染一次,然后開(kāi)始分析整個(gè)場(chǎng)景。一般情況下,場(chǎng)景會(huì)整體偏暗,不過(guò)沒(méi)關(guān)系,這個(gè)時(shí)候我們就可以調(diào)節(jié)渲染面板中首次反彈值的大小了。慢慢調(diào)節(jié)(一般都是上調(diào)),直到在整個(gè)場(chǎng)景中得到我們想要的亮度。
(注意:1、在提高首次反彈值大小的過(guò)程中,如果窗口的環(huán)境光爆了,先別急著處理,先看一下整個(gè)場(chǎng)景的亮度是否可以。確定這個(gè)之后,再降低VR面燈即環(huán)境光的亮度。只要是不曝光即可。2、在調(diào)節(jié)首次反彈值的時(shí)候,盡量不要去改變窗口環(huán)境光的亮度大小,所有的亮度均以不曝光為前提。)
(五)太陽(yáng)光
與上面一個(gè)太陽(yáng)光一樣
在整個(gè)場(chǎng)景中,得到我們所要的整個(gè)亮效果之后,打上太陽(yáng)光。把燈光的亮度大小控制在窗口不曝光或者陽(yáng)光照射范圍內(nèi)不曝光即可(以我的經(jīng)驗(yàn)來(lái)看,太陽(yáng)光的亮度比環(huán)境光的亮度?。_@時(shí)候,如果發(fā)生曝光現(xiàn)象,就要適當(dāng)調(diào)節(jié)環(huán)境光的大小,以保證兩個(gè)個(gè)光彼此之間不沖突(也可調(diào)節(jié)首次反彈值的大小來(lái)控制整體)。
(六)在場(chǎng)景中,對(duì)于光線照射不到的地方,我們?nèi)绾翁幚?,才能使整個(gè)場(chǎng)景變亮?(這個(gè)方法適用于白天)
常用方法是:提高曝光模式下的暗部倍增值(作二、夜景時(shí)的布光思路
(一)設(shè)置好所有的渲染參數(shù)(草圖)
重點(diǎn):首次反彈值1.0;二次反彈值0.85-1.0。
(二)曝光方式選擇線型,暗部倍增與亮部倍增默認(rèn)即可。
(三)一小場(chǎng)景為例,在燈光的選擇上,要注意一下幾點(diǎn):
在這里要注意,做夜景的時(shí)候(特別是剛接觸VR或者對(duì)打燈光有困難的朋友),大家需要做的第一步是分析光的分布(即,你想要表達(dá)什么樣的效果)。這樣做的目的是為了確定場(chǎng)景內(nèi)的主光源,次光源以及補(bǔ)光。
以家裝的客廳為例,在做夜景時(shí),我們會(huì)選擇吊燈作為主光源之一。選用VR球燈來(lái)模擬燈光,確定主光源之后,再對(duì)次光源進(jìn)行分析和選擇??墒沁x擇筒燈,射燈,或者是臺(tái)燈。對(duì)目標(biāo)點(diǎn)光源要選擇合適的光域網(wǎng)。至此大致的布光思路出來(lái)了,下面我們就要渲染小圖,看看效果是否滿意。
為了增加畫(huà)面的層次感,可以用在窗口打上VR面燈的方式來(lái)模擬夜晚的環(huán)境(冷色調(diào)藍(lán)紫色)。這個(gè)不同于白天,在夜景的燈光亮度上需要很好的把握,不然會(huì)造成局部或整體的曝光。主光源的亮度是最亮的,其次是次光源,補(bǔ)光的亮度低于次光源(通常主、次光源都是暖色。補(bǔ)光冷色的目的是,增加色彩的對(duì)比)。渲染一次草圖,找出需要修改的地方,確定需不需要加補(bǔ)光(在這里,渲染時(shí)可適當(dāng)降低首次反彈值)。
(四)夜景的燈光需要反復(fù)調(diào)節(jié),這個(gè)過(guò)程會(huì)很枯燥,大家不要不耐煩,多次運(yùn)用熟練后,就會(huì)好了。
(五)夜景打燈的方法可參照白天打燈的方式,在此不再啰嗦。下面我們就以具體實(shí)例來(lái)說(shuō)明這個(gè)問(wèn)題:
附錄資料:不需要的可以自行刪除超全ARP知識(shí)什么是ARPARP(AddressResolutionProtocol)是地址解析協(xié)議,是一種將IP地址轉(zhuǎn)化成物理地址的協(xié)議。從IP地址到物理地址的映射有兩種方式:表格方式和非表格方式。ARP具體說(shuō)來(lái)就是將網(wǎng)絡(luò)層(也就是相當(dāng)于OSI的第三層)地址解析為數(shù)據(jù)鏈路層(也就是相當(dāng)于OSI的第二層)的物理地址(注:此處物理地址并不一定指MAC地址)。ARP原理:某機(jī)器A要向主機(jī)B發(fā)送報(bào)文,會(huì)查詢本地的ARP緩存表,找到B的IP地址對(duì)應(yīng)的MAC地址后,就會(huì)進(jìn)行數(shù)據(jù)傳輸。如果未找到,則廣播A一個(gè)ARP請(qǐng)求報(bào)文(攜帶主機(jī)A的IP地址Ia——物理地址Pa),請(qǐng)求IP地址為Ib的主機(jī)B回答物理地址Pb。網(wǎng)上所有主機(jī)包括B都收到ARP請(qǐng)求,但只有主機(jī)B識(shí)別自己的IP地址,于是向A主機(jī)發(fā)回一個(gè)ARP響應(yīng)報(bào)文。其中就包含有B的MAC地址,A接收到B的應(yīng)答后,就會(huì)更新本地的ARP緩存。接著使用這個(gè)MAC地址發(fā)送數(shù)據(jù)(由網(wǎng)卡附加MAC地址)。因此,本地高速緩存的這個(gè)ARP表是本地網(wǎng)絡(luò)流通的基礎(chǔ),而且這個(gè)緩存是動(dòng)態(tài)的。ARP協(xié)議并不只在發(fā)送了ARP請(qǐng)求才接收ARP應(yīng)答。當(dāng)計(jì)算機(jī)接收到ARP應(yīng)答數(shù)據(jù)包的時(shí)候,就會(huì)對(duì)本地的ARP緩存進(jìn)行更新,將應(yīng)答中的IP和MAC地址存儲(chǔ)在ARP緩存中。因此,當(dāng)局域網(wǎng)中的某臺(tái)機(jī)器B向A發(fā)送一個(gè)自己偽造的ARP應(yīng)答,而如果這個(gè)應(yīng)答是B冒充C偽造來(lái)的,即IP地址為C的IP,而MAC地址是偽造的,則當(dāng)A接收到B偽造的ARP應(yīng)答后,就會(huì)更新本地的ARP緩存,這樣在A看來(lái)C的IP地址沒(méi)有變,而它的MAC地址已經(jīng)不是原來(lái)那個(gè)了。由于局域網(wǎng)的網(wǎng)絡(luò)流通不是根據(jù)IP地址進(jìn)行,而是按照MAC地址進(jìn)行傳輸。所以,那個(gè)偽造出來(lái)的MAC地址在A上被改變成一個(gè)不存在的MAC地址,這樣就會(huì)造成網(wǎng)絡(luò)不通,導(dǎo)致A不能Ping通C!這就是一個(gè)簡(jiǎn)單的ARP欺騙。(讀者注:某機(jī)器A利用其它某機(jī)器B的IP地址和一個(gè)事實(shí)上并不存在的MAC地下向另一臺(tái)機(jī)器C發(fā)出ARP請(qǐng)求,導(dǎo)致C中的ARP緩存表的錯(cuò)誤映射,稱為ARP欺騙)ARP協(xié)議的工作原理在每臺(tái)裝有tcp/ip協(xié)議的電腦里都有一個(gè)ARP緩存表,表里的ip地址與mac地址是一一對(duì)應(yīng)的,如圖。arp緩存表以主機(jī)A()向主機(jī)B()發(fā)送數(shù)據(jù)為例。當(dāng)發(fā)送數(shù)據(jù)時(shí),主機(jī)A會(huì)在自己的ARP緩存表中尋找是否有目標(biāo)IP地址。如果找到了,也就知道了目標(biāo)的MAC地址,直接把目標(biāo)的MAC地址寫(xiě)入幀里面發(fā)送就可以了;如果在ARP緩存表里面沒(méi)有目標(biāo)的IP地址,主機(jī)A就會(huì)在網(wǎng)絡(luò)上發(fā)送一個(gè)廣播,目標(biāo)MAC地址是“ff-ff-ff-ff-ff-ff”,這表示向同一網(wǎng)段的所有主機(jī)發(fā)出這樣的詢問(wèn):“的mac地址是什么呀?”網(wǎng)絡(luò)上的其他主機(jī)并不回應(yīng)這一詢問(wèn),只有主機(jī)B接受到這個(gè)幀時(shí)才向A作出回應(yīng):“的MAC地址是00-aa-0-62-c6-09。(如上表)”這樣,主機(jī)A就知道了主機(jī)B的MAC地址,就可以向主機(jī)B發(fā)送信息了。同時(shí),它還更新了自己的ARP緩存表,下次再向B發(fā)送數(shù)據(jù)時(shí),直接在ARP緩存表找就可以了。ARP緩存表采用老化的機(jī)制,在一段時(shí)間里表中的某一行沒(méi)有使用,就會(huì)被刪除,這樣可以大大減少ARP緩存表的長(zhǎng)度,加快查詢的速度。如何查看ARP緩存表ARP緩存表示可以查看的,也可以添加和修改。在命令提示符下,輸入“arp-a”就可以查看arp緩存表的內(nèi)容了。用“arp-d”可以刪除arp緩存表里的所有內(nèi)容。用“arp-s“可以手動(dòng)在arp表中制定ip地址與MAC地址的對(duì)應(yīng)關(guān)系。ARP欺騙的種類ARP欺騙是黑客常用的攻擊手段之一,ARP欺騙分為二種,一種是對(duì)路由器ARP表的欺騙;另一種是對(duì)內(nèi)網(wǎng)PC的網(wǎng)關(guān)欺騙。第一種ARP欺騙的原理是——截獲網(wǎng)關(guān)數(shù)據(jù)。它通知路由器一系列錯(cuò)誤的內(nèi)網(wǎng)MAC地址,并按照一定的頻率不斷進(jìn)行,使真實(shí)的地址信息無(wú)法通過(guò)更新保存在路由器中,結(jié)果路由器的所有數(shù)據(jù)只能發(fā)送給錯(cuò)誤的MAC地址,造成正常PC無(wú)法收到信息。第二種ARP欺騙的原理是——偽造網(wǎng)關(guān)。它的原理是建立假網(wǎng)關(guān),讓被它欺騙的PC向假網(wǎng)關(guān)發(fā)數(shù)據(jù),而不是通過(guò)正常的路由器途徑上網(wǎng)。在PC看來(lái),就是上不了網(wǎng)了,“網(wǎng)絡(luò)掉線了”。一般來(lái)說(shuō),ARP欺騙攻擊的后果非常嚴(yán)重,大多數(shù)情況下會(huì)造成大面積掉線。有些網(wǎng)管員對(duì)此不甚了解,出現(xiàn)故障時(shí),認(rèn)為PC沒(méi)有問(wèn)題,交換機(jī)沒(méi)掉線的“本事”,電信也不承認(rèn)寬帶故障。而且如果第一種ARP欺騙發(fā)生時(shí),只要重啟路由器,網(wǎng)絡(luò)就能全面恢復(fù),那問(wèn)題一定是在路由器了。為此,寬帶路由器背了不少“黑鍋”。arp欺騙-網(wǎng)絡(luò)執(zhí)法官的原理在網(wǎng)絡(luò)執(zhí)法官中,要想限制某臺(tái)機(jī)器上網(wǎng),只要點(diǎn)擊"網(wǎng)卡"菜單中的"權(quán)限",選擇指定的網(wǎng)卡號(hào)或在用戶列表中點(diǎn)擊該網(wǎng)卡所在行,從右鍵菜單中選擇"權(quán)限",在彈出的對(duì)話框中即可限制該用戶的權(quán)限。對(duì)于未登記網(wǎng)卡,可以這樣限定其上線:只要設(shè)定好所有已知用戶(登記)后,將網(wǎng)卡的默認(rèn)權(quán)限改為禁止上線即可阻止所有未知的網(wǎng)卡上線。使用這兩個(gè)功能就可限制用戶上網(wǎng)。其原理是通過(guò)ARP欺騙發(fā)給被攻擊的電腦一個(gè)假的網(wǎng)關(guān)IP地址對(duì)應(yīng)的MAC,使其找不到網(wǎng)關(guān)真正的MAC地址,這樣就可以禁止其上網(wǎng)。修改MAC地址突破網(wǎng)絡(luò)執(zhí)法官的封鎖根據(jù)上面的分析,我們不難得出結(jié)論:只要修改MAC地址,就可以騙過(guò)網(wǎng)絡(luò)執(zhí)法官的掃描,從而達(dá)到突破封鎖的目的。下面是修改網(wǎng)卡MAC地址的方法:在"開(kāi)始"菜單的"運(yùn)行"中輸入regedit,打開(kāi)注冊(cè)表編輯器,展開(kāi)注冊(cè)表到:HKEY_LOCAL_MACHINE/System/CurrentControlSet/Control/Class/子鍵,在子鍵下的0000,0001,0002等分支中查找DriverDesc(如果你有一塊以上的網(wǎng)卡,就有0001,0002......在這里保存了有關(guān)你的網(wǎng)卡的信息,其中的DriverDesc內(nèi)容就是網(wǎng)卡的信息描述,比如我的網(wǎng)卡是Intel21041basedEthernetController),在這里假設(shè)你的網(wǎng)卡在0000子鍵。在0000子鍵下添加一個(gè)字符串,命名為"NetworkAddress",鍵值為修改后的MAC地址,要求為連續(xù)的12個(gè)16進(jìn)制數(shù)。然后在"0000"子鍵下的NDI/params中新建一項(xiàng)名為NetworkAddress的子鍵,在該子鍵下添加名為"default"的字符串,鍵值為修改后的MAC地址。在NetworkAddress的子鍵下繼續(xù)建立名為"ParamDesc"的字符串,其作用為指定NetworkAddress的描述,其值可為"MACAddress"。這樣以后打開(kāi)網(wǎng)絡(luò)鄰居的"屬性",雙擊相應(yīng)的網(wǎng)卡就會(huì)發(fā)現(xiàn)有一個(gè)"高級(jí)"設(shè)置,其下存在MACAddress的選項(xiàng),它就是你在注冊(cè)表中加入的新項(xiàng)"NetworkAddress",以后只要在此修改MAC地址就可以了。關(guān)閉注冊(cè)表,重新啟動(dòng),你的網(wǎng)卡地址已改。打開(kāi)網(wǎng)絡(luò)鄰居的屬性,雙擊相應(yīng)網(wǎng)卡項(xiàng)會(huì)發(fā)現(xiàn)有一個(gè)MACAddress的高級(jí)設(shè)置項(xiàng),用于直接修改MAC地址。MAC地址也叫物理地址、硬件地址或鏈路地址,由網(wǎng)絡(luò)設(shè)備制造商生產(chǎn)時(shí)寫(xiě)在硬件內(nèi)部。這個(gè)地址與網(wǎng)絡(luò)無(wú)關(guān),即無(wú)論將帶有這個(gè)地址的硬件(如網(wǎng)卡、集線器、路由器等)接入到網(wǎng)絡(luò)的何處,它都有相同的MAC地址,MAC地址一般不可改變,不能由用戶自己設(shè)定。MAC地址通常表示為12個(gè)16進(jìn)制數(shù),每2個(gè)16進(jìn)制數(shù)之間用冒號(hào)隔開(kāi),如:08:00:20:0A:8C:6D就是一個(gè)MAC地址,其中前6位16進(jìn)制數(shù),08:00:20代表網(wǎng)絡(luò)硬件制造商的編號(hào),它由IEEE分配,而后3位16進(jìn)制數(shù)0A:8C:6D代表該制造商所制造的某個(gè)網(wǎng)絡(luò)產(chǎn)品(如網(wǎng)卡)的系列號(hào)。每個(gè)網(wǎng)絡(luò)制造商必須確保它所制造的每個(gè)以太網(wǎng)設(shè)備都具有相同的前三字節(jié)以及不同的后三個(gè)字節(jié)。這樣就可保證世界上每個(gè)以太網(wǎng)設(shè)備都具有唯一的MAC地址。另外,網(wǎng)絡(luò)執(zhí)法官的原理是通過(guò)ARP欺騙發(fā)給某臺(tái)電腦有關(guān)假的網(wǎng)關(guān)IP地址所對(duì)應(yīng)的MAC地址,使其找不到網(wǎng)關(guān)真正的MAC地址。因此,只要我們修改IP到MAC的映射就可使網(wǎng)絡(luò)執(zhí)法官的ARP欺騙失效,就隔開(kāi)突破它的限制。你可以事先Ping一下網(wǎng)關(guān),然后再用ARP-a命令得到網(wǎng)關(guān)的MAC地址,最后用ARP-sIP網(wǎng)卡MAC地址命令把網(wǎng)關(guān)的IP地址和它的MAC地址映射起來(lái)就可以了。找到使你無(wú)法上網(wǎng)的對(duì)方解除了網(wǎng)絡(luò)執(zhí)法官的封鎖后,我們可以利用Arpkiller的"Sniffer殺手"掃描整個(gè)局域網(wǎng)IP段,然后查找處在"混雜"模式下的計(jì)算機(jī),就可以發(fā)現(xiàn)對(duì)方了。具體方法是:運(yùn)行Arpkiller(圖2),然后點(diǎn)擊"Sniffer監(jiān)測(cè)工具",在出現(xiàn)的"Sniffer殺手"窗口中輸入檢測(cè)的起始和終止IP(圖3),單擊"開(kāi)始檢測(cè)"就可以了。檢測(cè)完成后,如果相應(yīng)的IP是綠帽子圖標(biāo),說(shuō)明這個(gè)IP處于正常模式,如果是紅帽子則說(shuō)明該網(wǎng)卡處于混雜模式。它就是我們的目標(biāo),就是這個(gè)家伙在用網(wǎng)絡(luò)執(zhí)法官在搗亂。局域網(wǎng)ARP欺騙的應(yīng)對(duì)一、故障現(xiàn)象及原因分析情況一、當(dāng)局域網(wǎng)內(nèi)某臺(tái)主機(jī)感染了ARP病毒時(shí),會(huì)向本局域網(wǎng)內(nèi)(指某一網(wǎng)段,比如:這一段)所有主機(jī)發(fā)送ARP欺騙攻擊謊稱自己是這個(gè)網(wǎng)端的網(wǎng)關(guān)設(shè)備,讓原本流向網(wǎng)關(guān)的流量改道流向病毒主機(jī),造成受害者正常上網(wǎng)。情況二、局域網(wǎng)內(nèi)有某些用戶使用了ARP欺騙程序(如:網(wǎng)絡(luò)執(zhí)法官,QQ盜號(hào)軟件等)發(fā)送ARP欺騙數(shù)據(jù)包,致使被攻擊的電腦出現(xiàn)突然不能上網(wǎng),過(guò)一段時(shí)間又能上網(wǎng),反復(fù)掉線的現(xiàn)象。關(guān)于APR欺騙的具體原理請(qǐng)看我收集的資料ARP欺騙的原理二、故障診斷如果用戶發(fā)現(xiàn)以上疑似情況,可以通過(guò)如下操作進(jìn)行診斷:點(diǎn)擊“開(kāi)始”按鈕->選擇“運(yùn)行”->輸入“arp–d”->點(diǎn)擊“確定”按鈕,然后重新嘗試上網(wǎng),如果能恢復(fù)正常,則說(shuō)明此次掉線可能是受ARP欺騙所致。注:arp-d命令用于清除并重建本機(jī)arp表。arp–d命令并不能抵御ARP欺騙,執(zhí)行后仍有可能再次遭受ARP攻擊。三、故障處理1、中毒者:建議使用趨勢(shì)科技SysClean工具或其他殺毒軟件清除病毒。2、被害者:(1)綁定網(wǎng)關(guān)mac地址。具體方法如下:1)首先,獲得路由器的內(nèi)網(wǎng)的MAC地址(例如網(wǎng)關(guān)地址54的MAC地址為0022aa0022aa)。2)編寫(xiě)一個(gè)批處理文件AntiArp.bat內(nèi)容如下:@echooffarp-darp-s5400-22-aa-00-22-aa將文件中的網(wǎng)關(guān)IP地址和MAC地址更改為您自己的網(wǎng)關(guān)IP地址和MAC地址即可,計(jì)算機(jī)重新啟動(dòng)后需要重新進(jìn)行綁定,因此我們可以將該批處理文件AntiArp.bat文件拖到“windows--開(kāi)始--程序--啟動(dòng)”中。這樣開(kāi)機(jī)時(shí)這個(gè)批處理就被執(zhí)行了。(2)使用ARP防火墻(例如AntiArp)軟件抵御ARP攻擊。AntiArp軟件會(huì)在提示框內(nèi)出現(xiàn)病毒主機(jī)的MAC地址四,找出ARP病毒源第一招:使用Sniffer抓包在網(wǎng)絡(luò)內(nèi)任意一臺(tái)主機(jī)上運(yùn)行抓包軟件,捕獲所有到達(dá)本機(jī)的數(shù)據(jù)包。如果發(fā)現(xiàn)有某個(gè)IP不斷發(fā)送ARPRequest請(qǐng)求包,那么這臺(tái)電腦一般就是病毒源。原理:無(wú)論何種ARP病毒變種,行為方式有兩種,一是欺騙網(wǎng)關(guān),二是欺騙網(wǎng)內(nèi)的所有主機(jī)。最終的結(jié)果是,在網(wǎng)關(guān)的ARP緩存表中,網(wǎng)內(nèi)所有活動(dòng)主機(jī)的MAC地址均為中毒主機(jī)的MAC地址;網(wǎng)內(nèi)所有主機(jī)的ARP緩存表中,網(wǎng)關(guān)的MAC地址也成為中毒主機(jī)的MAC地址。前者保證了從網(wǎng)關(guān)到網(wǎng)內(nèi)主機(jī)的數(shù)據(jù)包被發(fā)到中毒主機(jī),后者相反,使得主機(jī)發(fā)往網(wǎng)關(guān)的數(shù)據(jù)包均發(fā)送到中毒主機(jī)。第二招:使用arp-a命令任意選兩臺(tái)不能上網(wǎng)的主機(jī),在DOS命令窗口下運(yùn)行arp-a命令。例如在結(jié)果中,兩臺(tái)電腦除了網(wǎng)關(guān)的IP,MAC地址對(duì)應(yīng)項(xiàng),都包含了86的這個(gè)IP,則可以斷定86這臺(tái)主機(jī)就是病毒源。原理:一般情況下,網(wǎng)內(nèi)的主機(jī)只和網(wǎng)關(guān)通信。正常情況下,一臺(tái)主機(jī)的ARP緩存中應(yīng)該只有網(wǎng)關(guān)的MAC地址。如果有其他主機(jī)的MAC地址,說(shuō)明本地主機(jī)和這臺(tái)主機(jī)最后有過(guò)數(shù)據(jù)通信發(fā)生。如果某臺(tái)主機(jī)(例如上面的86)既不是網(wǎng)關(guān)也不是服務(wù)器,但和網(wǎng)內(nèi)的其他主機(jī)都有通信活動(dòng),且此時(shí)又是ARP病毒發(fā)作時(shí)期,那么,病毒源也就是它了。第三招:使用tracert命令在任意一臺(tái)受影響的主機(jī)上,在DOS命令窗口下運(yùn)行如下命令:tracert48。假定設(shè)置的缺省網(wǎng)關(guān)為,在跟蹤一個(gè)外網(wǎng)地址時(shí),第一跳卻是86,那么,86就是病毒源。原理:中毒主機(jī)在受影響主機(jī)和網(wǎng)關(guān)之間,扮演了“中間人”的角色。所有本應(yīng)該到達(dá)網(wǎng)關(guān)的數(shù)據(jù)包,由于錯(cuò)誤的MAC地址,均被發(fā)到了中毒主機(jī)。此時(shí),中毒主機(jī)越俎代庖,起了缺省網(wǎng)關(guān)的作用。~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~·(ARP欺騙的更容易理解的解析)最近在論壇上經(jīng)??吹疥P(guān)于ARP病毒的問(wèn)題,于是在Google上搜索ARP關(guān)鍵字,結(jié)果出來(lái)很多關(guān)于這類問(wèn)題的討論。我的求知欲很強(qiáng),想再學(xué)習(xí)ARP下相關(guān)知識(shí),所以對(duì)目前網(wǎng)絡(luò)中常見(jiàn)的ARP問(wèn)題進(jìn)行了一個(gè)總結(jié)。1.ARP概念咱們談ARP之前,還是先要知道ARP的概念和工作原理,理解了原理知識(shí),才能更好去面對(duì)和分析處理問(wèn)題。1.1ARP概念知識(shí)ARP,全稱AddressResolutionProtocol,中文名為地址解析協(xié)議,它工作在數(shù)據(jù)鏈路層,在本層和硬件接口聯(lián)系,同時(shí)對(duì)上層提供服務(wù)。IP數(shù)據(jù)包常通過(guò)以太網(wǎng)發(fā)送,以太網(wǎng)設(shè)備并不識(shí)別32位IP地址,它們是以48位以太網(wǎng)地址傳輸以太網(wǎng)數(shù)據(jù)包。因此,必須把IP目的地址轉(zhuǎn)換成以太網(wǎng)目的地址。在以太網(wǎng)中,一個(gè)主機(jī)要和另一個(gè)主機(jī)進(jìn)行直接通信,必須要知道目標(biāo)主機(jī)的MAC地址。但這個(gè)目標(biāo)MAC地址是如何獲得的呢?它就是通過(guò)地址解析協(xié)議獲得的。ARP協(xié)議用于將網(wǎng)絡(luò)中的IP地址解析為的硬件地址(MAC地址),以保證通信的順利進(jìn)行。1.2ARP工作原理首先,每臺(tái)主機(jī)都會(huì)在自己的ARP緩沖區(qū)中建立一個(gè)ARP列表,以表示IP地址和MAC地址的對(duì)應(yīng)關(guān)系。當(dāng)源主機(jī)需要將一個(gè)數(shù)據(jù)包要發(fā)送到目的主機(jī)時(shí),會(huì)首先檢查自己ARP列表中是否存在該IP地址對(duì)應(yīng)的MAC地址,如果有﹐就直接將數(shù)據(jù)包發(fā)送到這個(gè)MAC地址;如果沒(méi)有,就向本地網(wǎng)段發(fā)起一個(gè)ARP請(qǐng)求的廣播包,查詢此目的主機(jī)對(duì)應(yīng)的MAC地址。此ARP請(qǐng)求數(shù)據(jù)包里包括源主機(jī)的IP地址、硬件地址、以及目的主機(jī)的IP地址。網(wǎng)絡(luò)中所有的主機(jī)收到這個(gè)ARP請(qǐng)求后,會(huì)檢查數(shù)據(jù)包中的目的IP是否和自己的IP地址一致。如果不相同就忽略此數(shù)據(jù)包;如果相同,該主機(jī)首先將發(fā)送端的MAC地址和IP地址添加到自己的ARP列表中,如果ARP表中已經(jīng)存在該IP的信息,則將其覆蓋,然后給源主機(jī)發(fā)送一個(gè)ARP響應(yīng)數(shù)據(jù)包,告訴對(duì)方自己是它需要查找的MAC地址;源主機(jī)收到這個(gè)ARP響應(yīng)數(shù)據(jù)包后,將得到的目的主機(jī)的IP地址和MAC地址添加到自己的ARP列表中,并利用此信息開(kāi)始數(shù)據(jù)的傳輸。如果源主機(jī)一直沒(méi)有收到ARP響應(yīng)數(shù)據(jù)包,表示ARP查詢失敗。例如:A的地址為:IP:MAC:AA-AA-AA-AA-AA-AAB的地址為:IP:MAC:BB-BB-BB-BB-BB-BB根據(jù)上面的所講的原理,我們簡(jiǎn)單說(shuō)明這個(gè)過(guò)程:A要和B通訊,A就需要知道B的以太網(wǎng)地址,于是A發(fā)送一個(gè)ARP請(qǐng)求廣播(誰(shuí)是,請(qǐng)告訴),當(dāng)B收到該廣播,就檢查自己,結(jié)果發(fā)現(xiàn)和自己的一致,然后就向A發(fā)送一個(gè)ARP單播應(yīng)答(在BB-BB-BB-BB-BB-BB)。1.3ARP通訊模式通訊模式(PatternAnalysis):在網(wǎng)絡(luò)分析中,通訊模式的分析是很重要的,不同的協(xié)議和不同的應(yīng)用都會(huì)有不同的通訊模式。更有些時(shí)候,相同的協(xié)議在不同的企業(yè)應(yīng)用中也會(huì)出現(xiàn)不同的通訊模式。ARP在正常情況下的通訊模式應(yīng)該是:請(qǐng)求->應(yīng)答->請(qǐng)求->應(yīng)答,也就是應(yīng)該一問(wèn)一答。2.常見(jiàn)ARP攻擊類型個(gè)人認(rèn)為常見(jiàn)的ARP攻擊為兩種類型:ARP掃描和ARP欺騙。2.1ARP掃描(ARP請(qǐng)求風(fēng)暴)通訊模式(可能):請(qǐng)求->請(qǐng)求->請(qǐng)求->請(qǐng)求->請(qǐng)求->請(qǐng)求->應(yīng)答->請(qǐng)求->請(qǐng)求->請(qǐng)求...描述:網(wǎng)絡(luò)中出現(xiàn)大量ARP請(qǐng)求廣播包,幾乎都是對(duì)網(wǎng)段內(nèi)的所有主機(jī)進(jìn)行掃描。大量的ARP請(qǐng)求廣播可能會(huì)占用網(wǎng)絡(luò)帶寬資源;ARP掃描一般為ARP攻擊的前奏。出現(xiàn)原因(可能):*病毒程序,偵聽(tīng)程序,掃描程序。*如果網(wǎng)絡(luò)分析軟件部署正確,可能是我們只鏡像了交換機(jī)上的部分端口,所以大量ARP請(qǐng)求是來(lái)自與非鏡像口連接的其它主機(jī)發(fā)出的。*如果部署不正確,這些ARP請(qǐng)求廣播包是來(lái)自和交換機(jī)相連的其它主機(jī)。2.2ARP欺騙ARP協(xié)議并不只在發(fā)送了ARP請(qǐng)求才接收ARP應(yīng)答。當(dāng)計(jì)算機(jī)接收到ARP應(yīng)答數(shù)據(jù)包的時(shí)候,就會(huì)對(duì)本地的ARP緩存進(jìn)行更新,將應(yīng)答中的IP和MAC地址存儲(chǔ)在ARP緩存中。所以在網(wǎng)絡(luò)中,有人發(fā)送一個(gè)自己偽造的ARP應(yīng)答,網(wǎng)絡(luò)可能就會(huì)出現(xiàn)問(wèn)題。這可能就是協(xié)議設(shè)計(jì)者當(dāng)初沒(méi)考慮到的!2.2.1欺騙原理假設(shè)一個(gè)網(wǎng)絡(luò)環(huán)境中,網(wǎng)內(nèi)有三臺(tái)主機(jī),分別為主機(jī)A、B、C。主機(jī)詳細(xì)信息如下描述:A的地址為:IP:MAC:AA-AA-AA-AA-AA-AAB的地址為:IP:MAC:BB-BB-BB-BB-BB-BBC的地址為:IP:MAC:CC-CC-CC-CC-CC-CC正常情況下A和C之間進(jìn)行通訊,但是此時(shí)B向A發(fā)送一個(gè)自己偽造的ARP應(yīng)答,而這個(gè)應(yīng)答中的數(shù)據(jù)為發(fā)送方IP地址是(C的IP地址),MAC地址是BB-BB-BB-BB-BB-BB(C的MAC地址本來(lái)應(yīng)該是CC-CC-CC-CC-CC-CC,這里被偽造了)。當(dāng)A接收到B偽造的ARP應(yīng)答,就會(huì)更新本地的ARP緩存(A被欺騙了),這時(shí)B就偽裝成C了。同時(shí),B同樣向C發(fā)送一個(gè)ARP應(yīng)答,應(yīng)答包中發(fā)送方IP地址四(A的IP地址),MAC地址是BB-BB-BB-BB-BB-BB(A的MAC地址本來(lái)應(yīng)該是AA-AA-AA-AA-AA-AA),當(dāng)C收到B偽造的ARP應(yīng)答,也會(huì)更新本地ARP緩存(C也被欺騙了),這時(shí)B就偽裝成了A。這樣主機(jī)A和C都被主機(jī)B欺騙,A和C之間通訊的數(shù)據(jù)都經(jīng)過(guò)了B。主機(jī)B完全可以知道他們之間說(shuō)的什么:)。這就是典型的ARP欺騙過(guò)程。注意:一般情況下,ARP欺騙的某一方應(yīng)該是網(wǎng)關(guān)。2.2.2兩種情況ARP欺騙存在兩種情況:一種是欺騙主機(jī)作為“中間人”,被欺騙主機(jī)的數(shù)據(jù)都經(jīng)過(guò)它中轉(zhuǎn)一次,這樣欺騙主機(jī)可以竊取到被它欺騙的主機(jī)之間的通訊數(shù)據(jù);另一種讓被欺騙主機(jī)直接斷網(wǎng)。第一種:竊取數(shù)據(jù)(嗅探)通訊模式:應(yīng)答->應(yīng)答->應(yīng)答->應(yīng)答->應(yīng)答->請(qǐng)求->應(yīng)答->應(yīng)答->請(qǐng)求->應(yīng)答...描述:這種情況就屬于我們上面所說(shuō)的典型的ARP欺騙,欺騙主機(jī)向被欺騙主機(jī)發(fā)送大量偽造的ARP應(yīng)答包進(jìn)行欺騙,當(dāng)通訊雙方被欺騙成功后,自己作為了一個(gè)“中間人“的身份。此時(shí)被欺騙的主機(jī)雙方還能正常通訊,只不過(guò)在通訊過(guò)程中被欺騙者“竊聽(tīng)”了。出現(xiàn)原因(可能):*木馬病毒*嗅探*人為欺騙第二種:導(dǎo)致斷網(wǎng)通訊模式:應(yīng)答->應(yīng)答->應(yīng)答->應(yīng)答->應(yīng)答->應(yīng)答->請(qǐng)求…描述:這類情況就是在ARP欺騙過(guò)程中,欺騙者只欺騙了其中一方,如B欺騙了A,但是同時(shí)B沒(méi)有對(duì)C進(jìn)行欺騙,這樣A實(shí)質(zhì)上是在和B通訊,所以A就不能和C通訊了,另外一種情況還可能就是欺騙者偽造一個(gè)不存在地址進(jìn)行欺騙。對(duì)于偽造地址進(jìn)行的欺騙,在排查上比較有難度,這里最好是借用TAP設(shè)備(這個(gè)東東好像有點(diǎn)貴勒),分別捕獲單向數(shù)據(jù)流進(jìn)行分析!出現(xiàn)原因(可能):*木馬病毒*人為破壞*一些網(wǎng)管軟件的控制功能3.常用的防護(hù)方法搜索網(wǎng)上,目前對(duì)于ARP攻擊防護(hù)問(wèn)題出現(xiàn)最多是綁定IP和MAC和使用ARP防護(hù)軟件,也出現(xiàn)了具有ARP防護(hù)功能的路由器。呵呵,我們來(lái)了解下這三種方法。3.1靜態(tài)綁定最常用的方法就是做IP和MAC靜態(tài)綁定,在網(wǎng)內(nèi)把主機(jī)和網(wǎng)關(guān)都做IP和MAC綁定。欺騙是通過(guò)ARP的動(dòng)態(tài)實(shí)時(shí)的規(guī)則欺騙內(nèi)網(wǎng)機(jī)器,所以我們把ARP全部設(shè)置為靜態(tài)可以解決對(duì)內(nèi)網(wǎng)PC的欺騙,同時(shí)在網(wǎng)關(guān)也要進(jìn)行IP和MAC的靜態(tài)綁定,這樣雙向綁定才比較保險(xiǎn)。方法:對(duì)每臺(tái)主機(jī)進(jìn)行IP和MAC地址靜態(tài)綁定。通過(guò)命令,arp-s可以實(shí)現(xiàn)“arp–sIPMAC地址”。例如:“arp–sAA-AA-AA-AA-AA-AA”。如果設(shè)置成功會(huì)在PC上面通過(guò)執(zhí)行arp-a可以看到相關(guān)的提示:InternetAddressPhysicalAddressTypeAA-AA-AA-AA-AA-AAstatic(靜態(tài))一般不綁定,在動(dòng)態(tài)的情況下:InternetAddressPhysicalAddressTypeAA-AA-AA-AA-AA-AAdynamic(動(dòng)態(tài))說(shuō)明:對(duì)于網(wǎng)絡(luò)中有很多主機(jī),500臺(tái),1000臺(tái)...,如果我們這樣每一臺(tái)都去做靜態(tài)綁定,工作量是非常大的。。。。,這種靜態(tài)綁定,在電腦每次重起后,都必須重新在綁定,雖然也可以做一個(gè)批處理文件,但是還是比較麻煩的!3.2使用ARP防護(hù)軟件目前關(guān)于ARP類的防護(hù)軟件出的比較多了,大家使用比較常用的ARP工具主要是欣向ARP工具,Antiarp等。它們除了本身來(lái)檢測(cè)出ARP攻擊外,防護(hù)的工作原理是一定頻率向網(wǎng)絡(luò)廣播正確的ARP信息。我們還是來(lái)簡(jiǎn)單說(shuō)下這兩個(gè)小工具。3.2.1欣向ARP工具我使用了該工具,它有5個(gè)功能:?A.IP/MAC清單選擇網(wǎng)卡。如果是單網(wǎng)卡不需要設(shè)置。如果是多網(wǎng)卡需要設(shè)置連接內(nèi)網(wǎng)的那塊網(wǎng)卡。IP/MAC掃描。這里會(huì)掃描目前網(wǎng)絡(luò)中所有的機(jī)器的IP與MAC地址。請(qǐng)?jiān)趦?nèi)網(wǎng)運(yùn)行正常時(shí)掃描,因?yàn)檫@個(gè)表格將作為對(duì)之后ARP的參照。之后的功能都需要這個(gè)表格的支持,如果出現(xiàn)提示無(wú)法獲取IP或MAC時(shí),就說(shuō)明這里的表格里面沒(méi)有相應(yīng)的數(shù)據(jù)。?B.ARP欺騙檢測(cè)這個(gè)功能會(huì)一直檢測(cè)內(nèi)網(wǎng)是否有PC冒充表格內(nèi)的IP。你可以把主要的IP設(shè)到檢測(cè)表格里面,例如,路由器,電影服務(wù)器,等需要內(nèi)網(wǎng)機(jī)器訪問(wèn)的機(jī)器IP。(補(bǔ)充)“ARP欺騙記錄”表如何理解:“Time”:發(fā)現(xiàn)問(wèn)題時(shí)的時(shí)間;“sender”:發(fā)送欺騙信息的IP或MAC;“Repeat”:欺詐信息發(fā)送的次數(shù);“ARPinfo”:是指發(fā)送欺騙信息的具體內(nèi)容.如下面例子:timesenderRepeatARPinfo22:22:2221433isat00:0e:03:22:02:e8這條信息的意思是:在22:22:22的時(shí)間,檢測(cè)到由2發(fā)出的欺騙信息,已經(jīng)發(fā)送了1433次,他發(fā)送的欺騙信息的內(nèi)容是:的MAC地址是00:0e:03:22:02:e8。打開(kāi)檢測(cè)功能,如果出現(xiàn)針對(duì)表內(nèi)IP的欺騙,會(huì)出現(xiàn)提示??梢园凑仗崾静榈絻?nèi)網(wǎng)的ARP欺騙的根源。提示一句,任何機(jī)器都可以冒充其他機(jī)器發(fā)送IP與MAC,所以即使提示出某個(gè)IP或MAC在發(fā)送欺騙信息,也未必是100%的準(zhǔn)確。所有請(qǐng)不要以暴力解決某些問(wèn)題。?C.主動(dòng)維護(hù)這個(gè)功能可以直接解決ARP欺騙的掉線問(wèn)題,但是并不是理想方法。他的原理就在網(wǎng)絡(luò)內(nèi)不停的廣播制定的IP的正確的MAC地址。“制定維護(hù)對(duì)象”的表格里面就是設(shè)置需要保護(hù)的IP。發(fā)包頻率就是每秒發(fā)送多少個(gè)正確的包給網(wǎng)絡(luò)內(nèi)所有機(jī)器。強(qiáng)烈建議盡量少的廣播IP,盡量少的廣播頻率。一般設(shè)置1次就可以,如果沒(méi)有綁定IP的情況下,出現(xiàn)ARP欺騙,可以設(shè)置到50-100次,如果還有掉線可以設(shè)置更高,即可以實(shí)現(xiàn)快
溫馨提示
- 1. 本站所有資源如無(wú)特殊說(shuō)明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
- 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
- 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁(yè)內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒(méi)有圖紙預(yù)覽就沒(méi)有圖紙。
- 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
- 5. 人人文庫(kù)網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
- 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
- 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。
最新文檔
- 七年級(jí)英語(yǔ)上冊(cè)StarterUnit1Goodmorning練習(xí)新版人教新目標(biāo)版
- 2025版高考物理一輪復(fù)習(xí)課后集訓(xùn)24帶電粒子在復(fù)合場(chǎng)中的運(yùn)動(dòng)含解析
- 2025屆高考生物二輪復(fù)習(xí)大板塊練生命活動(dòng)的調(diào)節(jié)含解析
- 2023屆新高考新教材化學(xué)魯科版一輪學(xué)案-第7章第23講 化學(xué)反應(yīng)的限度
- 玉溪師范學(xué)院《兒童文學(xué)》2022-2023學(xué)年第一學(xué)期期末試卷
- 玉溪師范學(xué)院《地圖設(shè)計(jì)與編繪》2022-2023學(xué)年第一學(xué)期期末試卷
- 鹽城師范學(xué)院《中學(xué)思想政治教學(xué)論》2021-2022學(xué)年第一學(xué)期期末試卷
- 玉溪師范學(xué)院《教育知識(shí)與能力》2021-2022學(xué)年第一學(xué)期期末試卷
- 2024汽車配件采購(gòu)合同模板
- 鹽城師范學(xué)院《素描含速寫(xiě)》2022-2023學(xué)年第一學(xué)期期末試卷
- 安全隱患規(guī)范依據(jù)查詢手冊(cè)22大類12萬(wàn)字
- 外科病例分析
- 一年級(jí)10以內(nèi)口算100道題(共20套)-直接打印版
- mtl營(yíng)銷管理流程
- 小學(xué)教學(xué)整改方案及措施
- 中華民族共同體概論課件專家版6第六講 五胡入華與中華民族大交融(魏晉南北朝)
- 《歐洲民間故事》測(cè)試題
- 《狼和鴨子》PPT課件小學(xué)幼兒園兒童故事表演幻燈片背景有音樂(lè)
- 儲(chǔ)能電站安全教育培訓(xùn)
- 課程教學(xué)與課程思政內(nèi)容融合
- 2024中小企業(yè)ESG信息披露指南
評(píng)論
0/150
提交評(píng)論