网吧不定时的,毫无道理的掉线(高手都来露一手撒)
你好!当局域网内某台主机运行ARP欺骗的木马程序时,会欺骗局域网内所有主机和路由器,让所有上网的流量必须经过病毒主机。其他用户原来直接通过路由器上网现在转由通过病毒主机上网,切换的时候用户会断一次线。
切换到病毒主机上网后,如果用户已经登陆了传奇服务器,那么病毒主机就会经常伪造断线的假像,那么用户就得重新登录传奇服务器,这样病毒主机就可以盗号了。
由于ARP欺骗的木马程序发作的时候会发出大量的数据包导致局域网通讯拥塞以及其自身处理能力的限制,用户会感觉上网速度越来越慢。当ARP欺骗的木马程序停止运行时,用户会恢复从路由器上网,切换过程中用户会再断一次线。
故障原因
局域网内有人使用ARP欺骗的木马程序(比如:传奇盗号的软件,某些传奇外挂中也被恶意加载了此程序)。
故障原理
要了解故障原理,我们先来了解一下ARP协议。
在局域网中,通过ARP协议来完成IP地址转换为第二层物理地址(即MAC地址)的。ARP协议对网络安全具有重要的意义。通过伪造IP地址和MAC地址实现ARP欺骗,能够在网络中产生大量的ARP通信量使网络阻塞。
ARP协议是“Address Resolution Protocol”(地址解析协议)的缩写。在局域网中,网络中实际传输的是“帧”,帧里面是有目标主机的MAC地址的。在以太网中,一个主机要和另一个主机进行直接通信,必须要知道目标主机的MAC地址。但这个目标MAC地址是如何获得的呢?它就是通过地址解析协议获得的。所谓“地址解析”就是主机在发送帧前将目标IP地址转换成目标MAC地址的过程。ARP协议的基本功能就是通过目标设备的IP地址,查询目标设备的MAC地址,以保证通信的顺利进行。
每台安装有TCP/IP协议的电脑里都有一个ARP缓存表,表里的IP地址与MAC地址是一一对应的,如下表所示。
主机 IP地址 MAC地址
A 19216811 aa-aa-aa-aa-aa-00
B 19216812 bb-bb-bb-bb-bb-11
C 19216813 cc-cc-cc-cc-cc-22
D 19216814 dd-dd-dd-dd-dd-33
我们以主机A(19216811)向主机B(19216812)发送数据为例。当发送数据时,主机A会在自己的ARP缓存表中寻找是否有目标IP地址。如果找到了,也就知道了目标MAC地址,直接把目标MAC地址写入帧里面发送就可以了;如果在ARP缓存表中没有找到相对应的IP地址,主机A就会在网络上发送一个广播,目标MAC地址是“FFFFFFFFFFFF”,这表示向同一网段内的所有主机发出这样的询问:“19216812的MAC地址是什么?”网络上其他主机并不响应ARP询问,只有主机B接收到这个帧时,才向主机A做出这样的回应:“192168162的MAC地址是bb-bb-bb-bb-bb-11”。这样,主机A就知道了主机B的MAC地址,它就可以向主机B发送信息了。同时它还更新了自己的ARP缓存表,下次再向主机B发送信息时,直接从ARP缓存表里查找就可以了。ARP缓存表采用了老化机制,在一段时间内如果表中的某一行没有使用,就会被删除,这样可以大大减少ARP缓存表的长度,加快查询速度。
从上面可以看出,ARP协议的基础就是信任局域网内所有的人,那么就很容易实现在以太网上的ARP欺骗。对目标A进行欺骗,A去Ping主机C却发送到了DD-DD-DD-DD-DD-33这个地址上。如果进行欺骗的时候,把C的MAC地址骗为DD-DD-DD-DD-DD-33,于是A发送到C上的数据包都变成发送给D的了。这不正好是D能够接收到A发送的数据包了么,嗅探成功。
A对这个变化一点都没有意识到,但是接下来的事情就让A产生了怀疑。因为A和C连接不上了。D对接收到A发送给C的数据包可没有转交给C。做“man in the middle”,进行ARP重定向。打开D的IP转发功能,A发送过来的数据包,转发给C,好比一个路由器一样。不过,假如D发送ICMP重定向的话就中断了整个计划。
D直接进行整个包的修改转发,捕获到A发送给C的数据包,全部进行修改后再转发给C,而C接收到的数据包完全认为是从A发送来的。不过,C发送的数据包又直接传递给A,倘若再次进行对C的ARP欺骗。现在D就完全成为A与C的中间桥梁了,对于A和C之间的通讯就可以了如指掌了。
他网吧用的路由器是TP-link 480+,因为对这个设备不了解(我从来都不用这个牌子的,无论是路由器还是交换机,因为以前我局用Tp-link400的时候被这路由搞晕死了,所以自从那之后就建议公司把这些垃圾全部清除,呵呵,是这些厂家的同志别打我,因为这是我个人的感觉,嘿嘿。。。)言归正状刚好我公司有申请一批路由,本来我的意思是买VIGOR系列的,可是这个本分公司没办法做主,总公司分给我们的是HIPER 3300NB
刚好看了HIPER网站的资料,他们有防止ARP这块,嘿嘿,那好,就拿来试试了,于是就开始我们侦察工作了
HiPER用户快速发现ARP欺骗木马
在路由器的“系统历史记录”中看到大量如下的信息(440以后的路由器软件版本中才有此提示):
MAC Chged 10128103124
MAC Old 00:01:6c:36:d1:7f
MAC New 00:05:5d:60:c7:18
这个消息代表了用户的MAC地址发生了变化,在ARP欺骗木马开始运行的时候,局域网所有主机的MAC地址更新为病毒主机的MAC地址(即所有信息的MAC New地址都一致为病毒主机的MAC地址),同时在路由器的“用户统计”中看到所有用户的MAC地址信息都一样。
如果是在路由器的“系统历史记录”中看到大量MAC Old地址都一致,则说明局域网内曾经出现过ARP欺骗(ARP欺骗的木马程序停止运行时,主机在路由器上恢复其真实的MAC地址)。
在局域网内查找病毒主机
在上面我们已经知道了使用ARP欺骗木马的主机的MAC地址,那么我们就可以使用NBTSCAN(可以到百度搜索下载)工具来快速查找它。
NBTSCAN可以取到PC的真实IP地址和MAC地址,如果有”传奇木马”在做怪,可以找到装有木马的PC的IP/和MAC地址。
命令:“nbtscan -r 19216810/24”(搜索整个19216810/24网段, 即19216811-1921681254);或“nbtscan 192168125-127”搜索192168125-127 网段,即192168125-1921681127。输出结果第一列是IP地址,最后一列是MAC地址。
NBTSCAN的使用范例:
假设查找一台MAC地址为“000d870d585f”的病毒主机。
1)将压缩包中的nbtscanexe 和cygwin1dll解压缩放到c:\下。
2)在Windows开始—运行—打开,输入cmd(windows98输入“command”),在出现的DOS窗口中输入:C:\nbtscan -r 19216811/24(这里需要根据用户实际网段输入),回车。
C:\Documents and Settings\ly>C:\nbtscan -r 19216811/24
Warning: -r option not supported under Windows Running without it
Doing NBT name scan for addresses from 19216811/24
IP address NetBIOS Name Server User MAC address
------------------------------------------------------------------------------
19216810 Sendto failed: Cannot assign requested address
192168150 SERVER <server> <unknown> 00-e0-4c-4d-96-c6
1921681111 LLF <server> ADMINISTRATOR 00-22-55-66-77-88
1921681121 UTT-HIPER <server> <unknown> 00-0d-87-26-7d-78
1921681175 JC <server> <unknown> 00-07-95-e0-7c-d7
1921681223 test123 <server> test123 00-0d-87-0d-58-5f
3)通过查询IP--MAC对应表,查出“000d870d585f”的病毒主机的IP地址为“1921681223”。
解决思路
1、不要把你的网络安全信任关系建立在IP基础上或MAC基础上,(rarp同样存在欺骗的问题),理想的关系应该建立在IP+MAC基础上。
2、设置静态的MAC-->IP对应表,不要让主机刷新你设定好的转换表。
3、除非很有必要,否则停止使用ARP,将ARP做为永久条目保存在对应表中。
4、使用ARP服务器。通过该服务器查找自己的ARP转换表来响应其他机器的ARP广播。确保这台ARP服务器不被黑。
5、使用"proxy"代理IP的传输。
6、使用硬件屏蔽主机。设置好你的路由,确保IP地址能到达合法的路径。(静态配置路由ARP条目),注意,使用交换集线器和网桥无法阻止ARP欺骗。
7、管理员定期用响应的IP包中获得一个rarp请求,然后检查ARP响应的真实性。
8、管理员定期轮询,检查主机上的ARP缓存。
9、使用防火墙连续监控网络。注意有使用SNMP的情况下,ARP的欺骗有可能导致陷阱包丢失。
嘿嘿,原理HIPER还有给出解决方案
HiPER用户的解决方案
建议用户采用双向绑定的方法解决并且防止ARP欺骗。
1、在PC上绑定路由器的IP和MAC地址:
1)首先,获得路由器的内网的MAC地址(例如HiPER网关地址1921681254的MAC地址为0022aa0022aa<HiPER管理界面--端口配置--局域网端口MAC地址>)。
2)编写一个批处理文件rarpbat内容如下:
@echo off
arp -d
arp -s 1921681254 00-22-aa-00-22-aa
将文件中的网关IP地址和MAC地址更改为您自己的网关IP地址和MAC地址即可。
将这个批处理软件拖到“windows--开始--程序--启动”中。
3)如果是网吧,可以利用收费软件服务端程序(pubwin或者万象都可以)发送批处理文件rarpbat到所有客户机的启动目录。Windows2000的默认启动目录为“C:\Documents and Settings\All Users「开始」菜单程序启动”。
2、在路由器上绑定用户主机的IP和MAC地址(440以后的路由器软件版本支持):
在HiPER管理界面--高级配置--用户管理中将局域网每台主机均作绑定
确认电脑上有无 传奇游戏 有可能是ARP病毒
故障现象
当局域网内某台主机运行ARP欺骗的木马程序时,会欺骗局域网内所有主机和路由器,让所有上网的流量必须经过病毒主机。其他用户原来直接通过路由器上网现在转由通过病毒主机上网,切换的时候用户会断一次线。
切换到病毒主机上网后,如果用户已经登陆了传奇服务器,那么病毒主机就会经常伪造断线的假像,那么用户就得重新登录传奇服务器,这样病毒主机就可以盗号了。
由于ARP欺骗的木马程序发作的时候会发出大量的数据包导致局域网通讯拥塞以及其自身处理能力的限制,用户会感觉上网速度越来越慢。当ARP欺骗的木马程序停止运行时,用户会恢复从路由器上网,切换过程中用户会再断一次线。
故障原因
局域网内有人使用ARP欺骗的木马程序(比如:传奇盗号的软件,某些传奇外挂中也被恶意加载了此程序)。
故障原理
要了解故障原理,我们先来了解一下ARP协议。
在局域网中,通过ARP协议来完成IP地址转换为第二层物理地址(即MAC地址)的。ARP协议对网络安全具有重要的意义。通过伪造IP地址和MAC地址实现ARP欺骗,能够在网络中产生大量的ARP通信量使网络阻塞。
ARP协议是“Address Resolution Protocol”(地址解析协议)的缩写。在局域网中,网络中实际传输的是“帧”,帧里面是有目标主机的MAC地址的。在以太网中,一个主机要和另一个主机进行直接通信,必须要知道目标主机的MAC地址。但这个目标MAC地址是如何获得的呢?它就是通过地址解析协议获得的。所谓“地址解析”就是主机在发送帧前将目标IP地址转换成目标MAC地址的过程。ARP协议的基本功能就是通过目标设备的IP地址,查询目标设备的MAC地址,以保证通信的顺利进行。
每台安装有TCP/IP协议的电脑里都有一个ARP缓存表,表里的IP地址与MAC地址是一一对应的,如下表所示。
主机 IP地址 MAC地址
A 19216811 aa-aa-aa-aa-aa-00
B 19216812 bb-bb-bb-bb-bb-11
C 19216813 cc-cc-cc-cc-cc-22
D 19216814 dd-dd-dd-dd-dd-33
我们以主机A(19216811)向主机B(19216812)发送数据为例。当发送数据时,主机A会在自己的ARP缓存表中寻找是否有目标IP地址。如果找到了,也就知道了目标MAC地址,直接把目标MAC地址写入帧里面发送就可以了;如果在ARP缓存表中没有找到相对应的IP地址,主机A就会在网络上发送一个广播,目标MAC地址是“FFFFFFFFFFFF”,这表示向同一网段内的所有主机发出这样的询问:“19216812的MAC地址是什么?”网络上其他主机并不响应ARP询问,只有主机B接收到这个帧时,才向主机A做出这样的回应:“192168162的MAC地址是bb-bb-bb-bb-bb-11”。这样,主机A就知道了主机B的MAC地址,它就可以向主机B发送信息了。同时它还更新了自己的ARP缓存表,下次再向主机B发送信息时,直接从ARP缓存表里查找就可以了。ARP缓存表采用了老化机制,在一段时间内如果表中的某一行没有使用,就会被删除,这样可以大大减少ARP缓存表的长度,加快查询速度。
从上面可以看出,ARP协议的基础就是信任局域网内所有的人,那么就很容易实现在以太网上的ARP欺骗。对目标A进行欺骗,A去Ping主机C却发送到了DD-DD-DD-DD-DD-33这个地址上。如果进行欺骗的时候,把C的MAC地址骗为DD-DD-DD-DD-DD-33,于是A发送到C上的数据包都变成发送给D的了。这不正好是D能够接收到A发送的数据包了么,嗅探成功。
A对这个变化一点都没有意识到,但是接下来的事情就让A产生了怀疑。因为A和C连接不上了。D对接收到A发送给C的数据包可没有转交给C。做“man in the middle”,进行ARP重定向。打开D的IP转发功能,A发送过来的数据包,转发给C,好比一个路由器一样。不过,假如D发送ICMP重定向的话就中断了整个计划。
D直接进行整个包的修改转发,捕获到A发送给C的数据包,全部进行修改后再转发给C,而C接收到的数据包完全认为是从A发送来的。不过,C发送的数据包又直接传递给A,倘若再次进行对C的ARP欺骗。现在D就完全成为A与C的中间桥梁了,对于A和C之间的通讯就可以了如指掌了。
他网吧用的路由器是TP-link 480+,因为对这个设备不了解(我从来都不用这个牌子的,无论是路由器还是交换机,因为以前我局用Tp-link400的时候被这路由搞晕死了,所以自从那之后就建议公司把这些垃圾全部清除,呵呵,是这些厂家的同志别打我,因为这是我个人的感觉,嘿嘿。。。)言归正状:)刚好我公司有申请一批路由,本来我的意思是买VIGOR系列的,可是这个本分公司没办法做主,总公司分给我们的是HIPER 3300NB
刚好看了HIPER网站的资料,他们有防止ARP这块,嘿嘿,那好,就拿来试试了,于是就开始我们侦察工作了
HiPER用户快速发现ARP欺骗木马
在路由器的“系统历史记录”中看到大量如下的信息(440以后的路由器软件版本中才有此提示):
MAC Chged 10128103124
MAC Old 00:01:6c:36:d1:7f
MAC New 00:05:5d:60:c7:18
这个消息代表了用户的MAC地址发生了变化,在ARP欺骗木马开始运行的时候,局域网所有主机的MAC地址更新为病毒主机的MAC地址(即所有信息的MAC New地址都一致为病毒主机的MAC地址),同时在路由器的“用户统计”中看到所有用户的MAC地址信息都一样。
如果是在路由器的“系统历史记录”中看到大量MAC Old地址都一致,则说明局域网内曾经出现过ARP欺骗(ARP欺骗的木马程序停止运行时,主机在路由器上恢复其真实的MAC地址)。
在局域网内查找病毒主机
在上面我们已经知道了使用ARP欺骗木马的主机的MAC地址,那么我们就可以使用NBTSCAN(可以到百度搜索下载)工具来快速查找它。
NBTSCAN可以取到PC的真实IP地址和MAC地址,如果有”传奇木马”在做怪,可以找到装有木马的PC的IP/和MAC地址。
命令:“nbtscan -r 19216810/24”(搜索整个19216810/24网段, 即19216811-1921681254);或“nbtscan 192168125-127”搜索192168125-127 网段,即192168125-1921681127。输出结果第一列是IP地址,最后一列是MAC地址。
NBTSCAN的使用范例:
假设查找一台MAC地址为“000d870d585f”的病毒主机。
1)将压缩包中的nbtscanexe 和cygwin1dll解压缩放到c:\下。
2)在Windows开始运行打开,输入cmd(windows98输入“command”),在出现的DOS窗口中输入:C:\nbtscan -r 19216811/24(这里需要根据用户实际网段输入),回车。
C:\Documents and Settings\ly>C:\nbtscan -r 19216811/24
Warning: -r option not supported under Windows Running without it
Doing NBT name scan for addresses from 19216811/24
IP address NetBIOS Name Server User MAC address
------------------------------------------------------------------------------
19216810 Sendto failed: Cannot assign requested address
192168150 SERVER 00-e0-4c-4d-96-c6
1921681111 LLF
1921681121 UTT-HIPER 00-0d-87-26-7d-78
1921681175 JC 00-07-95-e0-7c-d7
1921681223 test123
3)通过查询IP--MAC对应表,查出“000d870d585f”的病毒主机的IP地址为“1921681223”。
解决思路
1、不要把你的网络安全信任关系建立在IP基础上或MAC基础上,(rarp同样存在欺骗的问题),理想的关系应该建立在IP+MAC基础上。
2、设置静态的MAC-->IP对应表,不要让主机刷新你设定好的转换表。
3、除非很有必要,否则停止使用ARP,将ARP做为永久条目保存在对应表中。
4、使用ARP服务器。通过该服务器查找自己的ARP转换表来响应其他机器的ARP广播。确保这台ARP服务器不被黑。
5、使用"proxy"代理IP的传输。
6、使用硬件屏蔽主机。设置好你的路由,确保IP地址能到达合法的路径。(静态配置路由ARP条目),注意,使用交换集线器和网桥无法阻止ARP欺骗。
7、管理员定期用响应的IP包中获得一个rarp请求,然后检查ARP响应的真实性。
8、管理员定期轮询,检查主机上的ARP缓存。
9、使用防火墙连续监控网络。注意有使用SNMP的情况下,ARP的欺骗有可能导致陷阱包丢失。
嘿嘿,原理HIPER还有给出解决方案
HiPER用户的解决方案
建议用户采用双向绑定的方法解决并且防止ARP欺骗。
1、在PC上绑定路由器的IP和MAC地址:
1)首先,获得路由器的内网的MAC地址(例如HiPER网关地址1921681254的MAC地址为0022aa0022aa)。
2)编写一个批处理文件rarpbat内容如下:
@echo off
arp -d
arp -s 1921681254 00-22-aa-00-22-aa
将文件中的网关IP地址和MAC地址更改为您自己的网关IP地址和MAC地址即可。
将这个批处理软件拖到“windows--开始--程序--启动”中。
3)如果是网吧,可以利用收费软件服务端程序(pubwin或者万象都可以)发送批处理文件rarpbat到所有客户机的启动目录。Windows2000的默认启动目录为“C:\Documents and Settings\All Users「开始」菜单程序启动”。
2、在路由器上绑定用户主机的IP和MAC地址(440以后的路由器软件版本支持):
在HiPER管理界面--高级配置--用户管理中将局域网每台主机均作绑定。
解决ARP攻击的方法
故障原因
局域网内有人使用ARP欺骗的木马程序(比如:传奇盗号的软件,某些传奇外挂中也被恶意加载了此程序)。
故障原理
要了解故障原理,我们先来了解一下ARP协议。
在局域网中,通过ARP协议来完成IP地址转换为第二层物理地址(即MAC地址)的。ARP协议对网络安全具有重要的意义。通过伪造IP地址和MAC地址实现ARP欺骗,能够在网络中产生大量的ARP通信量使网络阻塞。
ARP协议是“Address Resolution Protocol”(地址解析协议)的缩写。在局域网中,网络中实际传输的是“帧”,帧里面是有目标主机的MAC地址的。在以太网中,一个主机要和另一个主机进行直接通信,必须要知道目标主机的MAC地址。但这个目标MAC地址是如何获得的呢?它就是通过地址解析协议获得的。所谓“地址解析”就是主机在发送帧前将目标IP地址转换成目标MAC地址的过程。ARP协议的基本功能就是通过目标设备的IP地址,查询目标设备的MAC地址,以保证通信的顺利进行。所以说从某种意义上讲ARP协议是工作在更低于IP协议的协议层。这也是为什么ARP欺骗更能够让人在神不知鬼不觉的情况下出现网络故障,他的危害更加隐蔽。
首先我们可以肯定一点的就是发送ARP欺骗包是通过一个恶毒的程序自动发送的,正常的TCP/IP网络是不会有这样的错误包发送的,而人工发送又比较麻烦。也就是说当黑客没有运行这个恶毒程序的话,网络上通信应该是一切正常的,保留在各个连接网络计算机上的ARP缓存表也应该是正确的,只有程序启动开始发送错误ARP信息以及ARP欺骗包时才会让某些计算机访问网络出现问题。接下来我们来阐述下ARP欺骗的原理。
每台安装有TCP/IP协议的电脑里都有一个ARP缓存表,表里的IP地址与MAC地址是一一对应的,如下表所示。
主机 IP地址 MAC地址
A 192168161 aa-aa-aa-aa-aa-aa
B 192168162 bb-bb-bb-bb-bb-bb
C 192168163 cc-cc-cc-cc-cc-cc
D 192168164 dd-dd-dd-dd-dd-dd
我们以主机A(192168161)向主机B(192168162)发送数据为例。当发送数据时,主机A会在自己的ARP缓存表中寻找是否有目标IP地址。如果找到了,也就知道了目标MAC地址,直接把目标MAC地址写入帧里面发送就可以了;如果在ARP缓存表中没有找到相对应的IP地址,主机A就会在网络上发送一个广播,目标MAC地址是“FFFFFFFFFFFF”,这表示向同一网段内的所有主机发出这样的询问:“192168162的MAC地址是什么?”网络上其他主机并不响应ARP询问,只有主机B接收到这个帧时,才向主机A做出这样的回应:“192168162的MAC地址是bb-bb-bb-bb-bb-bb”。这样,主机A就知道了主机B的MAC地址,它就可以向主机B发送信息了。同时它还更新了自己的ARP缓存表,下次再向主机B发送信息时,直接从ARP缓存表里查找就可以了。ARP缓存表采用了老化机制,在一段时间内如果表中的某一行没有使用,就会被删除,这样可以大大减少ARP缓存表的长度,加快查询速度。
从上面可以看出,ARP协议的基础就是信任局域网内所有的人,那么就很容易实现在以太网上的ARP欺骗。对目标A进行欺骗,A去Ping主机C却发送到了DD-DD-DD-DD-DD-DD这个地址上。如果进行欺骗的时候,把C的MAC地址骗为DD-DD-DD-DD-DD-DD,于是A发送到C上的数据包都变成发送给D的了。这不正好是D能够接收到A发送的数据包了么,嗅探成功。
A对这个变化一点都没有意识到,但是接下来的事情就让A产生了怀疑。因为A和C连接不上了。D对接收到A发送给C的数据包可没有转交给C。
做“man in the middle”,进行ARP重定向。打开D的IP转发功能,A发送过来的数据包,转发给C,好比一个路由器一样。不过,假如D发送ICMP重定向的话就中断了整个计划。
D直接进行整个包的修改转发,捕获到A发送给C的数据包,全部进行修改后再转发给C,而C接收到的数据包完全认为是从A发送来的。不过,C发送的数据包又直接传递给A,倘若再次进行对C的ARP欺骗。现在D就完全成为A与C的中间桥梁了,对于A和C之间的通讯就可以了如指掌了。
加深印象再举一个例子阐述其原理:
第一步:假设这样一个网络,一个Hub或交换机连接了3台机器,依次是计算机A,B,C。
A的地址为:IP:19216811 MAC: AA-AA-AA-AA-AA-AA
B的地址为:IP:19216812 MAC: BB-BB-BB-BB-BB-BB
C的地址为:IP:19216813 MAC: CC-CC-CC-CC-CC-CC
第二步:正常情况下在A计算机上运行ARP -A查询ARP缓存表应该出现如下信息。
Interface: 19216811 on Interface 0x1000003
Internet Address Physical Address Type
19216813 CC-CC-CC-CC-CC-CC dynamic
第三步:在计算机B上运行ARP欺骗程序,来发送ARP欺骗包。
B向A发送一个自己伪造的ARP应答,而这个应答中的数据为发送方IP地址是192168103(C的IP地址),MAC地址是DD-DD-DD-DD-DD-DD(C的MAC地址本来应该是CC-CC-CC-CC-CC-CC,这里被伪造了)。当A接收到B伪造的ARP应答,就会更新本地的ARP缓存(A可不知道被伪造了)。而且A不知道其实是从B发送过来的,A这里只有192168103(C的IP地址)和无效的DD-DD-DD-DD-DD-DD mac地址。
第四步:欺骗完毕我们在A计算机上运行ARP -A来查询ARP缓存信息。你会发现原来正确的信息现在已经出现了错误。
Interface: 19216811 on Interface 0x1000003
Internet Address Physical Address Type
19216813 DD-DD-DD-DD-DD-DD dynamic
从上面的介绍我们可以清楚的明白原来网络中传输数据包最后都是要根据MAC地址信息的,也就是说虽然我们日常通讯都是通过IP地址,但是最后还是需要通过ARP协议进行地址转换,将IP地址变为MAC地址。而上面例子中在计算机A上的关于计算机C的MAC地址已经错误了,所以即使以后从A计算机访问C计算机这个19216813这个地址也会被ARP协议错误的解析成MAC地址为DD-DD-DD-DD-DD-DD的。
问题也会随着ARP欺骗包针对网关而变本加厉,当局域网中一台机器,反复向其他机器,特别是向网关,发送这样无效假冒的ARP应答信息包时,严重的网络堵塞就会开始。由于网关MAC地址错误,所以从网络中计算机发来的数据无法正常发到网关,自然无法正常上网。这就造成了无法访问外网的问题,另外由于很多时候网关还控制着我们的局域网LAN上网,所以这时我们的LAN访问也就出现问题了。
前面也提到了ARP欺骗可以造成内部网络的混乱,让某些被欺骗的计算机无法正常访问内外网,让网关无法和客户端正常通信。实际上他的危害还不仅仅如此,一般来说IP地址的冲突我们可以通过多种方法和手段来避免,而ARP协议工作在更低层,隐蔽性更高。系统并不会判断ARP缓存的正确与否,无法像IP地址冲突那样给出提示。而且很多黑客工具例如网络剪刀手等,可以随时发送ARP欺骗数据包和ARP恢复数据包,这样就可以实现在一台普通计算机上通过发送ARP数据包的方法来控制网络中任何一台计算机的上网与否,甚至还可以直接对网关进行攻击,让所有连接网络的计算机都无法正常上网。这点在以前是不可能的,因为普通计算机没有管理权限来控制网关,而现在却成为可能,所以说ARP欺骗的危害是巨大的,而且非常难对付,非法用户和恶意用户可以随时发送ARP欺骗和恢复数据包,这样就增加了网络管理员查找真凶的难度。那么难道就没有办法来阻止ARP欺骗问题的发生吗?下篇文章笔者将就这些内容进行讲解,让我们真真正正的和ARP欺骗说再见。
故障现象
当局域网内某台主机运行ARP欺骗的木马程序时,会欺骗局域网内所有主机和路由器,让所有上网的流量必须经过病毒主机。其他用户原来直接通过路由器上网现在转由通过病毒主机上网,切换的时候用户会断一次线。
切换到病毒主机上网后,如果用户已经登陆了传奇服务器,那么病毒主机就会经常伪造断线的假像,那么用户就得重新登录传奇服务器,这样病毒主机就可以盗号了。
由于ARP欺骗的木马程序发作的时候会发出大量的数据包导致局域网通讯拥塞以及其自身处理能力的限制,用户会感觉上网速度越来越慢。当ARP欺骗的木马程序停止运行时,用户会恢复从路由器上网,切换过程中用户会再断一次线。
HiPER用户快速发现ARP欺骗木马
在路由器的“系统历史记录”中看到大量如下的信息(440以后的路由器软件版本中才有此提示):
MAC Chged 10128103124
MAC Old 00:01:6c:36:d1:7f
MAC New 00:05:5d:60:c7:18
这个消息代表了用户的MAC地址发生了变化,在ARP欺骗木马开始运行的时候,局域网所有主机的MAC地址更新为病毒主机的MAC地址(即所有信息的MAC New地址都一致为病毒主机的MAC地址),同时在路由器的“用户统计”中看到所有用户的MAC地址信息都一样。
如果是在路由器的“系统历史记录”中看到大量MAC Old地址都一致,则说明局域网内曾经出现过ARP欺骗(ARP欺骗的木马程序停止运行时,主机在路由器上恢复其真实的MAC地址)。
在局域网内查找病毒主机
在上面我们已经知道了使用ARP欺骗木马的主机的MAC地址,那么我们就可以使用NBTSCAN(下载地址:http://wwwuttcomcn/upload/nbtscanrar)工具来快速查找它。
NBTSCAN可以取到PC的真实IP地址和MAC地址,如果有”传奇木马”在做怪,可以找到装有木马的PC的IP/和MAC地址。
命令:“nbtscan -r 192168160/24”(搜索整个192168160/24网段, 即
192168161-19216816254);或“nbtscan 1921681625-137”搜索1921681625-137 网段,即1921681625-19216816137。输出结果第一列是IP地址,最后一列是MAC地址。
NBTSCAN的使用范例:
假设查找一台MAC地址为“000d870d585f”的病毒主机。
1)将压缩包中的nbtscanexe 和cygwin1dll解压缩放到c:下。
2)在Windows开始—运行—打开,输入cmd(windows98输入“command”),在出现的DOS窗口中输入:C:
btscan -r 192168161/24(这里需要根据用户实际网段输入),回车。
C:Documents and SettingsALAN>C:
btscan -r 192168161/24
Warning: -r option not supported under Windows Running without it
Doing NBT name scan for addresses from 192168161/24
IP address NetBIOS Name Server User MAC address
------------------------------------------------------------------------------
192168160 Sendto failed: Cannot assign requested address
1921681650 SERVER 00-e0-4c-4d-96-c6
19216816111 LLF ADMINISTRATOR 00-22-55-66-77-88
19216816121 UTT-HIPER 00-0d-87-26-7d-78
19216816175 JC 00-07-95-e0-7c-d7
19216816223 test123 test123 00-0d-87-0d-58-5f
3)通过查询IP--MAC对应表,查出“000d870d585f”的病毒主机的IP地址为“19216816223”。
解决思路
1、不要把你的网络安全信任关系建立在IP基础上或MAC基础上,(rarp同样存在欺骗的问题),理想的关系应该建立在IP+MAC基础上。
2、设置静态的MAC-->IP对应表,不要让主机刷新你设定好的转换表。
3、除非很有必要,否则停止使用ARP,将ARP做为永久条目保存在对应表中。
4、使用ARP服务器。通过该服务器查找自己的ARP转换表来响应其他机器的ARP广播。确保这台ARP服务器不被黑。
5、使用""proxy""代理IP的传输。
6、使用硬件屏蔽主机。设置好你的路由,确保IP地址能到达合法的路径。(静态配置路由ARP条目),注意,使用交换集线器和网桥无法阻止ARP欺骗。
7、管理员定期用响应的IP包中获得一个rarp请求,然后检查ARP响应的真实性。
8、管理员定期轮询,检查主机上的ARP缓存。
9、使用防火墙连续监控网络。注意有使用SNMP的情况下,ARP的欺骗有可能导致陷阱包丢失。
HiPER用户的解决方案
建议用户采用双向绑定的方法解决并且防止ARP欺骗。
1、在PC上绑定路由器的IP和MAC地址:
1)首先,获得路由器的内网的MAC地址(例如HiPER网关地址19216816254的MAC地址为0022aa0022aa局域网端口MAC地址>)。
2)编写一个批处理文件rarpbat内容如下:
@echo off
arp -d
arp -s 19216816254 00-22-aa-00-22-aa
将文件中的网关IP地址和MAC地址更改为您自己的网关IP地址和MAC地址即可。
将这个批处理软件拖到“windows--开始--程序--启动”中。
pppoe目前市面上的软件都是使用linux系统,安装有点麻烦,
1。建议你使用pppoe路由器,可以达到这个功能。
http://wwwuttcomcn/productdetailphpmodelid=106
2。使用ISA软件来部署你公司的网络
3。Linux使用RouterOs来部署一个pppoe服务器。
http://netzolcomcn/116/1166594html
=========================================
我说的是3种解决方法:
1。 http://wwwuttcomcn/productdetailphpmodelid=106
这个路由器就带pppoe服务器,你登陆他的网页管理界面就可以增加删除pppoe账号来限制上网了,这种最稳定。
2。ISA Server也是一解决方案,它根据ip来判断限制上网的功能,不是pppoe的认证方式。(这个软件要花钱买的,而且加台电脑做服务器)
isa server是什么:
http://tiebabaiducom/fkz=367671407
3方案3和2差不多,只不过电脑用linux系统和linux的软件,软件可以不花银子。
---------
我推荐你使用方案1比较适合你,也最省钱,不需要加电脑。
其次3,软件和系统都是免费的(电脑还要一台),但你需要懂linux,设置服务器全是在命令下操作。
架好了报个喜给我!!!
我们经常用到的内存品牌有:海盗船、Kingston(金士顿)、Kingmax(胜创)、APACER(宇瞻)、三星(SAMSUNG)、现代(HYNIX)等。杂牌中用的颗粒编号较多的是EACH的以及KingMAN、KingRAM等等。海盗船内存主要用于服务器或者发烧玩家,我们大家在购买电脑的时候,在资金比较宽裕的情况下,推荐选购Kingston的VALUERAM盒装内存,以及APACER盒装内存(建议购买英飞凌”INFINEON“颗粒的)这两种内存提供内存的终身质保,品质上没有任何问题,大家完全可以放心使用。如果资金不是很宽裕,建议购买非打磨现代的内存,经实践证明原厂现代内存的兼容性在所有的内存中首屈一指。但是,现代的内存假货严重泛滥,关于其造假及售假方法将在下文中提到。如果你要购买现代的兼容内存,建议你一定要买富豪代理或者金霞代理的盒装正品。如果贪图便宜选择散装条子,那就要考考您的眼力了。基本上不推荐购买杂牌内存,杂牌内存在使用寿命和质保上都不能令人满意,最后说一下Kingmax内存之所以不推荐,就是因为Kingmax内存与某些主板(如早期NFORCE 2芯片组)的兼容性不是很好,但其自身的品质和性能绝对也是业界一流的。希望在购买的时候一定要当场试试,看有没有兼容性问题
现代颗粒:
作为全球几大内存颗粒生产厂家的现代公司自从进入中国以后假货也随之而来并且花样之多令人发寒。以往所谓的现代原厂内存不过是使用些小伎俩比如贴塑料纸,喷漆等下三滥的REMARK手段,而现在真正的仿冒品出来了,不仔细看的话真的会被假货所蒙骗。同时HY公司的内存颗粒一直以来算的上中规中矩,除了稳固TSOP II封装的颗粒外,根本没有生产过其他封装的产品,这里就暴露了假货的致命点。虽然外观漂亮,但是最终难逃假货的命运。
目前现代主流的内存颗粒有两种,默认频率在200MHz的D-43颗粒以及250MHz的D-5颗粒。
海力士(Hynix)颗粒:
与英飞凌的情况类似,海力士以前是韩国现代电子公司的子公司现代半导体公司,后来从母公司中独立,改名为Hynix,所以严格的说,它的产品不能再称之为“现代内存”了。
KINGSTON系列:
虽然他比KINGMAX出道晚,但是他却以迅雷不及掩耳的速度在国内走红,可能最主要的原因就是内存质量了。同样市场上也就出现了仿冒的盒装KINGSTON。辨别是否是正品非常的简单。首先,正品的封口贴纸印刷色彩丰富。假冒的产品则逊色很多。
如果不能通过包装外表来识破真假,那么就看看内存颗粒,假货为了节省成本通常使用廉价的杂牌内存颗粒,而正品则是以SAMSUNG,HY等为主的。但是必须要提防打磨的颗粒。还有一招就是拨打内存上的800电话来辨别真假。
三星原厂颗粒:
三星与现代原厂内存一直都是比较崇尚的,自从去年进入市场以来也都没有过的清闲,频繁受到了仿冒品的骚扰。
现在的所谓三星原厂的仿冒品如同以前的散装条,做工较为粗糙,PCB质量较为低劣,并且分量也不及原厂条来的重。内存颗粒的激光字体原厂的非常清晰,而仿冒品则有摩擦过的痕迹。
内存的背面也可以看到真品的走线比较清晰自然,而仿冒品则比较零乱,包括焊点的质量,谁真谁假一目了然。
为了防止仿冒品三星原厂内存的代理商未雨绸缪的使用了防伪技术,在真品的内存中贴上了一张镭射三星金条的贴纸,同时整体原厂的包装中也附带有了一张质量保证卡。相信这些仿冒者除非下血本,不然还是难以与真品的附件质量相抗衡的。
三星内存颗粒上的编号“TC”,其中的“T”代表采用TSOP封装方式。
一、三星DDR系列内存芯片:
三星TCB3颗粒:
TCB3是三星推出的6ns DDR颗粒,可以稳定地工作在PC2700, 2-2-2-X的时序,参数非常优秀,此外它同样可以工作在PC3200,但是不能继续维持这么高的时序,200MHz时的时序为2-3-3-6,不过也已经很不错了。TCB3的频率极限在230MHz左右,对于对于默认为166MHz的内存来说超频幅度很大,TCB3对于电压并不太敏感,30V电压下频率提升也不是很大。现在来看这种颗粒有些过时。
三星TCCC颗粒:
TCCC是三星TCC系列(PC3200)里面编号为“C”的颗粒,表示其PC3200时预设CAS值为3。TCCC可以工作在250-260MHz,3-4-4-8的时序,而默认200MHz时可以保持25-3-3-6的时序,由于TCCC颗粒的售价比较便宜,因此和现代的D43一起成为性价比出色的代表。此外不少DDR500内存同样采用了TCCC颗粒,不过由于已经接近极限频率,留给这款内存的超频空间已经很小了。电压对于TCCC颗粒的超频有一定的影响,不过在28V时已经基本可以达到最高频率。
三星TCC4颗粒:
TCC4:TCC4是三星的另外一款5ns的DDR400内存颗粒,不过并不常见,在一些品牌的PC3200低端内存甚至是PC2700内存上面可以看到它。TCC4并不太适合超频用户,因为在加压情况下最高也只能稳定在210-220MHz,3-3-3-X的时序模式下,对电压很不敏感,只适合追求容量和性价比的用户。
三星TCC5颗粒:
TCC5:TCC5是三星TCC系列的一款新产品,在各方面比它的前辈TCC4都要优秀很多,一般多用在DDR466内存产品上,超频性能很不错。这款内存的默认工作频率为233MHz,初始频率比TCC4要高,默认工作时序可以达到25-3-3-X,在超频模式下,可以工作在250MHz和3-4-4-X的时序下,对于电压也不太敏感。这款颗粒相比TCCC和现代的D43来说并不常见,售价相对较高,对于AMD,Intel的平台都比较适应,200MHz下可以提供不错的时序,而超频状态下可以提供不错的频率,是一个不错的选择。
三星TCCD颗粒:
TCCD:TCCD是另一款经典高频颗粒,可以在2-2-2-X的时序下稳定工作在220MHz,也可以在25-4-4-X的时序下以超过300MHz的频率稳定运行,是目前工作频率最高的DDR内存芯片。TCCD对于电压的比较敏感,但是并不需要太高的电压就可以完全进入高效状态,在28V或者更低电压下即可达到,几乎适用于所有的主流主板。目前采用TCCD颗粒的内存产品在绝大多数主板上可以轻松达到DDR600的水准,可以满足不同用户的需要。TCCD和BH-5相比在高频时候的参数不足可以通过更高的工作频率来弥补。目前几乎所有的内存频宽记录都是由TCCD创造的,不少采用TCCD颗粒的品牌内存已经成为超频玩家们追捧的对象。
三星UCCC颗粒:
此外三星UCCC内存颗粒低延迟特性也为玩家所追捧,选用UCCC颗粒的DDR400内存条,默认工作时序为3-3-3-6,在不加电压超频模式下,可以工作在240MHz和25-3-3-X下。相对价格也要便宜一些,非常适合大众选择。
三星DDR2系列内存芯片
GCCC是目前最常见的三星颗粒,多用于DDR2-400产品
使用三星ZCD5颗粒的三星金条DDR2-533内存在不加电压超频情况下,能够以4-4-4-X的时序稳定工作在DDR2-667模式,更具备挑战DDR2-900的实力。
目前全球速度最快的三星金条DDR2-800采用三星ZCE7颗粒
最近生产的三星颗粒上,厂家标识已经从原来的“SAMSUNG”改为“SEC”了
DDR2时代,三星全面进入到GC和ZC(G为FBGA封装方式,Y为FBGA-LF)系列,另外还有SC和YC,并采用90nm生产工艺,使相同晶元可以生产出更多的颗粒,从而降低了成本。YC是外形最小的一种封装方式,性能表现也最好,现在市面上很少见到。
目前较常见到的有GCCC(多用于DDR2-400)、5/ZCD5(多用于DDR2-533)、6/GCE6(多用于DDR2-667)、GCF7/GCE7(多用于DDR2-800)等;这些内存颗粒在超频方面同样有着不容小视的实力,且仍保持低延迟风格。不过经过编号更改后(由SAMSUNG改为SEC),默认时序参数已设定得较为保守,不过某些DDR2-533默认延迟仍设定在4-4-4-10上。通常情况下三星DDR2-533内存时序参数可以稳定在3-3-3-4上,优势明显,这也是为什么三星金条内存品质非常好的一个原因。GCCC和5颗粒大都具备在5-5-5-15参数下超频至DDR2-800以上水平。三星金条作为韩国三星电子的原厂原装内存,多选用这种颗粒。
KINGMAX系列:
KINGMAX的产品以他的TINYBGA封装形式得以闻名,同时因为技术的独特性也一定程度抑制了假货的生存。在去年KINGMAX为了丰富自己的产品线推出了一个SUPER-RAM的系列,这个系列采用了TSOP封装技术,当然这也给仿冒工厂带来了又一个利润点。
不过KINGMAX公司也意识到了这一点,对这个系列的内存使用了非常多的防伪手段。最另人值得注意的就是PCB板正面SPD下方新设计一颗ASIC芯片(特殊用途芯片),该颗粒采用KINGMAX专利的TinyBGA技术进行封装,内部存储了ID CODE,具有全球统一识别码,也就是说拥有唯一性,同时还附上了800电话的查询贴纸,这样假货就无处藏身了。
Kingmax内存都是采用TinyBGA封装(Tiny ball grid array)。并且该封装模式是专利产品,所以采用Kingmax颗粒制作的内存条全是该厂自己生产。Kingmax内存颗粒有两种容量:64Mbits和128Mbits。在此可以将每种容量系列的内存颗粒型号列表出来。
容量备注:
KSVA44T4A0A——64Mbits,16M地址空间 × 4位数据宽度;
KSV884T4A0A——64Mbits,8M地址空间 × 8位数据宽度;
KSV244T4XXX——128Mbits,32M地址空间 × 4位数据宽度;
KSV684T4XXX——128Mbits,16M地址空间 × 8位数据宽度;
KSV864T4XXX——128Mbits,8M 地址空间 × 16位数据宽度。
Kingmax内存的工作速率有四种状态,是在型号后用短线符号隔开标识内存的工作速率:
-7A——PC133 /CL=2;
-7——PC133 /CL=3;
-8A——PC100/ CL=2;
-8——PC100 /CL=3。
例如一条Kingmax内存条,采用16片KSV884T4A0A-7A 的内存颗粒制造,其容量计算为: 64Mbits(兆数位)×16片/8=128MB(兆字节)。
Winbond(华邦)系列
Winbond(华邦)是台湾著名的内存芯片生产商,该公司生产的DDR内存颗粒在玩家心目中的地位是其他任何厂商没办法取代的,该公司的BH-5内存芯片已经成为高档内存的代名词。
1、BH-5
BH-5是华邦公司最出名的内存颗粒,也可以称得上到目前位置最出名的内存颗粒!这些颗粒以其超强的内存参数而著称,并且对于电压相当地敏感;大多数的BH-5颗粒可以工作在2-2-2-X的参数下,当然在32-34V高压下,部分采用BH-5颗粒的极品内存甚至工作在280MHZ的频率,并且仍然维持2-2-2-x这样的时序。
当然这样体质的BH-5颗粒还比较少见,对于内存的整体要求也相当高。如果你的主板不支持28V以上的内存电压调节,采用BH-5颗粒的内存或许不太适合你,但是对于那些狂热的超频玩家来说,OCZ的DDR booster可以帮助他们榨干BH-5的所有能量,最高39V的电压可以轻松让你的BH5达到DDR500,2-2-2-X以上,当然笔者不推荐正常使用中采用这么高的电压(毕竟大多数采用BH5颗粒的内存默认电压为25-26V之间)。
2003年是BH-5颗粒产量最多的一年,但目前华邦已经宣布停产BH-5颗粒,因此现在的市面上新售内存中采用BH-5的比例非常少,多数出现在售价超贵的高端内存中,如Mushkin Black Level ram,Kingston Hyper X,Corsair XMS,TwinMos,Buffalo以及极少数低端内存产品中;当然另外一种寻找BH-5内存的方法就是在销售商的库存产品中,或二手市场,网友之间的交易来获得。
2、CH-5
CH-5颗粒是华邦公司继BH-5以后推出的另外一款试用于DDR400内存产品的内存芯片,可以称之为BH-5的缩水版,为什么这样说呢?因为CH-5超频后工作参数一般只能达到2-3-2-X,频率在220-230MHZ左右,和BH-5相差甚远;并且对于电压的敏感程度比不上BH-5,高于3V的电压通常也起不到太明显的效果,这种现象虽然主要还是内存颗粒的本身体质来决定的,但是和内存厂商的PCB板设计,用料还是脱不了干系的。
不同批次的CH-5颗粒的差别也很大,一些少数CH-5颗粒同样可以达到BH-5所能够达到的成绩,当然几率非常小。目前华邦仍然在继续生产CH-5颗粒,在BH-5停产后,缩水版的CH-5也逐渐被很多高端内存所选购,成为新一代的“极品”,不少采用CH-5颗粒的内存在适当的加压后可以工作在200MHZ 2-2-2-X的模式下,目前Corsair XMS,Kingston Hyper X以及其他几个高端品牌的内存产品的一些型号均采用了CH-5颗粒。
3、BH-6
BH-6作为BH-X系列的6ns版本,同样具有非常不错的性能,某些批次的BH-6的超频性能甚至能够比得上同门大哥BH-5,大多数BH-6同样可以工作在2-2-2-2X的参数下,并且在32-34V电压下可以稳定工作在240-250MHz。
不过由于华邦在推出BH-6颗粒不久后由于产能不足停止了该型号颗粒的生产,因此相比BH-5颗粒来说BH-6颗粒数量更为稀少。Mushkin Special 2-2-2,Corsair XMS,Kingston Hyper X,Kingston Value Ram PC2700等型号的内存产品上采用了BH-6颗粒。
4、CH-6
CH-6是华邦CH-X系列的6ns版本,虽然大家对这款华邦低端DDR颗粒不是很看好,但是它仍然继承了华邦系列一贯的优秀品质。CH-6在大多数情况下和CH-5很相似,不过不太容易稳定在2-2-2-X的时序,和CH-5一样同样对于电压不是很敏感,最高的工作频率应该是220MHz,2-3-2-X的时序。CH-6面对的是性价比比较高的市场,在一些较低端的内存产品上比较常见,如Kingston Value Ram,Corsair Value Ram以及Mushkin Basic系列。
5、UTT
UTT是华邦最新推出的DDR内存颗粒,可以说和BH-5颗粒非常相似,无论是能够达到的极限频率以及工作时序,和BH5不同的是UTT颗粒需要稍高的电压才能做到这些,因此大多数超频玩家选择让UTT在34-36V的电压下工作。
UTT在一点上做的要比BH-5颗粒出色,那就是UTT颗粒无论是双面还是单面分布超频性能几乎相同,但BH-5更偏爱单面分布的方式,因此BH-5系列内存的最好超频搭配为2x256MB,但UTT无论是2x256mb或者是2x512MB的搭配都同样出色,这一优势在1GB内存成为主流容量的今天显得特别重要,512MB的容量在对付主流的3D游戏和软件应用已经捉襟见肘。
UTT颗粒在辨认上显得有点困难,可以通过印刷在颗粒表面的商标很容易地辨认出上面介绍的华邦其他四款内存芯片,但是UTT的颗粒印刷种类比较多,在寻找的时候会带来不小的难度。UTT常见的颗粒表面印着MTec或者Twinmos的商标,并且拥有华邦系列内存的特征(颗粒正面左右对称分布2个凹进去的小圆圈,内存的侧面可以看到两个短距离的金属横片)。
一般具备华邦内存颗粒特征但是没有印刷BH-5/CH-5的DDR400颗粒通常就是UTT颗粒了。一但拥有了采用UTT颗粒的内存,你会发现拥有1GB容量并且可以工作在275MHz 2-2-2-X时序的内存是多么值得兴奋的事。目前你可以在OCZ Gold VX系列 OCZ Value VX系列, TwinMos Speed Premium 系列以及其他多种品牌的低价内存上看到它的身影。1GB容量的售价在150美元左右,非常超值。
华邦系列内存颗粒的特征-颗粒正面左右对称分布2个凹进去的小圆圈,内存的侧面可以看到两个短距离的金属横片。
镁光(Micron)系列颗粒
镁光系列DDR内存颗粒以出色的超频性能以及兼容性好而著称,好多超频玩家称之为“中庸内存”,在中端领域镁光的颗粒无人能敌。目前常见的DDR颗粒包括-5B C/-5B G系列。
1、-5B C
说实话镁光的5B系列颗粒本来应该十分热卖才对,这款-5B C颗粒不仅能够达到很高的频率并且同时拥有很棒的时序,通常可以稳定工作在230MHz,25-2-2-X,虽然CAS延迟不能达到20或者更低,但是TRD和TRP却很低,均可稳定在时序2,当然工作频率还可以上的更高。-5B C对于电压同样很敏感,在30V电压下基本上可以达到最高频率250MHz以上。
镁光的颗粒的效能非常好,CAS25可以和BH-5系列CAS2相聘美,此外该款内存的异步性能非常好,对于高端的Athlon64,Intel平台处理器FSB的提升尤其有帮助。目前多家厂商推出的PC3200内存均采用了镁光的这款芯片,其中最引人注目的就是日本的Buffalo品牌,此外还包括Crucial,OCZ和其他品牌。
-5B G
-5B G颗粒是镁光针对前者-5B C的改进版,虽然同样为5ns芯片,但是所能达到的最高频率要高于前者,著名的Crucial Ballistix系列内存就采用了这款型号的内存颗粒,不仅工作频率高,内存时序也相当出色。
-5B G颗粒可以在保持较高频率的同时拥有出色的时序,大多数-5B G可以工作在250-260MHz,25-2-2-X的时序,比大多数现代的D43/D5颗粒都要出色,目前1GB容量Crucial Ballistix的售价在250美元左右,此外你还可以在镁光原厂DDR400上发现这款颗粒的身影。
美光内存芯片编号的说明如下:
美光科技的编号相当详细,这是因为它将所有的DRAM芯片编号进行了统一,包括久远的EDO(在一些专用设备上仍然会使用到它)和未来的DDR-2芯片,所以也显得参数很多,甚至在封装类型中还体现出有铅和无铅(Lead Free)封装,但好在分类还是比较清楚的。值得注意的是芯片的版本,其规则也基本与三星的一样,越靠后越新,但会有一些特殊的规定,如果是LF、S2、SF、T2等标识则代表了该产品集成了两个内核,可以认为是堆叠式(Stack)封装)。而特殊功能则是指产品所具备的一些功能可选项,但自刷新(Self Refresh)自从16Mb的SDRAM以后就是标准的设计,所以这一项是无关紧要的。
在芯片结构方面,表示容量单位的字母(K、M、G,这三个字母大家应该很熟悉了吧)后面的数字就是芯片的位宽,它乘以前面的字母与数字组合的结果就是芯片的容量,单位是Bit。比如图中的例子是32M8,代表的是位宽为8bit,乘以32M,总容量为256Mbit。
Micron(美光)内存颗粒的容量辨识相对于三星来说简单许多。下面就以MT48LC16M8A2TG-75这个编号来说明美光内存的编码规则。
含义:
MT——Micron的厂商名称。
48——内存的类型。48代表SDRAM;46 代表DDR。
LC——供电电压。LC代表3V;C 代表5V;V 代表25V。
16M8——内存颗粒容量为128Mbits,计算方法是:16M(地址)×8位数据宽度。
A2——内存内核版本号。
TG——封装方式,TG即TSOP封装。
-75——内存工作速率,-75即133MHz;-65即150MHz。
以上面的芯片图为例,可以看出它的容量是256Mbit,位宽8bit,采用TSOP-II封装,产品版本应该是第一代(没有版本编号)、速度为DDR-400(3-3-3)。
实例:一条Micron DDR内存条,采用18片编号为MT46V32M4-75的颗粒制造。该内存支持ECC功能。所以每个Bank是奇数片内存颗粒。
其容量计算为:容量32M ×4bit ×16 片/ 8=256MB(兆字节)。
Infineon(英飞凌)系列颗粒
Infineon(英飞凌)科技作为内存界的元老,其在SD时代的超频性能无人能敌,并且具备完美的兼容性能。有人将Infineon称为西门子(Siemens),事实上英飞凌的前身是西门子半导体公司,在SDRAM时代,我们经常看到Siemens字样的内存,但如今Infineon早已独立,所以今后不再叫它是西门子内存了。目前英飞凌常见的几款DDR内存颗粒在超频上都有不错的表现。
1、B5
这是英飞凌的5ns内存颗粒,不过并不多见,因为仅有Corsair XMS3200 rev 31这款内存使用了B5颗粒,默认设置为200MHz,2-3-3-6时序,相当不错,总体特征和华邦的CH-6颗粒很类似。B5颗粒对电压同样敏感,不过没有华邦的颗粒那么明显,即使加压后超频幅度也很一般,在29-30V的电压下只能工作在220-230MHz,尝试超过这个电压更是在浪费时间。
2、BT-6
这款是英飞凌的6ns颗粒,主要使用在PC2700内存产品上,和B5很类似,仅是在超频幅度上略逊于后者。Kingston的KVR2700就是采用了BT-6颗粒,可以稳定工作在215MHz,25-3-3-11的时序;目前6ns的BT-6算是比较落伍了,不过可以轻松达到200MHz,CAS25的水准,如果想要达到更高的频率和参数,就要在电压上下功夫了。综合来说,BT-6的好处就是以PC2700的价格带给你PC3200的体验。
3、BT-5
目前最常见的英飞凌DDR400芯片就是BT-5,默认工作频率为200MHz,30-3-3-8,DDR400通常优化时序为25-3-2-X,显得一般,不过BT-5擅长的是频率制胜,并且对于电压敏感程度很高,在28V以上电压,BT-5颗粒大多可以工作在240MHz以上,少数可以达到275MHz,3-4-4-X的工作状态。目前在很多品牌包括英飞凌原厂的PC3200内存都采用了这款BT-5颗粒,是一款性价比不错的产品。
4、CE-5/BE-5
在BT-5 200MHz下的时序遭人诟病以后,英飞凌的另外一款5ns DDR颗粒进入了市场,CE-5颗粒可以稳定工作在200MHz 2-3-2-X时序,此外部分产品还可以上到260MHz以上的频率,不过目前采用CE-5颗粒的内存品质参差不齐,一部分产品甚至不能稳定在225MHz以上。此外最新推出的BE-5颗粒,可以单面实现512MB容量,在参数和极限速度上相比CE-5又有进步。
英飞凌内存芯片编号的说明如下:
在以前,有些人一看开头是HYB就以为是现代(HYUNHAI)的内存芯片,现在可就不要再出这种错误了。在最新的编号中,英飞凌将DDR和DDR-2的产品编号进行了统一,比如DDR-2 400与DDR-400的速度编号是一样的,但在具体的产品上所代表的含义并不一样。英飞凌的编号比较简明(由于DDR内存目前都是4个逻辑Bank,所以英飞凌也就取消了该编号,但估计到了DDR-2时代,由于多了8Bank的选项,估计还会有该编码)
西门子内存颗粒(实际上还是上面的英飞凌)
目前国内市场上西门子的子公司Infineon生产的内存颗粒只有两种容量:容量为128Mbits的颗粒和容量为256Mbits的颗粒。编号中详细列出了其内存的容量、数据宽度。Infineon的内存队列组织管理模式都是每个颗粒由4个Bank组成。所以其内存颗粒型号比较少,辨别也是最容易的。
HYB39S128400即128MB/ 4bits,“128”标识的是该颗粒的容量,后三位标识的是该内存数据宽度。其它也是如此,如:HYB39S128800即128MB/8bits;HYB39S128160即128MB/16bits;HYB39S256800即256MB/8bits。
Infineon内存颗粒工作速率的表示方法是在其型号最后加一短线,然后标上工作速率。
-75——表示该内存的工作频率是133MHz;
-8——表示该内存的工作频率是100MHz。
例如:
1条Kingston的内存条,采用16片Infineon的HYB39S128400-75的内存颗粒生产。其容量计算为: 128Mbits(兆数位)×16片/8=256MB(兆字节)。
1条Ramaxel的内存条,采用8片Infineon的HYB39S128800-75的内存颗粒生产。其容量计算为: 128Mbits(兆数位) × 8 片/8=128MB(兆字节)。
南亚科技(Nanya)
南亚内存芯片编号说明如下:
南亚的编号也是SDRAM、DDR SDRAM与DDR-2 SDRAM统一在起,而且也比较简明,在芯片结构方面,规则与美光的一样,并且也没有逻辑Bank数量的编码,在此不再详细说明了。不过,南亚代工的内存产品也非常多,如Elixir、PQI等,但这些产品已经非常少见,并且也没有对外公布明确的编码规则。
尔必达(ELPIDA)
尔必达是日立与NEC各自的内存分部合并的结果,也因此在产品的编号会有两种截然不同的规则与标识,早期以HM为开头的很可能就是原日立分部的延续,而目前则基本转移到了DD开头的编号规则。近期,尔必达的声势比较大,产销形势有明显的好转,采用其芯片的金士顿模组已经在国内上市,相信今后我们能见到越来越多采用尔必达芯片的产品。
尔必达内存芯片编号说明如下:
尔必达的编号也是比较简单的,需要指出的是,在速度编号的后面还有可能出现其他的编码,比如L,就代表低能耗,I则代表工业级产品,具有宽广的工作温度范围(-40至85°C),不过它们很不常见,在此就不多说了。另外,编码中的第一个字母E,一般不会有,在芯片上直接以DD形状,而E则变成了尔必达的英文名称——ELPIDA。
茂矽(MOSEL VITELIC)
茂矽内存芯片编号说明如下:
茂矽的编号也比较详细,而且比较明确,只是芯片结构一栏比较难以理解,我们可以这样看:前面的三位数是总容量,后面的两位数则是位宽(80=8bit、40=4bit、16=16bit、32=32bit),其他的就很好理解了。
2003年世界最大十家DRAM厂商排名:
从中可以看出,排名前十的厂商是三星(SAMSUNG,韩国)、美光(Micron,美国)、英飞凌(Infineon,德国)、Hynix(韩国)、南亚(Nanya,中国台湾)、尔必达(ELPIDA,日本)、茂矽(Mosel Vitelic,中国台湾),力晶(Powerchip,中国台湾)、华邦(Winbond,中国台湾)、冲电气(Oki,日本)。
最后要强调的是,所谓的主流厂商,就是指DRAM销售额世界排名前十位的厂商,有不少模组厂商也会自己生产内存芯片。但请注意,他们并不是真正的生产,而只是封装!像胜创(KingMax)、金士顿(Kingston)、威刚(ADATA、VDATA)、宇瞻(Apacer)、勤茂(TwinMOS)等都出过打着自己品牌的芯片,不过它们自己并不生产内存晶圆,而是从那些大厂购买晶圆再自己或找代工厂封装。
弄个光纤接入``然后在服务器上设置个局域网``光纤接在服务器上``然后弄个交换机``把服务器接在交换机的主接口上`最后把那些电脑全接在其他接口上``
每台电脑都和局域网连接``然后在服务器的计算机服务里面把为局域网的计算机分配IP这个选项打开``然后就OK拉``
出现这种情况:1,java环境变量 2,如何不是环境变量的原因,那就是java的jre版本问题,看webapps下面的docs里面有个runningtxt文件 有运行的版本要求
0条评论