arp - arpspoof from LAN to WAN - Stack Overflow
to customize your list.
Join the Stack Overflow Community
Stack Overflow is a community of 6.5 million programmers, just like you, helping each other.
J it only takes a minute:
I'm currently having problem to use arpspoof working under Linux platform to spoof from Local IP address to WAN ip address, But I've no idea on how to do this.
Local IP ubuntu host: 192.168.0.4
My router IP address : 192.168.0.1
Outside WAN : xxx.xxx.xxx.xxx
When I issue,
arpspoof -i eth0 -t 192.168.0.1 xxx.xxx.xxx.xxx
then, it works.
After that I reverse target to my ubuntu IP address, It won't able to worked.
arpspoof - i eth0 -t xxx.xxx.xxx.xxx 192.168.0.1
but it failed after ended with error messages said
arpspoof: couldn't arp for host xxx.xxx.xxx.xxx
Is it possible to reverse arpspoof from WAN to local?
37.8k97499
you cant spoof WAN networks, unless u can locally access one of the ISPs or HOPS and thats even difficult and need exp equipment
ARP Poisoning works inside a LAN. ARP(Address Resolution Protocol) is something which help the router,computer and other devices connected in the LAN to identify each other. It helps IP to MAC mapping. In ARP poisoning the attacker send false information usually to the router and the victim machine. The attacker tells the router the victim is him and he tell the victim that he is the router using fake ARP packets. This protocol is limited to LAN and we usually have point to point connections in the WAN side.
When you issue the first command
arpspoof -i eth0 -t 192.168.0.1 xxx.xxx.xxx.xxx
it tells the router which exist in LAN that the Public IP is your attacking computer. That is valid.
In the second command
arpspoof - i eth0 -t xxx.xxx.xxx.xxx 192.168.0.1
you tell arpspoof to send ARP packets to some WAN address that it couldn't find in the LAN.
Hence the error.
Your Answer
Sign up or
Sign up using Google
Sign up using Facebook
Sign up using Email and Password
Post as a guest
Post as a guest
By posting your answer, you agree to the
Not the answer you're looking for?
Browse other questions tagged
Stack Overflow works best with JavaScript enabled常用教程：
您现在的位置： > 教程 >
光纤接入互联网，路由器连接局域网，导致网络速度变慢的思考(下篇)
9:35:05 | ReadNums | 6298 | 标签
　　接上、中篇…
　　证据五:带机数量
　　说法:"本路由器带机量为200台。""本路由器最大允许带机量为253台。
　　误区:这种说法不准确。每一个网络繁忙程度大不相同，网吧里所有人都在埋头上网聊天、游戏，而且几乎所有数据都通过路由器WAN口，所以负载很重。但如果是一个企业网，大部分人都在忙着搞设计、写报告、做计划，同一时间只有小部分人在用网络，而且大部分数据都是在企业网内部流动，所以路由器负载很轻。在一个200台PC的企业网性能够用的路由器，放到网吧往往可能连50台PC都带不动。估算一个网络每台PC的平均数据流量也是不能做到精确的。这就象食堂人员做饭，只能估计平均每人吃四两，这一锅四斤大概够10人吃，但很可能有一天大家做了运动，胃口出奇地好，一锅饭只够6个人吃，或者哪一天流行感冒大家胃口普遍不好，再来5个人也够吃。矿工食堂的师傅要估计着平均每人吃六两，而女模特食堂的师傅可能只敢估计着平均每人吃一两。所以，较为客观的说法应该指明这个带机量是针对哪种类型网络的，而且数量是一个根据典型情况估算出来的范围，例如"网吧带机量150~250台(典型值)"，这种说法就负责任多了。第二种最大允许带机量的说法是唬人的，它的根据不是路由器的性能，而是DHCP最大可以分配的IP地址数，254个减掉自己用掉的一个就是253个。
　　用户进阶:带机数量只是一个估算值和经验值，一定要结合网络的实际状况来看待，准确的性能还是要看测试数据，Smartbits测试NAT开启64 Byte小包的LAN-to-WAN Throughput是多少pps(包每秒)。但带机数量对普通用户来说很直观，很好理解，大家在参考这个数据时一定要注意上面提到的几个误区。另外这个数据如果是出自大厂家、有信誉厂家之口，一般说法比较严谨，可信度高。如果是出自小厂家、杂牌厂家之口，一般说法比较含糊，可信度差。
　　证据六:WAN口数
　　说法:"此路由器是双WAN口，性能是单WAN口的两倍。""单WAN口带机量100台，双WAN口带机量200台。"
　　误区:这种说法混淆概念。一个路由器基础硬件和软件确定后，其处理能力或性能就确定了，不会随WAN口数的增减而有较大变化。有一种情况:路由器本身处理能力相对于WAN口出口带宽有富余，如路由器处理能力40M，WAN口出口带宽每线10M，由于受限于出口带宽，单WAN口路由器就只能有10M的吞吐量，双WAN口路由器则能有20M的吞吐量。从这个角度出发似乎网络性能提升了一倍，但这只是你网络配置合不合理的问题，路由器性能始终是40M，没变过。反过来说，如果路由器本身处理能力只有5M，不管是单WAN口还是双WAN口都只可能有5M的吞吐量。举例来说，一个工厂每天能做一万件产品，但只有一辆运货卡车，每天只能运送五千件产品，这时增加一辆运货卡车就很有效果。但如果每天产量只有三千件，也配了两辆运货卡车，就没什么作用，徒增成本。
　　用户进阶:现在市场上有不同品牌的一些多WAN口路由器在销售，但性能良莠不齐。一个路由器做多WAN口，首先要建立在路由器本身性能要够强的前提上，相对于出口带宽路由器处理能力有富余，如果本身处理能力有限，多WAN口就纯粹是一个摆设。大家在选择多WAN口路由器时，一定要小心考察其性能，有一点可供大家参考:如果路由器采用的是ARM7内核或相当性能处理器，主频小于100M，基本上可以判定其性能不足以做多WAN口。
　　三、如何正确地评价路由器性能及选购设备
　　前面分析了几个大家经常引用又容易误导大家评判的"证据"，并告诉大家应该怎样客观地看待这些"证据"。大家也许会问:你说这也不算数，那也不算数，那你告诉我到底怎么判断才对。这里要告诉大家一种Step-by-Step的四步判断法，供大家参考。
　　①选品牌:品牌在很大程度上代表厂商和产品的品质、信誉、服务等，选择产品从某种层面上讲就是在选择厂商和品牌。前面也讲到了选择诚实守信厂家产品的重要性，我们透过产品规格和性能的描述是否科学、严谨、清晰能了解到一个厂商的能力和是否讲诚信。目前中国宽带路由器市场上的品牌非常多，大致上可以分为三类。一类是进口知名品牌，如Linksys、Netgear、DrayTek，绝大部分是在台湾OEM/ODM专业大厂采购宽带路由器产品，产品品质一般有保证，除非使用地区有ISP兼容性问题，和局端不能互通(这是由于台湾和大陆地域性区隔原因造成的，一般很难解决)。厂家信誉一般也有保证，缺点是价格贵、英文界面(大部分)。第二类是本土知名大品牌，如TP-LINK，拥有自主研发和制造能力，本土化设计使产品非常符合国内用户需求和使用习惯，ISP兼容性好，品质、信誉有保证，性能价格比也非常高，是目前中国宽带路由器市场上最耀眼的品牌，业内普遍认为其市场占有率已超过50%。第三类是小品牌、杂牌，自己没有研发能力，又迫于成本压力，只能从台湾一些小厂进一些便宜、低质量板子，自己套个壳子贴上标签就出去卖，甚至有些不法之徒抄袭台湾小厂设计做产品，Copy硬件、复制软件，品质、信誉均无保证。由于这类厂家本身对路由器了解就很少，无知者无畏，另外还想通过不正当手段谋求利益，所以但往往叫得最凶、吹得最厉害的就是这些厂家。以上所讲的一、二类品牌是可选的，第三类不可取。
　　②排除法:产品是一个综合体，不能孤立地看待某一个"证据"。一个宽带路由器的性能依赖于硬件基础和软件设计，硬件是保证，软件是关键，并通过Throughput、带机数量等指标表现出来。前面讲过，做菜要主料、辅料、厨师都过硬才能做出好菜。宽带路由器也一样，处理器是主料，其他硬件是辅料，设计工程师是厨师，缺一不可。但市场上各种产品很多，而用户对每种产品能了解到的信息相对较少，大家在有限的信息条件下怎么办?我们可以采用逆向思维，既然很难全面地证明产品性能好，我们不妨先把不好的找出来。证明不好很简单，只要找到一个毛病就可以了，这就是排除法。比如我们知道了某个路由器采用的是ARM7内核处理器，就不用再去看其它的参数了，性能一定好不到那里去。排除法的关键是尽量多地了解信息，并根据掌握到的信息和前面告诉大家的对信息的分析鉴别方法，挖掘隐含内容，辨别其真伪，把不好的找出来。这样通过第二步我们又把选择范围大大地缩小了。
　　③多打听:兼听则明，偏听则暗，多听听其他人怎么说是了解一个产品既省事又有效的方法。向谁打听很重要，最好的方法之一是找有信誉专业媒体的横向测评数据，注意前提是有信誉和专业，既能做到客观公正又能测到点子上。相信按现在宽带路由器产品的市场地位及其发展速度，很多权威媒体在今年都会做类似的横向测评，大家可以关注。对于第一步中所讲的一、二类品牌产品，大家还可以就不清楚的地方直接打电话或发E-mail问厂家，一般能得到较客观回答。
　　④试试看:经过以上三步，大家基本上已经可以作出判断和选择了。如果可能，再实际试试看就更保险了。非专业人士可以直接把路由器安装到网络中用用看，注意要在网络最繁忙的时段试才能看出性能够不够，如网吧要在基本满座，最好大家都在玩"传奇"时测试。专业人士如果有设备和软件，可以做一下Smartbits测试和Chariot测试，重点测以下几项:Smartbits测试NAT开启64Byte小包的LAN-to-WANThroughput，最严格、最客观的性能数据;最大并发连接数及连接建立速度，在很大程度上影响带机能力;多连接下Chariot测试Throughput，也能较好地反映性能。
问题未解决：
内容实用原创，讲得很好。
感谢大家的支持。Global ( English )
Taiwan ( 繁體中文 )
Latin America ( Espa?ol )
China (简体中文)
登入您的帳號
帳號名稱 *
還沒有 MyVigor 帳號嗎 ? &&
熱門關鍵字
您目前位置：
如何建立同網段 LAN to LAN VPN
在標準的 LAN to LAN VPN 協定中，並不允許相同網段之間互相建立 VPN，必須為每個點設定不同的網段，才能確保 VPN 可以建立，但實際上我們往往很難去一一更動所有設備的 IP，例如已有許多伺服器或主機配置固定IP的龐大架構，一旦更改網段，則所有的主機都要配合變更IP位址以及 rule，工程可謂相當浩大。
為此居易 Draytek 推出了可以在同網段間建立 VPN 的解決方案，用戶只要使用指定型號的路由器即可達成在同網段之間建立VPN，以下使用 Vigor2925 為示範，並說明設定方法。
※ 並非所有機型都有支援同網段建立VPN功能，建議採購前先向本公司客服人員洽詢。
如下圖，假設 Vigor2925A & Vigor2925B 兩個區網下各有一台電腦 IP 為192.168.1.10，首先在 Vigor2925B 建立一組 VPN 設定檔，並指定一組不同於原本網段的虛擬網段給Vigor2925B（這裡使用192.168.20.0），當 Vigor2925A 區網下的電腦 192.168.1.10 要去存取 Vigor2925B 區網下的 192.168.1.10 時，只要輸入剛才設定的虛擬網段 IP 192.168.20.10，就能透過VPN通道連接到 Vigor2925B 底下的192.168.1.10，同樣的 Vigor2925A 也要建立一組虛擬網段（範例使用192.168.10.0），當 Vigor2925B 的電腦要來存取 Vigor2925A 底下的電腦（192.168.1.10）時，只要輸入192.168.10.10 即可進行溝通，如此就可以達成同網段雙向存取的效果。
1. 登入 Vigor2925A，此台設定為 VPN 撥入方，點選 "VPN 與遠端存取 & LAN to LAN & 索引編號1 "，輸入設定檔名稱後，勾選啟用設定檔，撥號方向選擇為撥入，閒置逾時修改為0秒。
2. 在撥入設定 & 允許撥入模式，勾選 IPSec 通道 & 指定遠端 VPN 閘道，並輸入 Vigor2925B 的 WAN IP位址，點選 IKE 預先共用金鑰後輸入 VPN 密碼
3. 先勾選含相同子網的 IPSec VPN，在遠端網路 IP 欄位輸入 Vigor2925B 的虛擬網段192.168.20.0，接著勾選轉換本機網路 LAN1 至 192.168.10.0 也就是&Vigor2925A 的虛擬網段。
4. 登入 Vigor2925B，此台設定為 VPN 撥出方，點選 " VPN 與遠端存取 & LAN to LAN & 索引編號1 "，輸入設定檔名稱後勾選啟用設定檔，撥號方向選擇為撥出，將永遠連線打勾。
5. 撥出伺服器類型勾選 IPSec 通道，並輸入 Vigor2925A 的 WAN IP 位址，點選 IKE預先共用金鑰後輸入 VPN 密碼，將 IPSec 安全防護方式修改為高級。
6. 先將右邊含相同子網的 IPSec VPN選項打勾，接著回到遠端網路IP欄位輸入 Vigor2925A 的虛擬網段192.168.10.0，轉換本機網路 LAN1 至 192.168.20.0 也就是 Vigor2925B 的虛擬網段。
7. 點選 " VPN與遠端存取 & 連線管理 " 查看 VPN 是否有成功建立連線。
8. 使用 Vigor2925A 區網下的電腦，ping 192.168.20.10，有回 ping 則代表 Vigor2925A 已可與 Vigor2925B 區網下的電腦互通。
這份文件是否有幫助 ?