发新话题
打印

[讨论]arp欺骗 所有非本机的mac地址都与网关相同 何解?

引用:
最近渗透一主机,拿下一台,想也没想的就欺骗了,结果服务器都挂了。
后来又拿下了同一网段的一台,可是仔细看看,所有非本机的mac地址都与网关相同!
这是何 ...
首先来讲讲arp报文
为什么有arp病毒而没有icmp病毒或者其他什么协议的病毒呢?因为arp是以广播的形式发送的,以广播发送的协议还有dhcp=,所以以后可能也会存在dhcp病毒,呵呵
arp的老化时间通常是3分钟,当老化后,pc会广播arp request来通告自己的ip和mac信息,当网关收到你的arp请求后,会发一个arp replay,这个报文包含了网关的arp信息,pc会把arp信息保存在自己的arp缓存表中。
当正常的建立了2层信息后,就可以进行3层通信了 ,arp病毒也是根据这个原理来欺骗网关或欺骗pc的。

还有一种arp报文叫免费arp,此报文是为了检测网络中是否存在地址冲突

好了,言归正传。lafkkk兄所提出的问题我最近在某机房中遇到过,先来说说我所遇到的网络拓扑
光纤-路由器-行为上网管理系统-核心交换机-楼层交换机-pc
其中路由器和交换机是我们的设备(偶系国内某数据通信的网络工程师^_^),客户反映在核心交换机上show arp ,发现了很多同网段,不同ip相同mac地址的arp信息,感到十分奇怪,问是不是被攻击了?
通过查看arp信息,发现相同的mac地址都来自路由器的内网口。而那些ip实际都是不存在的,但为什么交换机能学习到呢?如果没有发arp request,交换机是不可能学习到的,那是谁发的呢?目的又是什么呢??
我们的路由器不会自动去发这样的报文,猜测是那台行为上网管理系统发的。为了证实为的想法,修改了一下拓扑
光纤-路由器-核心交换机-楼层交换机-pc
然后用etherpeek抓包,没有发现路由器发同网段,源mac为自己接口的扫描arp包;恢复后抓包又发现了这样的报文

好了,到此可以肯定是那台中间设备发的了,他为什么要发这样的包呢?
原因很简单,这样的报文是为了网关不被欺骗,即使被欺骗了也能立即修改过来,使网络处于正常状态

我不太清楚软件arp防火墙有没有这样的功能,硬件防火墙是可以做到的。

在来说说这样的坏处,不停的发arp request,然后接收arp repaly,这些会增加设备cpu负载。
本帖最近评分记录
  • 落叶树 威望 +10 感谢您参加论坛讨论并做出认真回复 ... 2008-3-28 23:18

TOP

引用:
原帖由 xg530 于 2008-3-28 19:19 发表
我搞了N个服务器``要么就是扫不到IP``要么就是扫不到网卡``要么就是没数据``当然``子掩码我也改过```全都是一样的``比较烦躁````不知道问题出在哪``还是cain该淘汰了`` ...
建议从基础入手,多了解协议,最初可以baidu,想深入了解看rfc
不要盲目的用工具,工具都是基于原理写出来的,只有当了解了原理
后,工具才能得心应手

TOP

发新话题