注册
登录
论坛
搜索
插件
默认风格
默认风格_6hOY
D Dark
greenwall
jeans
fashion
私人消息 (0)
公共消息 (0)
论坛任务 (0)
系统消息 (0)
好友消息 (0)
帖子消息 (0)
【3.A.S.T】网络安全爱好者
»
技术交流
» [讨论]arp欺骗 所有非本机的mac地址都与网关相同 何解?
返回列表
发帖
铁观音
发短消息
加为好友
铁观音
当前离线
UID
1145
帖子
13
精华
0
积分
19
威望
24
金钱
24
阅读权限
10
在线时间
0 小时
注册时间
2008-7-16
最后登录
2008-8-16
3.A.S.T士兵
帖子
13
积分
19
威望
24
金钱
24
在线时间
0 小时
1
楼
跳转到
»
发表于 2008-7-20 17:58
|
显示全部帖子
引用:
最近渗透一主机,拿下一台,想也没想的就欺骗了,结果服务器都挂了。
后来又拿下了同一网段的一台,可是仔细看看,所有非本机的mac地址都与网关相同!
这是何 ...
首先来讲讲arp报文
为什么有arp病毒而没有icmp病毒或者其他什么协议的病毒呢?因为arp是以广播的形式发送的,以广播发送的协议还有dhcp=,所以以后可能也会存在dhcp病毒,呵呵
arp的老化时间通常是3分钟,当老化后,pc会广播arp request来通告自己的ip和mac信息,当网关收到你的arp请求后,会发一个arp replay,这个报文包含了网关的arp信息,pc会把arp信息保存在自己的arp缓存表中。
当正常的建立了2层信息后,就可以进行3层通信了 ,arp病毒也是根据这个原理来欺骗网关或欺骗pc的。
还有一种arp报文叫免费arp,此报文是为了检测网络中是否存在地址冲突
好了,言归正传。lafkkk兄所提出的问题我最近在某机房中遇到过,先来说说我所遇到的网络拓扑
光纤-路由器-行为上网管理系统-核心交换机-楼层交换机-pc
其中路由器和交换机是我们的设备(偶系国内某数据通信的网络工程师^_^),客户反映在核心交换机上show arp ,发现了很多同网段,不同ip相同mac地址的arp信息,感到十分奇怪,问是不是被攻击了?
通过查看arp信息,发现相同的mac地址都来自路由器的内网口。而那些ip实际都是不存在的,但为什么交换机能学习到呢?如果没有发arp request,交换机是不可能学习到的,那是谁发的呢?目的又是什么呢??
我们的路由器不会自动去发这样的报文,猜测是那台行为上网管理系统发的。为了证实为的想法,修改了一下拓扑
光纤-路由器-核心交换机-楼层交换机-pc
然后用etherpeek抓包,没有发现路由器发同网段,源mac为自己接口的扫描arp包;恢复后抓包又发现了这样的报文
好了,到此可以肯定是那台中间设备发的了,他为什么要发这样的包呢?
原因很简单,这样的报文是为了网关不被欺骗,即使被欺骗了也能立即修改过来,使网络处于正常状态
我不太清楚软件arp防火墙有没有这样的功能,硬件防火墙是可以做到的。
在来说说这样的坏处,不停的发arp request,然后接收arp repaly,这些会增加设备cpu负载。
TOP
返回列表
【 新 手 入 门 】
初入江湖
有问必答
软件交流
程序设计
黑客播报
操作系统
Windows专区
Unix 专区
【 技 术 交 流 】
原创专区
QQ技巧
反黑知识
网站建设
教程发布
技术交流
免杀技术
0day发布
专题归类
私服技术
【 论 坛 水 区 】
被黑站点
激情灌水
极品贴图
开心乐园
影音专区
广告专区
【 论 坛 管 理 】
新人报到
论坛管理
勋章申请
[收藏此主题]
[关注此主题的新回复]
[通过 QQ、MSN 分享给朋友]
全国地图
@@@ 加入本站会员 一个月月赚1200+的秘密@@@