铁观音

引用:
最近渗透一主机，拿下一台，想也没想的就欺骗了，结果服务器都挂了。
后来又拿下了同一网段的一台，可是仔细看看，所有非本机的mac地址都与网关相同！
这是何 ...
首先来讲讲arp报文
为什么有arp病毒而没有icmp病毒或者其他什么协议的病毒呢？因为arp是以广播的形式发送的，以广播发送的协议还有dhcp=，所以以后可能也会存在dhcp病毒，呵呵
arp的老化时间通常是3分钟，当老化后，pc会广播arp request来通告自己的ip和mac信息，当网关收到你的arp请求后，会发一个arp replay，这个报文包含了网关的arp信息，pc会把arp信息保存在自己的arp缓存表中。
当正常的建立了2层信息后，就可以进行3层通信了 ，arp病毒也是根据这个原理来欺骗网关或欺骗pc的。

还有一种arp报文叫免费arp，此报文是为了检测网络中是否存在地址冲突

好了，言归正传。lafkkk兄所提出的问题我最近在某机房中遇到过，先来说说我所遇到的网络拓扑
光纤-路由器-行为上网管理系统-核心交换机-楼层交换机-pc
其中路由器和交换机是我们的设备（偶系国内某数据通信的网络工程师^_^）,客户反映在核心交换机上show arp ,发现了很多同网段，不同ip相同mac地址的arp信息，感到十分奇怪，问是不是被攻击了？
通过查看arp信息，发现相同的mac地址都来自路由器的内网口。而那些ip实际都是不存在的，但为什么交换机能学习到呢？如果没有发arp request，交换机是不可能学习到的，那是谁发的呢？目的又是什么呢？？
我们的路由器不会自动去发这样的报文，猜测是那台行为上网管理系统发的。为了证实为的想法，修改了一下拓扑
光纤-路由器-核心交换机-楼层交换机-pc
然后用etherpeek抓包，没有发现路由器发同网段，源mac为自己接口的扫描arp包；恢复后抓包又发现了这样的报文

好了，到此可以肯定是那台中间设备发的了，他为什么要发这样的包呢？
原因很简单，这样的报文是为了网关不被欺骗，即使被欺骗了也能立即修改过来，使网络处于正常状态

我不太清楚软件arp防火墙有没有这样的功能，硬件防火墙是可以做到的。

在来说说这样的坏处，不停的发arp request，然后接收arp repaly，这些会增加设备cpu负载。