标题:
[讨论]arp欺骗 所有非本机的mac地址都与网关相同 何解?
[打印本页]
作者:
faye
时间:
2008-7-20 17:58
标题:
[讨论]arp欺骗 所有非本机的mac地址都与网关相同 何解?
[讨论]arp欺骗 所有非本机的mac地址都与网关相同 何解?
提示: 作者被禁止或删除 内容自动屏蔽
帖子31 精华
0
积分75 阅读权限0 在线时间42 小时 注册时间2007-8-24 最后登录2008-7-1
查看详细资料
引用
报告
回复
TOP
让女孩一夜变的更有女人味
冰封メ心弦
荣誉会员
作者:
hua668
时间:
2008-7-20 17:58
应该是MAC地址克隆?宽带运营商不让他共享上网了话,他用这个方法就能共享上网了
帖子43 精华
2
积分501 阅读权限100 性别男 来自www.90hackit.cn 在线时间27 小时 注册时间2007-7-4 最后登录2008-6-27
查看个人网站
查看详细资料
引用
报告
回复
TOP
赚更多的钱
hitlerboy
晶莹剔透§烈日灼然
作者:
jimmy
时间:
2008-7-20 17:58
楼上 错解。
问题我也遇到过,不过,我是在学校测试学校内网。
没有arp的时候,arp表里的数据是正常的。
arp失败,再看arp表跟LZ的情况一样。
可能是arp防火墙,或者网关做了什么防arp的限制。
帖子79 精华
0
积分274 阅读权限40 性别男 在线时间182 小时 注册时间2006-5-7 最后登录2008-4-11
查看详细资料
引用
报告
回复
TOP
您知道您年薪应是多少?
poc
晶莹剔透§烈日灼然
作者:
珉头
时间:
2008-7-20 17:58
ip地址保留了?
帖子31 精华
0
积分90 阅读权限40 性别男 在线时间57 小时 注册时间2007-3-18 最后登录2008-7-17
查看详细资料
引用
报告
回复
TOP
lafkkk
作者:
ivwsliang
时间:
2008-7-20 17:58
提示: 作者被禁止或删除 内容自动屏蔽
帖子31 精华
0
积分75 阅读权限0 在线时间42 小时 注册时间2007-8-24 最后登录2008-7-1
查看详细资料
引用
报告
回复
TOP
软件项目外包
小胖子
Calm
晶莹剔透§烈日灼然
作者:
冲红灯
时间:
2008-7-20 17:58
reset一下arp表试一试。上次我上网查资料,突然弹出来一个网页,很黄很暴力,我赶紧给关了。
帖子191 精华
2
积分494 阅读权限40 性别男 在线时间87 小时 注册时间2005-1-18 最后登录2008-7-20
查看详细资料
引用
报告
回复
TOP
让女孩一夜变的更有女人味
Helvin
团队决策人
作者:
醉鞭名马
时间:
2008-7-20 17:58
基本有两种情况
1、先看一下掩码和广播地址是什么。可能掩码就是30(255.255.255.252)的。
2、有VLAN。幸福,那就是……我饿了,看别人手里拿个肉包子,那他就比我幸福;我冷了,看别人穿了一件厚棉袄,他就比我幸福;我想上茅房,就一个坑,你蹲那了,你就比我幸福。
帖子644 精华
22
积分5000 阅读权限255 在线时间1758 小时 注册时间2005-1-7 最后登录2008-7-20
查看详细资料
引用
报告
回复
TOP
让女孩一夜变的更有女人味
raoer
晶莹剔透§烈日灼然
作者:
铁观音
时间:
2008-7-20 17:58
引用:
最近渗透一主机,拿下一台,想也没想的就欺骗了,结果服务器都挂了。
后来又拿下了同一网段的一台,可是仔细看看,所有非本机的mac地址都与网关相同!
这是何 ...
首先来讲讲arp报文
为什么有arp病毒而没有icmp病毒或者其他什么协议的病毒呢?因为arp是以广播的形式发送的,以广播发送的协议还有dhcp=,所以以后可能也会存在dhcp病毒,呵呵
arp的老化时间通常是3分钟,当老化后,pc会广播arp request来通告自己的ip和mac信息,当网关收到你的arp请求后,会发一个arp replay,这个报文包含了网关的arp信息,pc会把arp信息保存在自己的arp缓存表中。
当正常的建立了2层信息后,就可以进行3层通信了 ,arp病毒也是根据这个原理来欺骗网关或欺骗pc的。
还有一种arp报文叫免费arp,此报文是为了检测网络中是否存在地址冲突
好了,言归正传。lafkkk兄所提出的问题我最近在某机房中遇到过,先来说说我所遇到的网络拓扑
光纤-路由器-行为上网管理系统-核心交换机-楼层交换机-pc
其中路由器和交换机是我们的设备(偶系国内某数据通信的网络工程师^_^),客户反映在核心交换机上show arp ,发现了很多同网段,不同ip相同mac地址的arp信息,感到十分奇怪,问是不是被攻击了?
通过查看arp信息,发现相同的mac地址都来自路由器的内网口。而那些ip实际都是不存在的,但为什么交换机能学习到呢?如果没有发arp request,交换机是不可能学习到的,那是谁发的呢?目的又是什么呢??
我们的路由器不会自动去发这样的报文,猜测是那台行为上网管理系统发的。为了证实为的想法,修改了一下拓扑
光纤-路由器-核心交换机-楼层交换机-pc
然后用etherpeek抓包,没有发现路由器发同网段,源mac为自己接口的扫描arp包;恢复后抓包又发现了这样的报文
好了,到此可以肯定是那台中间设备发的了,他为什么要发这样的包呢?
原因很简单,这样的报文是为了网关不被欺骗,即使被欺骗了也能立即修改过来,使网络处于正常状态
我不太清楚软件arp防火墙有没有这样的功能,硬件防火墙是可以做到的。
在来说说这样的坏处,不停的发arp request,然后接收arp repaly,这些会增加设备cpu负载。
作者:
Cici
时间:
2008-7-20 17:58
对arp失望了``
我搞了N个服务器``要么就是扫不到IP``要么就是扫不到网卡``要么就是没数据``当然``子掩码我也改过```全都是一样的``比较烦躁````不知道问题出在哪``还是cain该淘汰了``
帖子16 精华
0
积分51 阅读权限40 在线时间44 小时 注册时间2005-8-30 最后登录2008-3-28
查看详细资料
引用
报告
回复
TOP
raoer
晶莹剔透§烈日灼然
作者:
大眼娃娃
时间:
2008-7-20 17:59
引用:
原帖由 xg530 于 2008-3-28 19:19 发表
我搞了N个服务器``要么就是扫不到IP``要么就是扫不到网卡``要么就是没数据``当然``子掩码我也改过```全都是一样的``比较烦躁````不知道问题出在哪``还是cain该淘汰了`` ...
建议从基础入手,多了解协议,最初可以baidu,想深入了解看rfc
不要盲目的用工具,工具都是基于原理写出来的,只有当了解了原理
后,工具才能得心应手
帖子6 精华
0
积分51 阅读权限40 在线时间11 小时 注册时间2006-10-15 最后登录2008-7-14
查看详细资料
引用
报告
回复
TOP
zczpc2000
晶莹剔透§烈日灼然
作者:
小苹果
时间:
2008-7-20 17:59
深入学习还是有点难度地。。这是写TCP/IP协议的人的错。。
帖子31 精华
0
积分96 阅读权限40 在线时间34 小时 注册时间2005-12-30 最后登录2008-6-28
查看详细资料
引用
报告
回复
TOP
lafkkk
欢迎光临 【3.A.S.T】网络安全爱好者 (http://3ast.com/)
Powered by Discuz! 7.2