Board logo

标题: [讨论]arp欺骗 所有非本机的mac地址都与网关相同 何解? [打印本页]

作者: faye    时间: 2008-7-20 17:58     标题: [讨论]arp欺骗 所有非本机的mac地址都与网关相同 何解?

[讨论]arp欺骗 所有非本机的mac地址都与网关相同 何解?
提示: 作者被禁止或删除 内容自动屏蔽
帖子31 精华0 积分75 阅读权限0 在线时间42 小时 注册时间2007-8-24 最后登录2008-7-1 查看详细资料引用 报告 回复 TOP 让女孩一夜变的更有女人味

冰封メ心弦
荣誉会员

作者: hua668    时间: 2008-7-20 17:58

应该是MAC地址克隆?宽带运营商不让他共享上网了话,他用这个方法就能共享上网了
帖子43 精华2 积分501 阅读权限100 性别男 来自www.90hackit.cn 在线时间27 小时 注册时间2007-7-4 最后登录2008-6-27 查看个人网站
查看详细资料引用 报告 回复 TOP 赚更多的钱

hitlerboy
晶莹剔透§烈日灼然
作者: jimmy    时间: 2008-7-20 17:58

楼上 错解。
问题我也遇到过,不过,我是在学校测试学校内网。
没有arp的时候,arp表里的数据是正常的。
arp失败,再看arp表跟LZ的情况一样。
可能是arp防火墙,或者网关做了什么防arp的限制。
帖子79 精华0 积分274 阅读权限40 性别男 在线时间182 小时 注册时间2006-5-7 最后登录2008-4-11 查看详细资料引用 报告 回复 TOP 您知道您年薪应是多少?

poc
晶莹剔透§烈日灼然
作者: 珉头    时间: 2008-7-20 17:58

ip地址保留了?
帖子31 精华0 积分90 阅读权限40 性别男 在线时间57 小时 注册时间2007-3-18 最后登录2008-7-17 查看详细资料引用 报告 回复 TOP

lafkkk
作者: ivwsliang    时间: 2008-7-20 17:58

提示: 作者被禁止或删除 内容自动屏蔽
帖子31 精华0 积分75 阅读权限0 在线时间42 小时 注册时间2007-8-24 最后登录2008-7-1 查看详细资料引用 报告 回复 TOP 软件项目外包

小胖子
Calm

晶莹剔透§烈日灼然
作者: 冲红灯    时间: 2008-7-20 17:58

reset一下arp表试一试。上次我上网查资料,突然弹出来一个网页,很黄很暴力,我赶紧给关了。

帖子191 精华2 积分494 阅读权限40 性别男 在线时间87 小时 注册时间2005-1-18 最后登录2008-7-20 查看详细资料引用 报告 回复 TOP 让女孩一夜变的更有女人味

Helvin
团队决策人

作者: 醉鞭名马    时间: 2008-7-20 17:58

基本有两种情况
1、先看一下掩码和广播地址是什么。可能掩码就是30(255.255.255.252)的。
2、有VLAN。幸福,那就是……我饿了,看别人手里拿个肉包子,那他就比我幸福;我冷了,看别人穿了一件厚棉袄,他就比我幸福;我想上茅房,就一个坑,你蹲那了,你就比我幸福。
帖子644 精华22 积分5000 阅读权限255 在线时间1758 小时 注册时间2005-1-7 最后登录2008-7-20 查看详细资料引用 报告 回复 TOP 让女孩一夜变的更有女人味

raoer
晶莹剔透§烈日灼然
作者: 铁观音    时间: 2008-7-20 17:58


引用:
最近渗透一主机,拿下一台,想也没想的就欺骗了,结果服务器都挂了。
后来又拿下了同一网段的一台,可是仔细看看,所有非本机的mac地址都与网关相同!
这是何 ...
首先来讲讲arp报文
为什么有arp病毒而没有icmp病毒或者其他什么协议的病毒呢?因为arp是以广播的形式发送的,以广播发送的协议还有dhcp=,所以以后可能也会存在dhcp病毒,呵呵
arp的老化时间通常是3分钟,当老化后,pc会广播arp request来通告自己的ip和mac信息,当网关收到你的arp请求后,会发一个arp replay,这个报文包含了网关的arp信息,pc会把arp信息保存在自己的arp缓存表中。
当正常的建立了2层信息后,就可以进行3层通信了 ,arp病毒也是根据这个原理来欺骗网关或欺骗pc的。

还有一种arp报文叫免费arp,此报文是为了检测网络中是否存在地址冲突

好了,言归正传。lafkkk兄所提出的问题我最近在某机房中遇到过,先来说说我所遇到的网络拓扑
光纤-路由器-行为上网管理系统-核心交换机-楼层交换机-pc
其中路由器和交换机是我们的设备(偶系国内某数据通信的网络工程师^_^),客户反映在核心交换机上show arp ,发现了很多同网段,不同ip相同mac地址的arp信息,感到十分奇怪,问是不是被攻击了?
通过查看arp信息,发现相同的mac地址都来自路由器的内网口。而那些ip实际都是不存在的,但为什么交换机能学习到呢?如果没有发arp request,交换机是不可能学习到的,那是谁发的呢?目的又是什么呢??
我们的路由器不会自动去发这样的报文,猜测是那台行为上网管理系统发的。为了证实为的想法,修改了一下拓扑
光纤-路由器-核心交换机-楼层交换机-pc
然后用etherpeek抓包,没有发现路由器发同网段,源mac为自己接口的扫描arp包;恢复后抓包又发现了这样的报文

好了,到此可以肯定是那台中间设备发的了,他为什么要发这样的包呢?
原因很简单,这样的报文是为了网关不被欺骗,即使被欺骗了也能立即修改过来,使网络处于正常状态

我不太清楚软件arp防火墙有没有这样的功能,硬件防火墙是可以做到的。

在来说说这样的坏处,不停的发arp request,然后接收arp repaly,这些会增加设备cpu负载。
作者: Cici    时间: 2008-7-20 17:58

对arp失望了``
我搞了N个服务器``要么就是扫不到IP``要么就是扫不到网卡``要么就是没数据``当然``子掩码我也改过```全都是一样的``比较烦躁````不知道问题出在哪``还是cain该淘汰了``
帖子16 精华0 积分51 阅读权限40 在线时间44 小时 注册时间2005-8-30 最后登录2008-3-28 查看详细资料引用 报告 回复 TOP

raoer
晶莹剔透§烈日灼然
作者: 大眼娃娃    时间: 2008-7-20 17:59

引用:
原帖由 xg530 于 2008-3-28 19:19 发表
我搞了N个服务器``要么就是扫不到IP``要么就是扫不到网卡``要么就是没数据``当然``子掩码我也改过```全都是一样的``比较烦躁````不知道问题出在哪``还是cain该淘汰了`` ...
建议从基础入手,多了解协议,最初可以baidu,想深入了解看rfc
不要盲目的用工具,工具都是基于原理写出来的,只有当了解了原理
后,工具才能得心应手
帖子6 精华0 积分51 阅读权限40 在线时间11 小时 注册时间2006-10-15 最后登录2008-7-14 查看详细资料引用 报告 回复 TOP

zczpc2000
晶莹剔透§烈日灼然
作者: 小苹果    时间: 2008-7-20 17:59

深入学习还是有点难度地。。这是写TCP/IP协议的人的错。。
帖子31 精华0 积分96 阅读权限40 在线时间34 小时 注册时间2005-12-30 最后登录2008-6-28 查看详细资料引用 报告 回复 TOP

lafkkk




欢迎光临 【3.A.S.T】网络安全爱好者 (http://3ast.com/) Powered by Discuz! 7.2