ARP欺骗的疑问

artico

ARP欺骗过程中提到一点：转发！
只有通过转发ARP欺骗才起到“中间人”的作用。

1、偶不明白的就是，它为什么会转发？通过什么机制来转发？
2、如果转发的很顺利，怎么看出有欺骗?
3、如果欺骗数据里面的MAC与IP地址都是假的，如何找出真正的欺骗主机？

菜鸟人飞

1、偶不明白的就是，它为什么会转发？通过什么机制来转发？

是否转发取决于ARP欺骗的目的，如果不转发，客户端将不能进行正常的通讯，这样很容易被客户端察觉自己在遭受攻击。转发后，客户端如果不注意，会认为自己的通讯是正确的，可能并不会注意自己的通讯已被窃听。

转发的机制：同时欺骗客户端和网关，让自己做中间人，将数据包进行一次中转。

2、如果转发的很顺利，怎么看出有欺骗?

查看客户端和网关的ARP表，会发现ARP表与真实情况存在差异。

3、如果欺骗数据里面的MAC与IP地址都是假的，如何找出真正的欺骗主机？

IP和MAC如果都是假的，那么这种欺骗会使客户端无法正常通讯。

要想找出元凶，需要借助分路器，对一个交换机，或者一台主机的通讯进行物理上的单向捕获数据包，当捕获的数据包中出现欺骗数据包时，则表示当前分析的交换机或主机即是攻击源。

artico

1.转发这个功能由谁来决定的?是系统本身就有,?还是网络协议自带?还是软件即病毒上来决定?

2.这个有点难啊..平时谁会特意去看看自己的ARP..呵呵...

3.这个就更难类...如果欺骗主机就是要捣乱...不让网络主机正常通讯的话...要查出来还真要点耐性!!!


还有..上面提到的  分路器  是东西,,给图片或者链接看看哈..

菜青虫

个人认为：

1.转发这个功能由谁来决定的?是系统本身就有,?还是网络协议自带?还是软件即病毒上来决定?
应该由病毒来决定！如果由其他决定了，它还叫病毒哇

2.这个有点难啊..平时谁会特意去看看自己的ARP..呵呵...

一般有ARP欺骗，应该会断断续续断网的情况吧，在欺骗之前，也有ARP扫描前奏，应该还是可以察觉的！
3.这个就更难类...如果欺骗主机就是要捣乱...不让网络主机正常通讯的话...要查出来还真要点耐性!!!

这个真需要有一点耐心啊！分别查单向数据！分析我们发送和接受的数据到底被谁给“截获了”


还有..上面提到的  分路器  是东西,,给图片或者链接看看哈..

这里所说的分路器TAP应该 是那种在线型的：有2个网络口，一个是数据流进，一个是数据流出；监听口也是两个，要求检测主机安装2快网卡（一个 接收流进数据，一个接收发出的数据）


有关分路器的介绍　http://www.csna.cn/forum.php?mod=viewthread&tid=431&highlight=%2BTAP%2B

artico

...谢谢..

Roy

原帖由 菜青虫 于 2006-8-23 10:38 发表
应该由病毒来决定！如果由其他决定了，它还叫病毒哇

应该是由病毒的作者来决定，除非写病毒的作者比较BT，让程序用随机函数来决定。

hz123

都是网络精英啊