|
|
发表于 2006-11-5 17:32:11
|
显示全部楼层
1.关于42个字节
各种协议在封装上层送来的数据时都有自己的固定格式,在IP段中IP数据报的大小为46-1500Byte,大了,得分段,小了,用额外数据填充满至46Byte.而隶属于IP层的ARP协议它的格式大小就为固定的28个字节,显然后面需要补齐至46字节.而IP数据报送到链路层封装为以太网桢的时候就是在IP数据报的头加14个字节,尾部再加上4个桢校验字节,所以一个以太网桢的总长度就是64-1518Byte.按理说菜鸟人飞大大说的能捕捉到42字节的数据包应该是不可能的,你的意思是不是指有效的数据呢?因为14字节桢头+28字节ARP包=42字节……所以,呵呵,我先胡乱猜测下
2.ARP的包的形式
(1).ARP请求:在ARP请求中,可以看到操作类型是1(中间的黑色框起部分),在以太网桢的第21-22字节值为0x0001。因为在请求时并不知道目标IP的物理地址,所以以全0表示(最下面的黑框),在链路层中以广播形式发出去(全F,最上面的黑框)。
(2).ARP响应:在ARP请求中,可以看到操作类型是2(黑色框起部分),即第21-22字节值为0x0002。
(3).免费ARP:仍以广播形式发出,但源,目地IP是相同的,是为了检测局域网中是否有和它自己使用相同IP的机器。
P.S:在请求和响应的截图中,可以看到局域网中的那台Zonet Tech(00:50:22):84:13:23中了毒,一直在发0.136.136.16在00:50:22:84:13:23……(算攻击吗? )
3.ARP攻击原理
因为ARP是IP和MAC之间转换的桥梁,所以我觉得但凡是使对方的ARP缓存中相对应的记录发生错误都应该算作ARP攻击……
比如A与C通信,此时B以A的ipB的MAC地址给C发出了一个ARP响应,那么就会使C更新自己的那条关于A的记录,那么C发给A的数据都会转到B处,而如果B以A的ip和一个伪造的MAC给C发出ARP响应,那么C以后给A发的数据都会石沉大海。
还有一个方式我也不明白,请大大也给解释一下:就是关于ip冲突,我曾经见过一个人使用网络执法官把另一个人给冲突了下去,这是不是通过免费ARP的完成的呢?在TCP/IP详解的第一卷第四章关于免费ARP有这么一段话:“一个主机可以通过它(免费ARP)来确定另一个主机是否设置了相同的IP,主机并不希望对此请求有一个回答。但是,如果受到一个回答,那么就会在终端日志上产生一个错误消息:“以太网地址:a:b:c:d:e:f 发送来重复的IP地址”。这样就可以警告管理员某个系统有不正确的设置。”由这段话看来,伪造一个免费ARP似乎并不能使被攻击的机器提示“IP冲突”,那么,是怎么实现让对方IP冲突的呢……?
[ 本帖最后由 gezi1234 于 2006-11-5 17:45 编辑 ] |
评分
-
1
查看全部评分
-
|
发表于 2006-11-3 11:19:12