（原创）希望能给深受arp欺骗之苦的朋友一些借鉴

zmc837

很长一段时间以来，很多朋友都深受着arp欺骗之苦，发这帖子，互相学习，分析不对的地方，恳请指正！

liloi

谢谢 非常感谢 很好

Roy

多谢LZ分享，鼓励原创！！！

zmc837

感谢超班鼓励，我会更加努力的！

ghostorc

thx thx thx

bdyxzw

dsfafdsadfasdfadfsadfasdf

kevinmigang

  非常感谢

bailiang927

感谢楼主的分享
顶了

cwym29

楼主的思路非常清晰，根据这个思路，以后遇到该问题，我们就可以很方便地解决了。

不过，如果是在虚拟机上进行欺骗，查找起来可能就不太容易哈。

菜鸟人飞

原帖由 cwym29 于 2006-8-24 09:07 发表
楼主的思路非常清晰，根据这个思路，以后遇到该问题，我们就可以很方便地解决了。

不过，如果是在虚拟机上进行欺骗，查找起来可能就不太容易哈。

是的，如果是在虚拟机上进行欺骗，查找起来的确不太容易，因为这时攻击的源都是虚拟出来的，你在网络中无法轻松定位到是谁在使用虚拟机进行欺骗攻击。

这时，有个办法是，结合分路器进行物理上的单向抓包，当抓取某台机器的通讯时，如果出现了欺骗攻击包，当然，它就是真实的攻击源。

菜青虫

谢谢LZ分享经验~~~

Roy

原帖由 菜鸟人飞 于 2006-8-24 09:18 发表


是的，如果是在虚拟机上进行欺骗，查找起来的确不太容易，因为这时攻击的源都是虚拟出来的，你在网络中无法轻松定位到是谁在使用虚拟机进行欺骗攻击。

这时，有个办法是，结合分路器进行物理上的单向抓包，当 ...

对的，不要完全相信ARP欺诈包中的MAC地址，

如果是ARP中间人欺诈，那么作案机器一定会想要转发流量，如果交换机支持管理功能，可以通过交换机的管理界面更快的找出来目标MAC对应的物理端口
如果交换机不支持管理，可以通过分路器+单向采集流量排查出伪造MAC的交换机物理端口

不过，如果是ARP拒绝服务攻击，就更不能相信ARP欺诈包中的MAC地址，攻击者甚至不用伪造MAC，他甚至可以嫁祸给网络内部无辜的其他机器
也就是伪造旁边机器的MAC来发送ARP包，这时候最好是采用分路器+单向采集流量来排查，不然搞不好冤枉好人

masinfo

谢谢 非常感谢 很好

quansheng

谢谢   每天都在进步

fadu

好东西 先收下了！！！！！

一友

顶顶顶+++++
+++++顶顶顶
谢谢分享

kobe0513

ARP现在太多了啊～！

zmc837

是啊，这断时间影响网络的大部分是这种东西啊

wkwkwkwk

谢谢楼住了分享~~~

fadu

原帖由 bdyxzw 于 2006-8-23 20:32 发表
dsfafdsadfasdfadfsadfasdf

警告一下 本论坛禁止罐纯净水！ 希望以后不要发此类回复了

wlxinsheng

嗯,好东西.先下载 来回去研究一翻...

jiesen

恩，写的好，一些经验值（也就是你的网络基线）是很重要的！

lingdianwhh

谢谢了。。。顶！！！！

qaq1314

前两天，我就被arp害惨了，查了一个下午，问题机器是查到了，可就是查杀不了毒，各种方法都试了，郁闷

fpb99999

谢谢分享,学习学习!

phoenixdie

最近ARP攻击确实非常厉害，经常忙得不知头脚

sundyuan

科来软件确实是个好东西，帮助我们工作

iamclq

感谢提供，非常有用！

jxj0918

谢谢您的东东.我是一个新手,每天大脑都在更新,不过您的资源比较好.

jhwking

十分感谢，这个害人不浅啊。