(1)最近发现网内有同学掉线,于是登录网关show arp,发现有些IP对应的MAC为00-00-00-00-00-00,更新时间 AGE也始终是0,这些IP在管理系统内是确实存在的(有可能在网关处显示的是伪造的),在管理系统内也能查到他们的MAC~我想问问,MAC为0有几种情况?能否说明网内有ARP攻击?
(2)去ANTIARP的论坛上查,说超过100个ARP的地址就有可能有问题,那一个大概有119台机子的网段,大概一分钟或者一个小时内有多少个ARP请求包/应答包是正常的?
(3)今天抓包看到一个地址为210.34.78.207,一直在请求网关地址,从ARP防火墙上看,他50分钟内ARP请求达到580次!(我们的网关地址是210.34.78.129)这机子是不是有问题?抓包获得他的IP和MAC与管理系统内的均一致!通过流量查询,发现他的流量一直都是流出比流入大~“2小时42分3秒 流出16.5M 流入68.8M ”“3小时6分50秒 流出52.9M 流入277.7M ”
PS:希望大家帮忙分析下,主要是想学习下大家分析的过程!论坛内其他相关分析有看过,但是自己现实中遇上ARP案例,分析起来还是感觉乱七八糟的~如果说还需要上传什么切图或者什么的,希望大家可以提醒下~我会补上的~谢谢~
现在基本确定210.34.78.207的有问题,刚刚抓包发现他的广播包里的目标IP甚至不是该网段的!已切图上传~
现在有个疑问,既然没伪造IP和MAC,那病毒机发包的目的是什么?只是为了耗带宽?还是说只是在扫描?ARP病毒的目的一是欺骗网关,一是欺骗PC,一是两者都欺骗,在中间转发两者数据包~~但是本身包的IP与MAC均正确那又有什么目的?或者说IP与MAC地址均伪造?那意义又是什么?纯粹恶搞带宽?求达人解疑!
郁闷,在管理系统将他踢下线,并且已经列入黑名单12小时内无法认证,但是抓到的包里还是有这个地址! |
发表于 2009-4-22 12:15:33