大家帮忙看几张图是否是伪造的数据包

逍遥一指令 · 发表于 2006-10-8 00:36:43

请大家帮忙看下是否属于伪造的数据包

KelvinFu · 发表于 2006-10-8 11:58:36

看了图，个人觉得：
图1，应该是免费ARP的数据包！
图2，可能是伪造的，因为免费ARP数据包，一般正常情况下是不希望有应答，如果出现应答，那网络中应该有冲突了，再说ARP相应数据包应该是单播，而图2是广播包，可能是伪造的吧

菜鸟人飞 · 发表于 2006-10-8 14:39:52

楼主的几个数据包是从何得来的？它们都可能是伪造或者手工发送的！
第1.2两个数据包的大小是68字节，在正常的ARP请求或回应中，应该是64字节。
第2个数据包是ARP回应，默认情况下它应该是单播，但其目标地址是广播地址。
第3.4两个数据包的目标服务存取点和源服务存取点的值错误，在802.2数据包中，应该是0x42。

逍遥一指令 · 发表于 2006-10-8 16:56:09

这些数据包我是在一次ARP攻击中抓取的数据包

逍遥一指令 · 发表于 2006-10-8 17:08:06

我上传数据让大家帮我分析下

红盟过客 · 发表于 2006-10-9 21:03:23

学习中,有的看不太懂了.

KelvinFu · 发表于 2006-10-11 14:32:34

观察了LZ上传的数据包文件，个人理解发现有以下情况！

1. 首先，在协议视图中观察网络中的各个协议，根据ARP工作原理及工作模式，发现ARP REQUEST和ARP RESPONSE的比例是异常的！
如图下图。

2.察看ARP请求包，似乎很有规律，某个过程就循环一次，网络中是否有认为使用发报工具？

3. 从下图就可以看到，ARP响应数据包有点不正常了，包的大小为68，正常的应该为64字节，可能是伪造数据包！另外，注意看数据包之间的时间差也很有规律，5秒一个应答。

LZ可以检查网络是否有人在使用发包工具，另外，在上传数据包的时候，对网络拓扑及网络出现什么状况，进行一下描述，不染别人拿到数据包分析很盲目，没有目的性！！

[ 本帖最后由 KelvinFu 于 2006-10-11 14:43 编辑 ]

逍遥一指令 · 发表于 2006-10-11 16:12:29

这是朋友网吧的情况，现在已经恢复正常了

CCSP · 发表于 2006-10-11 16:24:16

原帖由 逍遥一指令 于 2006-10-11 16:12 发表
这是朋友网吧的情况，现在已经恢复正常了

LZ可否将你朋友网吧的故障原因及解决办法给大家分享下！呵呵！

大家帮忙看几张图是否是伪造的数据包

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源