当内网接了一个路由器后,因为路由器是三层设备,所以经过它进行转发的数据包的源MAC地址,都为改为路由器的MAC,所以我们在上面抓包,会发现路由器的MAC地址下会对应很多个IP,这些IP就是路由器本身配置的IP,以及通过路由器连接外网的IP。
基于以上分析,要查找网络中私接的路由器,方法如下:
在科来网络分析系统的节点浏览器中,查找一个MAC对应多个IP的主机,对于是的,除开网关,则可能是你要找的私接路由器,当然,如果网络中存在ARP攻击,则也会出现一个MAC对应多个IP的情况;
上面说到的是内部网中私接路由器的情况,下面顺便说下查找网络中私自通过NAT方式通讯的主机。
大家注意,如果是NAT通讯,那么其IP和MAC都会更改为NAT主机的地址,所以通过上面的方法将得不到正确的答案。
在这个时间,我们需要借助科来网络分析系统捕获数据包,然后分析其中TCP数据包的序列号,如果是一台主机,那么不同数据包的序列号差别会不大,如果是NAT后的多台主机,则它们的序列号差别会相当大,而我们通过这个,即可确定出内部网中是否在通过NAT方式上网。同样,也可以通过确认号实现。 |
发表于 2006-11-14 18:43:50
发表于 2006-11-15 09:42:00
