|
|
正在学习协议和抓包软件,做了一个小试验:
试验机的IP是192.168.0.99,网关IP是192.168.0.1
1. 为了不影响局域网内的其他人,选取两台机点对点试验, 用科来数据包生成器 构造两个单播ARP应答包:
一个是向网关宣称192.168.0.50 在 00:0D:60:33:BD:55,目标物理地址填网关的真实MAC,目标IP随意填如192.168.0.55
一个是向192.168.0.50机宣称网关在00:0D:60:33:BD:66,目标物理地址填192.168.0.50的真实MAC,,目标IP随意填如192.168.0.56
上面的两个MAC(00:0D:60:33:BD:55和00:0D:60:33:BD:44)均为随意填的。
2.向网上同时发送这两个包,在另一台机子上运行Anti arp sniffer和抓包软件sniffer
3.结果是192.168.0.50不能上网,同时发现:
Anti arp sniffer中的攻击日志中记录的只是随意填写的MAC和IP;
在sniffer软件中不管是在host table还是在Matrix中看到的也是随意填写的MAC和IP,在decode视图中看到就是上面构造的包。
我不知道上面这样做的对不对,设想一下:如果真的是在一个局域网内发起ARP攻击,而MAC和IP都不是真的情况下,有什么办法可以从别的机子上找到发出这些包的源头吗?
[ 本帖最后由 xiefy2005 于 2007-4-14 23:53 编辑 ] |
|
发表于 2007-4-14 23:51:24
我也拿单位机子做过实验的