发现ARP欺骗，但却没有改变ARP表

rainy2004 · 发表于 2007-4-24 01:14:50

用科来扫描的时候发现受到ARP攻击，就是某一台机器先是不断地ARP扫描，然后是ARP请求，接是ARP无请求应答。
从包里面可以看到某一机器发送大量伪装成网关的ARP包，可是我在CMD下用ARP -A命令的时候却发现在ARP表里面
网关的IP MAC还是正确对应的，并没有被修改，
为什么？
PS:我并没有开防护软件，完全裸机～～

wwwang · 发表于 2007-4-24 08:18:14

可能你的网关有防护功能也说不定!

gezi1234 · 发表于 2007-4-24 09:30:14

看来这些欺骗包的目的地址应该不是广播或者楼主的机器……

菜鸟人飞 · 发表于 2007-4-24 09:34:14

查看拆到的数据包，看他们欺骗的目的是什么？是只欺骗了一台机器，网关，还是欺骗了所有的机器？

tpstar · 发表于 2007-4-24 13:56:52

对,具体还要看一下包!

rainy2004 · 发表于 2007-4-24 15:48:24

刚想上传数据包的，发现昨天没有保存，呵呵，晕死了～～
不过我昨天看了一下，ARP包中源地址是A机器的MAC+网关的IP
，目的地是我的机器～～

hopehands · 发表于 2007-4-24 17:15:10

还是抓包来看把。。。说感觉很不清晰

woshisl1983 · 发表于 2007-4-24 17:37:43

我这如果扫描出来。一发现ARP无请求应答就开始掉线。狂卡。现象。

gezi1234 · 发表于 2007-4-24 18:48:26

原帖由 rainy2004 于 2007-4-24 15:48 发表
ARP包中源地址是A机器的MAC+网关的IP
，目的地是我的机器～～

如果是这样的话,那么网关估计有ARP防护机制.不知楼主在抓包时有没有注意到网关定时发的ARP广播.如果确实没有的话,楼主在看一下那个IP-MAC对应是静态的还是动态的,如果是动态的……那么，仁慈的主在罩着你的机器……

rainy2004 · 发表于 2007-4-25 14:05:14

哈哈，是动态的～～
不过今天似乎网关开始了防护机制，不断地发送ARP广播～～

发现ARP欺骗，但却没有改变ARP表

网关有防护功能

我这也是。我这是这样的。