P2P终结者+科来的讨论

yydfish

本人菜鸟，最近无意发现一情况，特提上来供各位大虾指点哈。
  情况是这样的，大家都知道科来的网络采点方式：
1是在路由器下加HUB，然后接带科来分析系统的电脑捕获数据包；
2是在可以镜像的核心交换机上做镜像捕获数据包。
  但是本人家中采用TP-LINK家庭版4口路由器，下面接一普通的8口交换机。此网络无HUB，交换机也无镜像功能。本人的电脑接在路由器的端口，这样一来采集的只能是本人自己电脑的数据包。
  但如果把P2P终结者软件开启，并开启科来系统，就会发现科来能够捕获本地网络所有的数据包，不知道P2P终结者在这里是否扮演了一个端口镜像的角色。
  呵呵，我也只是猜测，还望各位多多指点！！！
  特提出，这样类型的网络结构在普通家庭共享式网络及小规模的企业网络非常相似。

sivalei

可以，我测过只能监控到lan到wan的包

wan到lan的回包没有监控到。

等你的抓包就知道啦～

zealotcc

P2P终结者的原理是ARP欺骗，那么所有去向外网的流量自然流到你本机上了

[ 本帖最后由 zealotcc 于 2007-5-27 15:25 编辑 ]

菜鸟人飞

是的，P2P终结者是基于ARP协议工作的，从原理上讲，它属于ARP中间人攻击。采用此类攻击，可以在交换式以太网中捕获其它机器的数据通讯，从而使用网络中的信息泄密。
但此类攻击会造成网络中大量的冗余ARP数据包，耗费网络带宽。
科来可以有效发现此类攻击，在科来的诊断视图中，有一个ARP太多无请求应答的诊断事件。如果诊断视图中出现了该诊断事件，此表示网络中存在ARP欺骗攻击。

像P2P终结者这样的工具非常多，实际上它们本身就是一种攻击行为，与交换机的镜像端口没有任何联系，与小型网络的拓扑情况也具备任何相似性。

sivalei

p2p终结者 对wan to lan回包 不跟踪！

建议用ArpSender.exe

本坛子有下

ipower

又学一招

tlbaobao

赞同4楼，我在用此法，但网络感觉很慢

yeanjq

分析的精彩 4# 菜鸟人飞

seardna

感谢指点 最近正发愁arp攻击的问题

wykk2002

是的我也遇到过，