ARP扫描/ARP欺骗/ARP风暴 今天竟然全部被我碰到了

nickemma

今天正在编写文件的时候，突然接到报障：网络内很多应用系统很慢。

   打开科来查看一下，晕哦，竟然什么都有：ARP扫描/ARP欺骗/ARP风暴

   最后对这些电脑在防火墙策略禁止出外网，哈等了一下终于送上门了。。。。

菜鸟人飞

ARP扫描和ARP风暴一般是ARP欺骗的前奏，因为根据ARP扫描，攻击者可以知道网络中有哪些主机存活，从而便于后面的欺骗攻击。

cqycgsxggw

這個沒有看懂,那位高手可能解釋一下嗎？

learning

这不是CSHARP的项目文件嘛，哈哈。不会是你写的吧

zealotcc

大家另存观看吧

zealotcc

arp协议并不是很复杂的东西,大家只要对他足够的了解,基于arp的攻击并没有那么可怕.

关键是深入的了解,不带一点疑惑,那么小样arp怎么变,怎么伪装也会漏出尾巴的

kufemail

在我的网络里面也有这样的问题，有机器中了这样的病毒，首先历遍网络询问谁是192.168.2.x 告诉 192.168.2.w。 之后就开始对有限的几台机器进行ARP欺骗，声称自己是网关。可是我在进行端口镜像抓包之后，却看不到被欺骗的主机有大量数据包流入。并且通过连接状况看，他们依然可以正常上网。这台机器没有采用规范的命名方法，所以一时找不到机器的主人。可是我并不是真正具有网络中所有设备的管理权限。所以有一台交换机，病毒宿主所在的交换机是我无法访问的。于是在这种情况下只能任其为所欲为。网络中有一台路由，我和一个朋友讨论过以后，才觉得骨干路由并不真正具有路由的功能，只是一个普通的二层交换。没有管理功能。于是在病毒宿主活动大约30分钟以后，路由器就已经承受不住ARP风暴而使得网络壅塞了。在这种情况下，恐怕我能知道宿主的信息，也没什么有效的方法。或许这种时候DOS攻击可能变得让人喜欢了吧。

zealotcc

有机器中了这样的病毒，首先历遍网络询问谁是192.168.2.x 告诉 192.168.2.w

这时候的源mac基本上就是真实中毒主机的mac

abb0076

其实我觉得有ARP扫描也不一定有ARP的欺骗的.例如你安装有ARP保护软件的时候他就会有.我觉得只是看增加的速度和量大小,就看路由器能不能抗了 呵呵

天蓝

楼主真利害，可以下载下来研究研究

xiayu6810

强悍啊..................

liuheliuxi

原帖由 kufemail 于 2007-6-9 06:24 发表
在我的网络里面也有这样的问题，有机器中了这样的病毒，首先历遍网络询问谁是192.168.2.x 告诉 192.168.2.w。 之后就开始对有限的几台机器进行ARP欺骗，声称自己是网关。可是我在进行端口镜像抓包之后，却看不到被欺 ...

根据你说的，你应该能找到中毒电脑的MAC地址呀，如果你还是找不到对方电脑，说明你没有统计公司上网电脑的MAC地址并对其登记，这样对管理是不利的。如果公司太大，那么在路由器上面禁止其MAC地址上网，然后等来报告不能上网的用户吧。

wastebaby

有些软件上带绑定MAC的也会引起ARP问题