ARP攻击测试，科来无法找到真实攻击源

gx120

ARP攻击测试，科来无法找到真实攻击源

qzyuanmu

LZ ，科来是分析工具，不是类似于 杀毒工具啊，这个问题靠个人能力解决的，
排查法，？，参考下哦

luotao251

楼主那台机器IP地址与其它机器有冲突。先解决掉这个问题。
另外局域网内有ARP攻击的话，用科来是可以抓数据包分析出来的。分析是人来分析，不是科来自己分析，科来可以把当时故障情况的数据包抓取出来。
楼主可以传一个数据包大家帮你分析一下吧。

gx120

冲突是ARP攻击测试的一个功能是故意的.

看到的源MAC地址是假的.

根本就找不到攻击源

23456789

帮分析一下ARP 病毒
最近公司局域网出现了问题  老吊线  网速也老慢  有的时候 干脆网页打不开   全断了  把路由器重起一下 就好了 但马上路由器就又死了
前提是  以前 局域网 中过这种病毒  每台机器也装ARP 防火墙了   也都重装系统了 但好景不长  
这种病毒又出现了  又看不出来 是那台机器中病毒了
请高手 指点一下怎么解决  
下面是用科来  分析的 图   请高手帮分析一下  谢谢了

xwy3260

从你给的图片我们只能看到网络中存大ＡＲＰ，但不能判断是否正常，请帖上数据包。

xwy3260

原帖由 gx120 于 2007-9-22 17:20 发表
冲突是ARP攻击测试的一个功能是故意的.

看到的源MAC地址是假的.

根本就找不到攻击源

科来做为协议分析软件，对于伪mac地址，当然不能找到。协议分析软件是工具，找到原因后就需要个人的经验，能力来进行排查了。

菜鸟人飞

原帖由 gx120 于 2007-9-22 17:20 发表
冲突是ARP攻击测试的一个功能是故意的.

看到的源MAC地址是假的.

根本就找不到攻击源

如果在做攻击的时候，同时伪造IP和MAC，如果不借助其它设备，据我所知，所有的分析软件都无法发现真实的攻击者。
本论坛中提供了一种方式，即将分路器和科来同时使用，以查找真实的攻击者，楼主可以看看http://www.csna.cn/forum.php?mod ... ge=1&sid=VilG2B。

如果你有其它的方法，请共享一下，谢谢。

luxxsys

原帖由 qzyuanmu 于 2007-9-22 13:38 发表
LZ ，科来是分析工具，不是类似于 杀毒工具啊，这个问题靠个人能力解决的

强烈赞同！

Vurtne123

楼主 是自己手动发的ARP应答的数据包 比如发个给A的应答数据包
1 源地址 目标地址的逻辑地址都填 A的 IP
2 源地址 mac随便乱填个  目标地址填A的mac

这样在A机器上抓包 就会一直显示太多无请求应答 而且还会一直出现IP冲突

raoxiang

在路由上会有arp缓存表，在里面查找记录。找出同样MAC地址的机器，隔离排查

Vurtne123

楼上的 你怎么能保证一定有相同mac地址?   mac是可以伪造个不存在的 甚至伪造成另一个mac(诬陷它)  你就慢慢去找那台被诬陷机器吧 毒杀100遍 系统装100便 还是一个样