Win XP 增加了反ARP欺骗能力??? !!!! ????

peterhu318 · 发表于 2006-8-9 14:12:24

今天做了一个试验，发现了一个问题：　我在本机用发包软件发一个ARP,来请求另一台主机的ARP响应，通过sniffer软件，可以看到ARP发出去了，对方也进行了回复，但是用arp -a命令，却不能发现那台主机的IP-MAC对应项，可SNIFFER中明明显示了对方已经响应了ARP请求。用PING命令去PING对方，SNIFFER显示产生了一个ARP请求/响应，再用ARP -a ，对方的IP－MAC对应关系出现在了ARP缓存中。

　　难道WIN XP在内核增加了防ARP欺骗能力？　

附：测试过程

C:\c>arp -a

Interface: 192.168.1.8 --- 0x10006
  Internet Address    Physical Address    Type
  192.168.1.1          00-08-5c-03-ca-1e    dynamic

C:\c>nemesis arp -v -S 192.168.1.8 -D 192.168.1.9  -d 3

ARP/RARP Packet Injection -=- The NEMESIS Project Version 1.4.1 (Build 27)

            [MAC] 00:0D:60:79:39:BC > FF:FF:FF:FF:FF:FF
   [Ethernet type] ARP (0x0806)

  [Protocol addr:IP] 192.168.1.8 > 192.168.1.9
[Hardware addr:MAC] 00:0d:60:79:39:bc > 00:00:00:00:00:00
      [ARP opcode] Request
  [ARP hardware fmt] Ethernet (1)
  [ARP proto format] IP (0x0800)
  [ARP protocol len] 6
  [ARP hardware len] 4

Wrote 42 byte ARP packet through linktype DLT_EN10MB.

ARP Packet Injected

C:\c>
C:\c>arp -a

Interface: 192.168.1.8 --- 0x10006
  Internet Address    Physical Address    Type
  192.168.1.1          00-08-5c-03-ca-1e    dynamic

C:\c>

[ 本帖最后由 peterhu318 于 2006-8-9 14:22 编辑 ]

mars · 发表于 2006-8-9 14:15:32

XP 应该不具备这个能力。

ValorZ · 发表于 2006-8-9 18:23:45

The NEMESIS Project Version 1.4.1 (Build 27)
XP默认是没有的。

Valve · 发表于 2008-7-30 17:31:35

楼主，你觉得你的nemesis 发的Arp包有问题。

你的192.168.1.9 应该是不存在的吧？？

如果不存在的话，就不会显示出来。

你用nemesis 包的Arp包是请求包，和网络中正常的Arp请求包是一样的。。

如果是址不存在，当然不会显示出arp表中。。。

你在试试吧。。

mzikey · 发表于 2009-1-7 15:34:40

我也发现同样的现象."192.168.1.9"是存在的.
我的测试环境是192.168.3.4(xp 运行nemesis) 192.168.3.3(xp wireshare) 192.168.3.1 (redhat tcpdump).

mzikey · 发表于 2009-1-7 20:49:03

3.4给3.3 发arp request or reply ,wireshark上均能抓到对应的包,但3.3的arp table的3.4项无,给3.4给3.1 request or reply均能更新3.1的arp表项.
后不知为何(能回忆起的大约是半天后,3.4有重启过系统)3.4给广播请求3.3 arp request 能更新3.4上的arp 表项了,但reply还不能更新arp表.

肯定有原因,只是我还没找到,觉得奇怪.

Win XP 增加了反ARP欺骗能力??? !!!! ????

本帖子中包含更多资源