ARP欺骗已经过时了，现在流行非ARP欺骗，浻！

linminwww

看刚才盾了一下到这个网址看看
http://blog.163.com/yf_onlyone/blog/static/644219202008413367494/
的局体的分析

liuheliuxi

原帖由 robur 于 2008-4-29 15:41 发表
最近看了两款软件，一个叫httphijack，另一个叫SSClone。都是国产的哟～～
原理大概看了一下，不得不佩服这个思路。

传统ARP欺骗，欺骗的是终端计算机，而这个非ARP得欺骗，欺骗的是交换机！
它让交换机建立起错 ...

我原来碰见过这种攻击，虽然后来找到了原因，但是一直以为也是ARP欺骗，没有想到居然是非ARP欺骗，我对这个概念不是很了解，能详细解释一下吗？

cniqpl2008

最近我们这网吧被ARP攻击了，都安装了防火墙，可客户机都无盘的，没办法安装。
就是找不到那个伪装的MAC地址，但用了科来，老是有ARP提示，来自一台机    IP是我们无盘的服务器    可我就不太相信了，为什么老是提示服务器ARP警告呢
无盘服务器里安装麦咖啡杀毒软件与360防火墙，但服务器服的情况所有都正长，上网连接客户机都正常
在这种情况如果解决ARP的攻击呢

ARP攻击时所使用的IP老是在变   但MAC地址一直都是一样的      是非ARP    交换机被骗了还是内网ARP攻击    所有服务器都检查了，是正常的   客户是无盘的，系统自己还原的   都重启了几次     目前主不是找不到那个MAC地址   与攻击来源   一直提示的是内网攻击  有谁有最好的办法   

下面我提供个图你们看看  ：

liuheliuxi

你都知道MAC地址了还没法找到那台电脑吗？

zx1688

ARP表里的表是正确的，但找不到主机。。这样的表会保持着吗？
交换机错误的MAC表会保持多长时间呢？

freeboy

cisco的交换机可用端口安全命令绑定MAC与端口，并且只允许一个MAC进来，不合法的都过滤掉，
哈哈，还是Cisco的东西好啊

中北天涯

这种技术就是cisco ccsp中的对交换机的攻击，利用交换机学习源mac ，最后决定转发还是过滤，攻击交换机，不停发送伪造的包，让交换机的mac表保存错误的mac ，正确的都被冲掉了

nthuh

原帖由 hu_ai_zai 于 2008-5-14 15:44 发表
详见附件！

我最近抓了一个包，好像和您说的有点象，请关注

nthuh

原帖由 nthuh 于 2009-1-14 13:41 发表

我最近抓了一个包，好像和您说的有点象，请关注

该网络部署是正确的，通过arp -a扫描的结果是
192.168.36.1(00:0F:E2:3E:AA:21),
经过分析，我怀疑是不是有部门接了小路由器，我查了一下另一个说是网关的地址00：C0：02：C0：E1：7A，请看图，请各位高手参考一下

肠旺加面

我看了下说明文档，这个做法的确很妙。做得好的话就是个软网络监控过滤系统哇。可以看到包，可以控制网络通断（是否转发真实网关）。。。菜鸟一点粗见。。。

dada147

原帖由 robur 于 2008-4-29 15:41 发表
最近看了两款软件，一个叫httphijack，另一个叫SSClone。都是国产的哟～～
原理大概看了一下，不得不佩服这个思路。

传统ARP欺骗，欺骗的是终端计算机，而这个非ARP得欺骗，欺骗的是交换机！
它让交换机建立起错 ...

这个是MAC SPOOF ATTARK，或者是MAC FLOODING
这是最原始的LAN攻击技术～～～，也是最不流行的～～～
对应当方法很简单：
    1、基于源MAC地址允许流量：端口安全
    2、基于源MAC地址限制流量：static CAM
    3、阻止未知的单/组播帧
    4、802.1x基于端口的认证

sesun

一般的单位，，用的都是非网管的交换机，，而且为了省事，，，，，每个办公室只拉一根线，，然后结个8口的交换机，，，真要来个这个病毒，，，所有的交换机都要换了，，，，老板才不干呢

garyx

原帖由 robur 于 2008-4-30 11:46 发表

到也是，不过毕竟不可管理的交换机还是有相当的占有量。

我CAO，这话才是真话啊！老板不给钱买设备！我就要在腥风血雨中度过余生了...........

hcwswdj

ssc 在我的tp link 无线路由器下 没有作用

1351510

学习了 谢谢