ARP对自身IP或者0IP做请求，意味着什么？

artico · 发表于 2006-8-29 14:04:56

附上两个图，，，
第一个是对0.0.0.0的ARP请求广播

第二个是对本身IP的ARP请求广播

请问什么情况下会出现上面两种现象！！！

artico · 发表于 2006-8-30 10:33:59

好象可以经常看到这样的数据，，，大大们。。。是怎么回事呢？

孤独的意尹者 · 发表于 2006-8-30 11:39:11

对0.0.0.0的ARP请求广播：一般正常的ARP请求包，其目的协议地址不会是一个0.0.0.0的地址，出现这种情况很有可能是有人构造并在网络上发送了这个包或者是木马等黑软所为。
对本身IP的ARP请求广播：是机器发送免费ARP包，主要是用来检测网络上是否有跟自己同样的IP地址（检测地址冲突的）。
通过你的贴图，我们可以看到这样的包都很多，而且很有规律性，所以建议楼主把抓包文件传上来给大家看看。呵呵，严重怀疑是楼主自己构造并发送了这些包，然后来考我们的，对不？？

artico · 发表于 2006-8-30 13:56:25

非也非也，，这样做就没什么意义喽。。
还是上传数据给大家看看吧。。

菜青虫 · 发表于 2006-8-30 16:34:55

原帖由 孤独的意尹者 于 2006-8-30 11:39 发表
对0.0.0.0的ARP请求广播：一般正常的ARP请求包，其目的协议地址不会是一个0.0.0.0的地址，出现这种情况很有可能是有人构造并在网络上发送了这个包或者是木马等黑软所为。
对本身IP的ARP请求广播：是机器发送免费 ...

同意！呵呵

第一个图，应该是伪造的，完全不符合正常的呢

第二图，是机器发送免费ARP，检查网络中是否有有另一个主机设置了相同的IP地址！

artico · 发表于 2006-8-31 12:03:34

有点为难啊。。。

除了正常的就是不正常的。。。不正常的基本上都是构造的。。。呵呵，，，道理是有啊。。就好象是雾里看花。。怪怪的。。

artico · 发表于 2006-9-3 10:05:29

原帖由 孤独的意尹者 于 2006-8-30 11:39 发表
对0.0.0.0的ARP请求广播：一般正常的ARP请求包，其目的协议地址不会是一个0.0.0.0的地址，出现这种情况很有可能是有人构造并在网络上发送了这个包或者是木马等黑软所为。
对本身IP的ARP请求广播：是机器发送免费 ...

关于第二个图对自己IP的请求，从检查冲突地址上可以理解，但是有个疑问：

就是请求的数量与时间上怎么定义出它对自身的请求是正常的？

如果这样的自身请求不停地每隔一秒就发送一次，这样还算是正常的吗？如果不正常会是什么问题？

zmc837 · 发表于 2006-9-4 10:00:26

关于第二个图对自己ip的请求，从检查冲突地址上可以理解，但也不应该长时间发送这样的数据包，如果是发包比较密集，时间比较长的话，就应该考虑楼主自己的主机是否中病毒了，或者是楼主在对我们考试，哈哈～

孤独的意尹者 · 发表于 2006-9-4 10:06:07

原帖由 artico 于 2006-9-3 10:05 发表

关于第二个图对自己IP的请求，从检查冲突地址上可以理解，但是有个疑问：

就是请求的数量与时间上怎么定义出它对自身的请求是正常的？

如果这样的自身请求不停地每隔一秒就发送一次，这样还算是正常的吗？ ...

正常的免费ARP包知识在机器加载时发送，也就是说一般机器只是在开机或者IP地址更新时会发送一个这样的包；
通过你的截图我们可以看到很多这样的包，那就说明不正常了，可能原因：还是人为或者黑软,呵呵！人为构造这样的包很容易，就不多说了，黑软要实现这样的功能也很容易的，IP地址冲突攻击嘛,很多软件都可以做到。

artico · 发表于 2006-9-4 10:21:37

谢谢前面两位朋友的解释。。
看来再没有更力的证明前，我也只能接受两位提到的解释喽。。。

artico · 发表于 2006-9-12 08:24:31

又找了个对自己IP的ARP请求，不过MAC地址对不上。。。拿出来供大家参考分析。。

KelvinFu · 发表于 2006-9-12 09:30:52

原帖由 artico 于 2006-9-12 08:24 发表
又找了个对自己IP的ARP请求，不过MAC地址对不上。。。拿出来供大家参考分析。。

LZ自己构造的包吧，看下面的十六进制解码！

[ 本帖最后由 KelvinFu 于 2006-9-12 09:31 编辑 ]

ValorZ · 发表于 2006-9-12 10:14:04

最后的是充填的长度的东西吧，因为正常的内容不足64字节

artico · 发表于 2006-9-12 10:51:31

不是我构造的，是网友的其中一个异常数据包里面抓出来的。。。觉得有意思才贴出来给大家看看。。

KelvinFu · 发表于 2006-9-12 10:51:44

原帖由 ValorZ 于 2006-9-12 10:14 发表
最后的是充填的长度的东西吧，因为正常的内容不足64字节

是啊，但是一般填充都是0000000呢，7777777看起很奇怪啊！

你用软件抓包看看呢！

zhang_ming · 发表于 2006-9-12 18:29:09

未见过这样的包，还待学习啊

tpstar · 发表于 2006-10-5 18:20:43

如果网络中有大量的包,而且一秒很多个的,请求自己的ARP报文,有可能是网络中有环路了,我是碰到过一次,

foundernc · 发表于 2006-10-15 01:48:33

下载下来慢慢学习。希望看得懂

hz123 · 发表于 2007-5-3 18:43:59

会不会IP设置错了啊有冲突的啊

zealotcc · 发表于 2007-5-3 20:38:48

最后一个,0.0.0.0问谁是0.0.0.0,发给fffffffff,好闲的人才弄个这玩意出来

ARP对自身IP或者0IP做请求，意味着什么？

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源