arp request 后arp 表问题？

normal · 发表于 2009-3-15 09:01:15

请教专家：我用包制作程序仿造了一个reply包，目的是告诉192.168.1.3主机，ip 192.168.1.111 的mac地址是11:11:11:11:11:11
包细节是这样的，
ether II: 源：mac 11:11:11:11:11:11  目的：mac (欺骗主机） 22：22：22：22：22：22
arp: 源：mac 11:11:11:11:11:11  源IP：192.168.1.111（未使用）
   目：mac (欺骗主机） 22：22：22：22：22：22  目的IP：192.168.1.3
   arp type:reply

问题是：从SNIFFER上可心看目的主机192.168.1.3收到我的欺骗arp包，但是192.168.1.3 的ARP表没有更新（arp -a 还是没有192.168 1.111 mac 11:11:11:11:11:11 )这是为什么呢？

谢谢！

normal · 发表于 2009-3-15 18:44:57

求助。。。。

oldjiang · 发表于 2009-3-15 20:04:40

192.168.1.3主机的mac地址确实是22：22：22：22：22：22吗？
给他发一个请求包试试呢？

normal · 发表于 2009-3-15 22:09:16

谢谢版主回复，
1. mac地址 11：11：11：11：11：11 与 22：22：22：22：22 地址是为了写方便，实际不是这个地址，只是为表达个地址的意思。192.168.1.111 实际上网段上目前没有这个IP的主机，想测试下192.168.1.3在收到192.168.1.111 reply arp 会不会更新自已的ARP表，可是结果却没有。
2.但是如果192.168.1.3 发起ARP REQUEST 的话，欺骗的ARP reply信息192.168.1.111 11：11：11：11：11:11会显示在192.168.1.3的ARP表中，这是为什么呢？

ValorZ · 发表于 2009-3-16 10:32:11

原帖由 normal 于 2009-3-15 22:09 发表
谢谢版主回复，
1. mac地址 11：11：11：11：11：11 与 22：22：22：22：22 地址是为了写方便，实际不是这个地址，只是为表达个地址的意思。192.168.1.111 实际上网段上目前没有这个IP的主机，想测试下192.168.1.3 ...

如果接受到的arp reply条目中的IP并没有在原来的arp cache中,则不会创建新的arp记录吧.
也就是说,只有arp 主动request后收到的arp记录才会被创建.

oldjiang · 发表于 2009-3-16 10:41:09

摘自ARP攻击与防护完全手册 http://www.csna.cn/forum.php?mod=viewthread&tid=1311
1.2  ARP工作原理：
首先，每台主机都会在自己的 ARP 缓冲区中建立一个 ARP 列表，以表示 IP 地址和 MAC
地址的对应关系。

当源主机需要将一个数据包要发送到目的主机时，会首先检查自己 ARP 列表中是否存
在该 IP 地址对应的 MAC 地址，如果有﹐就直接将数据包发送到这个 MAC 地址；如果
没有，就向本地网段发起一个 ARP 请求的广播包，查询此目的主机对应的 MAC 地址。
此 ARP 请求数据包里包括源主机的 IP 地址、硬件地址、以及目的主机的 IP 地址。

网络中所有的主机收到这个 ARP 请求后，会检查数据包中的目的 IP 是否和自己的 IP
地址一致。如果不相同就忽略此数据包；如果相同，该主机首先将发送端的 MAC 地址
和 IP 地址添加到自己的 ARP 列表中，如果 ARP 表中已经存在该 IP 的信息，则将其覆
盖，然后给源主机发送一个 ARP 响应数据包，告诉对方自己是它需要查找的 MAC 地址；

源主机收到这个 ARP 响应数据包后，将得到的目的主机的 IP 地址和 MAC 地址添加到
自己的 ARP 列表中，并利用此信息开始数据的传输。如果源主机一直没有收到 ARP 响
应数据包，表示 ARP 查询失败。

normal · 发表于 2009-3-18 19:24:10

谢谢两位版主的热心解答。又SNIFFER后，在cache 没有 arp 对应情况下，只能通过request 方式加载MAC - IP。