ARP 欺骗问题（请专家）

master-zw · 发表于 2010-5-31 11:16:10

本帖最后由 master-zw 于 2010-5-31 22:16 编辑

最近深受ARP困扰。之前用了ANTIARP可以比较好的控制ARP问题。最近好象控制器软件换了或者什么问题。用了各种软件均不能有很好效果。360ARP ANTIARP 金山ARP。之前的攻击的伪装MAC都是固定的。现在的攻击网络上有非常多的网关欺骗包。每个MAC都不一样。使的这些软件都不一样。
环境。 WIN03无线网卡+无线路由器+有线路由器环境。没有用HUB或者有些包不能收到。上传附件供大家分析。用的是科来2010交流版。谢谢。
本人比较疑惑。静态绑定后不是每次通信都比较缓存里的地址吗。为什么还是欺骗成功呢。

bingxuelin · 发表于 2010-5-31 11:28:00

本帖最后由 bingxuelin 于 2010-5-31 11:31 编辑

192.168.1.182电脑一直在询问255.255.255.255做什么,检查一下...
192.168.1.2电脑在用电驴下载东西....
不知道你所说的ARP欺骗具体的症状是什么,偶尔掉线还是?而且说每个MAC都不一样,不是很明白

master-zw · 发表于 2010-5-31 11:31:20

本帖最后由 master-zw 于 2010-5-31 11:33 编辑

具体现在就是很卡。PING掉包严重。根本不能打开网页。192。168。1。182是在MAC扫描。准备攻击。然后它发送数据包。不同的MAC伪装成网关192。168。1。1。这本是基本的ARP欺骗。不知为什么ANTIARP防御不了。

bingxuelin · 发表于 2010-5-31 11:37:19

本帖最后由 bingxuelin 于 2010-5-31 11:39 编辑

把192。168。1。182断网进行查毒
192。168。1。2让它把电驴下载软件关闭
再看看网络
现在192。168。1。182从数据包来看仅仅是在询问广播地址，还没有伪装成其他的IP地址的ARP数据包，因而也不存在拦截

日照无线 · 发表于 2010-5-31 15:36:03

PPPOE是解决ARP的唯一有效方法!!!!!

master-zw · 发表于 2010-5-31 22:13:11

小哥如果我能断网。就不会有现在这个问题了。我们是共用上网。只能从技术上面解决。我的IP是1。2。或许你没有看清楚数据包。里面有很多欺骗包。

还有5楼。请你先搞清楚什么是PPPOE。那只是用在拨号上面的。
版主能不能上来分析下。

bingxuelin · 发表于 2010-6-1 08:13:08

本帖最后由 bingxuelin 于 2010-6-1 08:14 编辑

第一：我的意思是让IP为192。168。1。182“这一台”（就这一台，不用其它的，你这边顶层有路由，你要断全网干什么）电脑断开网络查毒，你本机192。168。1。2开了电驴或者是讯雷的下载软件，作为网管，这类软件使用对网络的影响我想你应该清楚吧。
第二：你所谓的欺骗包是指什么包，是那些询问广播地址“谁是255。255。255。255请告诉192。168。1。182”这种？还是上面普通的询问192。168。1。2在哪这样的数据包？从包里看源MAC地址以及应答的MAC地址全部是正确的，何来欺骗？ARP欺诈是例如：本身MAC1对应IP1，MAC2对应IP2，但是MAC2偏偏要发ARP数据包告诉网内的人说MAC2对应IP3或者IP4之类，这才是欺诈，192。168。1。182发送那些ARP询问包可能是在嗅探网内主机，不过看样子也不象，普通的嗅探扫描一般都是从1-255逐个发送ARP询问包查询网内主机。

hw2000 · 发表于 2010-6-1 08:42:41

PPPOE 是什么。。。。如何解决ARP攻击问题

master-zw · 发表于 2010-6-1 17:24:35

本帖最后由 master-zw 于 2010-6-1 17:26 编辑

不知是我表达不够清楚还是你们看的不够仔细。我现在来描述。这里的包数据。我的IP是192。168。1。2 00:17:C4:E3:B1:7A 网关 192。168。1。1 00:25:86:76:C6:F6 我已经知道攻击者 192。168。1。182 正确MAC00:1A:92:90:79:7C。
这里有几个包
编号       绝对时间                   源                         目标                      协议          大小       解码字段       概要
1          04:42:24.662966       44:69:48:1F:59:5C       00:17:C4:E3:B1:7A       ARP       64                      谁是 192.168.1.2? 告诉 192.168.1.1
2          04:42:54.586976       44:54:76:23:11:28       00:17:C4:E3:B1:7A       ARP       64                      谁是 192.168.1.2? 告诉 192.168.1.1
这个就是欺骗包。我是想问为什么ANTIARP防御不了。根据原理我静态绑定以后不是应该不理睬这个包吗。
另外好象也只是对我的电脑进行攻击。好象没有对网关进行欺骗。不知是我嗅听环境的问题。另请理解ARP的进行回复。技术层面解决。而不是断网。我曾经试过用科来。包生成器。生成ARP包。在网上不断的发送。我的IP。MAC 网关IPMAC。有的时间有用。现在不管用。不明白。。请高人指点。

bingxuelin · 发表于 2010-6-2 13:39:08

没太仔细看数据包，第一个抓包文件里发现三个44开头的MAC地址向网内询问192。168。1。2在哪，接着192。168。1。2就向这个伪网关的MAC地址回复自己所在位置
（1）不知道你有没有把192。168。1。182那台电脑进行查毒（普通******之类小杀毒软件跟本扫不出来什么），使用360的系统急救箱加上WINDOWS清理助手扫描看看是否能清除出来病毒木马之类，我所说让192。168。1。182断网是指把他的网线拔了，目的是不让他继续威胁网内电脑，毕竟怀疑他存在病毒
（2）使用双路由注意路由的LAN口IP设置，路由默认的LAN口IP地址都是192。168。1。1或者是。0。1，你是把无线路由当作交换机来使用？如果有线路由是顶层路由的话，无线路由只使用LAN口与有线路由的LAN连接（做交换机使用），无线路由会给网内发送ARP包告诉网内它是192。168。1。1，与真正的顶层有线路由产生冲突，届时网络会掉线一小会直到有线路由重新告诉网内他是192。168。1。1，这个只是一个可能

master-zw · 发表于 2010-6-2 17:45:57

谢谢大家。我想这里可能没人可以解析这个问题。我已知攻击者。但是是别人电脑。请注意这并不是企业里的网络。比如说小区共用的网络。而且是恶意的控制网络。不是什么病毒之类的。无线路由器加有线路由。这个我肯定知道IP设置。我想可能我的嗅听环境有问题。所以我的包数据还不完全。可能并不是单一ARP欺骗问题。谢谢大家。

ljdjj · 发表于 2010-6-3 10:57:12

瞅瞅看看。。。。。。。。。。。。。。。

日照无线 · 发表于 2010-6-15 05:37:36

真是杯具，跟你说了解决办法自己看不明白，还说没人能解决。PPPOE是拨号怎么了？就不能用在局域网了？内网建PPPOE服务器不行吗？PPPOE根本就不用ARP协议，难道不能解决ARP攻击问题吗？

ARP 欺骗问题（请专家）

本帖子中包含更多资源

评分