跪求高手分析 ARP 攻击急急！

xumingyou · 发表于 2010-6-29 10:42:00

连续一个星期内网遭受ARP攻击，用了N多工具都没法找到攻击源，现将科来抓的包上传，请高手帮忙分析一下，本人在此跪谢了！

xumingyou · 发表于 2010-6-29 10:45:50

再将网络拓扑贴上来

牛二 · 发表于 2010-6-29 11:13:56

LZ数据包抓的有问题，部署不正确，抓到的都是广播和组播包。希望能抓到完整的包，通过HUB，镜像等方式，然后上传吧

redsnail · 发表于 2010-6-29 11:35:49

同意楼上，等待新包。！！！！！！

xumingyou · 发表于 2010-6-29 13:56:24

谢谢，两位，不过现在的网络环境没办法，如果用HUB那么速度就会大打折扣。

善变的心 · 发表于 2010-6-29 16:41:51

看看看。。。。。。。。。。。。。。。。。

xiaoshazi · 发表于 2010-6-29 21:03:45

你抓包的时候，没有arp攻击吧？你是通过什么判断是arp攻击的。被攻击时的现象是什么？

xumingyou · 发表于 2010-6-30 13:52:45

出现ARP攻击的时候，部分没有做网关MAC地址绑定的就会出现另外一个MAC（非真网关MAC地址），然后就不能上网。用APR攻击检测工具检测时也显示有攻击。

xumingyou · 发表于 2010-6-30 14:08:13

检测工具检测的截图，请帮忙看看啊

xumingyou · 发表于 2010-6-30 14:25:40

9# xumingyou
再贴张图片

reddey · 发表于 2010-6-30 14:55:31

你找一下内网中192。168。0。1对应的MAC地址，到底是那两台电脑。如果以前你没有做过电脑档案
表，只好一台一台地查了。不好怕费事

xumingyou · 发表于 2010-7-1 10:37:07

真网关的MAC地址是： 192.168.0.1 00-11-bb-1c-d3-b7
但是相对应192.168.0.1 还有另外一个MAC地址

xumingyou · 发表于 2010-7-1 11:06:21

怎么这台机器有两个MAC地址，就是底下那个00:B0:2C:00:61:61，这个MAC地址就是伪造的

诅咒假面 · 发表于 2010-7-4 20:55:44

大家帮一把

诅咒假面 · 发表于 2010-7-4 21:26:59

ARP盗取只有一次，后就恢复正常了，估计是主机的arp表在恢复正常后没刷新，ARP表学到了假网关，arp -d 清一下重学。

跪求高手分析 ARP 攻击 急 急！