为什么自己的机上构造网关发达的免费ARP包，会倒置断网？以及一些问题。

iejtqy · 发表于 2011-3-8 23:57:38

我的网络拓扑是这样的：
我在我的机子上用科来数据包生成器构造了一个以网关为源地址的发达的免费ARP包，频率是三秒钟一个包。。
出现问题了，出现断网了，PING网关不通，ARP -A的缓存表有对。可就是PING不通。
QQ没有掉线，于是我是打开进入路由器的界面，页面打不开，同时打开科来抓包，发现
只有本机发送的TCP同步包，没有得到路由器的响应。可是过了几分钟后，网络又正常了，也可以PING通网关了。我用的路由器是D-LINK504的无线路由器，交换机是傻瓜交换机。。

Se7en · 发表于 2011-3-9 13:04:54

mac-address-table的问题吧，交换机把你的TCP请求包，发回本机了，抓包看看有重复的数据包吗？

long_323 · 发表于 2011-3-9 22:49:10

肯定有断网了。
交换机基于源MAC学习，目的MAC转发。
你在本机发了虚假的网关arp。导致了交换机的CAM更新。
如果持续发下去，这个交换机下的设备估计都会断网了。，

iejtqy · 发表于 2011-3-9 23:17:04

本帖最后由 iejtqy 于 2011-3-9 23:19 编辑

3# long_323
那个这个问题目不是严重了，如果我在内网里构造这样的ARP包，那么用抓包软件抓包，抓到的数据包（还是上面那张图片），那么不是没有办法定位包是从哪台主机发送的，因为抓到的数据包的源地址是网关的IP以及MAC。
还有一个为什么QQ没有掉线？

wangluofang · 发表于 2011-3-14 13:36:26

好像交换机的问题

biaolielong · 发表于 2011-3-14 15:50:41

路过学习的，支持一下

wangluofang · 发表于 2011-3-15 14:37:37

你的源地址mac一定要是自己的，否则相当于做arp 欺骗了。也容易造成交换机负载加大，也会使你机器的负载加大。

iejtqy · 发表于 2011-3-18 23:08:02

9# wangluofang
我构造的数据包，源地址就是故意用网关的MAC，因为就是为什么做ARP欺骗，然后在网络抓包，可结果抓到的包的源地址它就是构造的那个数据包，那么如果网络真的纯在这种攻击的话，那么不是没有办法定位是谁在发这个数据包，因为我构造的数据包的源地址是用的网关的地址，而抓包抓到的也是网关在发的包，而不是我欺骗机子的MAC在发包。

zhupengyue · 发表于 2011-6-14 10:46:09

你过滤一下数据包，看下哪个机器大量的发送ARP的广播。
你抓的这个图里是告诉ff:ff:ff:ff:ff:ff 192.168.0.1的MAC是00：00：00：00：00：00

为什么自己的机上构造网关发达的免费ARP包，会倒置断网？以及一些问题。

本帖子中包含更多资源

评分