典型ARP扫描数据包！

菜鸟人飞 · 发表于 2006-6-6 16:32:22

典型ARP扫描数据包！

waohen · 发表于 2006-6-14 04:18:23

下了要是能找出那台机我回来顶死你！

waohen · 发表于 2006-6-14 04:19:25

晕怎么用啊！
晕死哦

菜鸟人飞 · 发表于 2006-6-14 08:51:30

http://www.csna.cn/forum.php?mod ... &extra=page%3D1
这儿不是有吗？多看下论坛啊

libin125_0 · 发表于 2006-6-14 09:10:59

上次去客户那里做测试，结果发现有ARP扫描，第一次实实在在地接触这个东西……
可惜，不能保存下来，这里涉及客户的隐私。

还好，谢谢楼主，可以好好研究一下了~~~~~~~~~

oar · 发表于 2006-6-20 11:01:56

呵呵，继续顶帖以赚取十分

lengxue108 · 发表于 2006-6-22 12:07:23

刚学，有几个疑问：1、arp回应不是单播吗？怎么目的地址还是FFFFFFFFFFFF?例如目的地址：1.136.136.16，源地址：0.136.136.16这个，它有什么特别吗？
2、相类似的，arp请求的目的地址不是：FFFFFFFFFFFF吗，怎么你抓的包中有的是：000000000000？
3、为什么只看到00 0f fe 01 22 7c（192.168.14.156）这台发送请求，但没有回应它的数据包呢？
希望菜鸟人飞不吝赐教！

jerryao · 发表于 2006-6-23 12:07:29

刚学同问
编号相对时间源目标大小概要
245 0.000000 Giga-byte Tech:AA:0D:04 FF:FF:FF:FF:FF:FF 64 0.136.136.16 在 00:20:ED:AA:0D:05

这个包是人为构造?

redfox · 发表于 2006-6-26 10:14:04

谁能回答楼上几位的问题呀

菜鸟人飞 · 发表于 2006-6-26 11:16:46

原帖由 lengxue108 于 2006-6-22 12:07 发表
刚学，有几个疑问：1、arp回应不是单播吗？怎么目的地址还是FFFFFFFFFFFF?例如目的地址：1.136.136.16，源地址：0.136.136.16这个，它有什么特别吗？
2、相类似的，arp请求的目的地址不是：FFFFFFFFFFFF吗，怎么你抓的包中有的是：000000000000？
3、为什么只看到00 0f fe 01 22 7c（192.168.14.156）这台发送请求，但没有回应它的数据包呢？
希望菜鸟人飞不吝赐教！

赐教不敢，共同探讨。
1.正常情况下，ARP回应是单播数据包。该例中的ARP回应数据包，目标地址都是FFFFFFFFFFFF，查看数据包可知，这些数据包全是一些客户端没有请求，源主机（00:20:ED:AA:0D:04）直接回复的，而由于目标地址是FFFFFFFFFFFF，从而我们知道，这是伪造的数据包，其目的是用于ARP欺骗。它的作用是告诉网络中的其它主机，xx在00:20:ED:AA:0D:04，这种情况一般用于ARP中间人欺骗攻击，用于非法截获网络中的通讯。
2.ARP请求的数据包，以太网层的目标MAC置为FFFFFFFFFFFF，ARP协议里面的源物理地址是会置为000000000000的。
3.它在进行ARP扫描啊，这是攻击的前奏。

菜鸟人飞 · 发表于 2006-6-26 11:17:34

原帖由 jerryao 于 2006-6-23 12:07 发表
刚学同问
编号    相对时间                   源                         目标                      大小       概要
245    0.000000    Giga-byte Tech:AA:0D:04    FF:FF:FF:FF:FF:FF 64       0.136.136.16 在 00:20:ED:AA:0D:05

这个包是人为构造?

可能是攻击软件伪造出来的。

fly2008 · 发表于 2006-7-10 17:35:08

需要学习，值得收藏！

jackyspy · 发表于 2006-7-13 00:14:10

现在我们局域网中也出现几乎相同的情况，发包的机器找到，但没查出是什么进程在发包。
0.136.136.16 这个地址肯定是不存在的，不知道有什么用意。
也是拼命进行ARP扫描，然后依次针对某一个IP发一批ARP应答包，以太网目标物理地址为0000000000000，这样似乎其他主机应该也收不到该数据包，事实上我在很多pc上看过，没有对应的arp缓存。
局域网内大约有100台机器，但唯一受影响的只有我一台，2003的系统，肯定不是我机器问题，因为发包的机器不在网的时候我的机器网络正常，一旦他在网，我大约隔半个小时～一个小时的频率断线。断线后和任何主机不通，但是抓包可以看到能收到一些来自攻击主机的arp包。

aiethac · 发表于 2006-7-16 00:26:44

需要学习，值得收藏！

shifeixiang · 发表于 2006-7-16 06:27:40

需要学习，值得收藏！

goushi · 发表于 2006-7-19 14:06:38

需要学习，值得收藏！

sunnyincd · 发表于 2006-7-26 16:42:51

前段时间遇到过类似的ARP欺骗

楚狂 · 发表于 2006-7-27 01:22:24

1. 我们的局域网里有很多ARP扫描的包,但是继续跟踪没有发现该主机发出的 arp replay包.该主机似乎只是不停的循环扫描该网段. 这是一种什么情况??
2,交换机上有什么有效的办法能遏止下ARP的广播吗? 我们的接入层大部分是华为的2403 系列交换机.且已经做了端口隔离但好象没有收到什么效果.端口隔离能够隔离开ARP的广播包吗?

enick · 发表于 2006-7-27 08:33:57

好东西,学习一下,收藏.

菜青虫 · 发表于 2006-7-27 09:16:07

原帖由楚狂于 2006-7-27 01:22 发表
1. 我们的局域网里有很多ARP扫描的包,但是继续跟踪没有发现该主机发出的 arp replay包.该主机似乎只是不停的循环扫描该网段. 这是一种什么情况??
2,交换机上有什么有效的办法能遏止下ARP的广播吗? 我们的接入层大 ...

1.ARP扫描是攻击的前奏

2.在端口上做绑定

enick · 发表于 2006-7-27 10:01:42

2.ARP请求的数据包，以太网层的目标MAC置为FFFFFFFFFFFF，ARP协议里面的源物理地址是会置为000000000000的。

在ARP地址解析协议里面目标物理地址却变成了000000000000,为什么啊?

enick · 发表于 2006-7-27 10:17:55

QUOTE:
原帖由 jerryao 于 2006-6-23 12:07 发表
刚学同问
编号    相对时间                   源                         目标                      大小       概要
245    0.000000    Giga-byte Tech:AA:0D:04    FF:FF:FF:FF:FF:FF 64       0.136.136.16 在 00:20:ED:AA:0D:05

这个包是人为构造?

可能是攻击软件伪造出来的。

请问一下,从哪一点可以看出是攻击软件伪造出来的(或者是人为构造的),谢谢!

楚狂 · 发表于 2006-7-27 22:46:47

原帖由 菜青虫 于 2006-7-27 09:16 发表

1.ARP扫描是攻击的前奏

2.在端口上做绑定

通过学习和实验现在对ARP欺骗有一定的了解了.端口绑定的工作量太大(大约有2000用户),现在打算在全网实行端口隔离彻底杜绝广播包,看看效果!

xyaodong11 · 发表于 2006-8-2 14:37:54

好东西,学习一下,收藏

artico · 发表于 2006-8-6 10:41:19

Frame Status Source                      Destination                Bytes Rel Time
Delta Time Abs time             Summary
---------------------------------------------------------------------------------------------------------------------------------------------------------------------
245       GigTecAA0D04                Broadcast                      60 0:00:14.385
0.009.779 2006-05-25 09:09:02 ARP: R PA=[0.136.136.16] HA=GigTecAA0D05 PRO=IP

245帧中，不明白 PA=[0.136.136.16]即源IP怎么是0.136.136.16？

还没见过这样的IP，，，难道这就是人工构造？

syf-sx · 发表于 2006-8-7 16:17:08

编号相对时间源目标大小概要
245 0.000000 Giga-byte Tech:AA:0D:04 FF:FF:FF:FF:FF:FF 64 0.136.136.16 在 00:20:ED:AA:0D:05

这是典型的ARP攻击软件的自发包，无实际网络意义，目的是造成一次断网，AA:0D:04 ，AA:0D:05；0.136.136.16， 1.136.136.16 都是虚拟的，但比较有规律。

[ 本帖最后由 syf-sx 于 2006-8-7 16:21 编辑 ]

cfdn · 发表于 2006-8-22 10:50:27

我也下来试试,我怀疑我们公司正有这种问题

cfdn · 发表于 2006-8-22 11:50:07

编号绝对时间源目标协议大小概要
1 09:08:48.006321 00:0F:FE:01:22:7C FF:FF:FF:FF:FF:FF ARP 64 谁是 192.168.14.69? 告诉 192.168.14.156

高手帮我看看

wwwang · 发表于 2006-8-22 13:40:59

又学习了一招,不错!

Chaplin_d · 发表于 2006-8-28 11:11:52

那这种问题怎么防止那？？？
除了arp绑定之外？因为arp绑定的工作量太大，而且可能会换机器的。

现在的状况是arp扫描之后交换机就挂了，有没有什么好的方法从网络上来解决这个问题，不影响其它用户上网那？？

典型ARP扫描数据包！

本帖子中包含更多资源

浏览过的版块