登录
CSNA会员注册
找回密码
搜索
搜索
本版
用户
CSNA网络分析论坛
»
首页
›
流量分析
›
资源共享
›
数据包文件
›
还是arp 的问题?
返回列表
发帖
查看:
11031
|
回复:
24
还是arp 的问题?
[复制链接]
liutiekun
liutiekun
当前离线
积分
2
发表于 2007-3-18 14:24:01
|
显示全部楼层
|
阅读模式
网内有arp攻击网关,查到mac地址是假的,怎么能看到其真实mac地址????
谢了!
回复
使用道具
举报
xuefu
xuefu
当前离线
积分
2
发表于 2007-3-18 14:33:01
|
显示全部楼层
回复 #1 liutiekun 的帖子
用科来捕数据,然后查看"协议"中的ARP并双击就打开ARP捕获数据,从表中的“源”栏可找出攻击ARP的MAC,从“概要”栏中可看到攻击ARP网关的IP地址。
回复
使用道具
举报
liutiekun
liutiekun
当前离线
积分
2
楼主
|
发表于 2007-3-18 15:28:34
|
显示全部楼层
还是arp 的问题?
首先感谢您:
这是我抓的包,IP99机器并没有接到局域网??????
请再看看!!!
本帖子中包含更多资源
您需要
登录
才可以下载或查看,没有账号?
CSNA会员注册
×
回复
使用道具
举报
xuefu
xuefu
当前离线
积分
2
发表于 2007-3-18 15:51:53
|
显示全部楼层
用ARP -a命令的结果传上来一下,找00:C0:02:C0:C8:CA
回复
使用道具
举报
xuefu
xuefu
当前离线
积分
2
发表于 2007-3-18 15:55:54
|
显示全部楼层
192.168.0.99机的网卡地址为00:00:00:00:00:00?主检查该网卡,换块网卡后设IP试试?
回复
使用道具
举报
liutiekun
liutiekun
当前离线
积分
2
楼主
|
发表于 2007-3-18 16:00:52
|
显示全部楼层
正常的时候!
不正常的时候网关后是ca这个mac地址!
本帖子中包含更多资源
您需要
登录
才可以下载或查看,没有账号?
CSNA会员注册
×
回复
使用道具
举报
xuefu
xuefu
当前离线
积分
2
发表于 2007-3-18 16:10:09
|
显示全部楼层
那么CA这个MAC的正常IP应是192.168.0.99,但它伪造网关IP,而使得192168.0.99的MAC变为00:00:00:00:00:00,所以问题可能出在192.168.0.99机上,请到该机检查其MAC
回复
使用道具
举报
liutiekun
liutiekun
当前离线
积分
2
楼主
|
发表于 2007-3-18 16:46:04
|
显示全部楼层
攻击时
99这个ip没接网线(我测试的时候)
这是攻击时的抓图
本帖子中包含更多资源
您需要
登录
才可以下载或查看,没有账号?
CSNA会员注册
×
回复
使用道具
举报
xuefu
xuefu
当前离线
积分
2
发表于 2007-3-18 17:15:57
|
显示全部楼层
正常的网关MAC是00:1B:2A:3F:0C:78
而有问题的MAC是00:C0:02:C0:C8:CA,如是判断不错,你应该到192.168.0.99机上用IPCONFIG查看该机的MAC。
回复
使用道具
举报
xuefu
xuefu
当前离线
积分
2
发表于 2007-3-18 17:29:44
|
显示全部楼层
回复 #9 xuefu 的帖子
MAC为00:C0:02:C0:C8:CA的正常IP大概应是192.168.0.99,但它伪造成网关IP后,于是就不断地找主机本身192.168.0.99,而192.168.0.99的MAC通过数据包看出MAC变为了00:00:00:00:00:00,这那里能ARP到呢,因此出现了许多无应答ARP查询,不断地询问:
“谁是 192.168.0.99? 告诉 192.168.0.1 ”……………………
从数据包中还能看出你网络中其余的主机存在ARP扫描,应该对整个网络进行杀毒了!
回复
使用道具
举报
我爱的孙
我爱的孙
当前离线
积分
0
头像被屏蔽
发表于 2010-9-11 15:12:37
|
显示全部楼层
提示:
作者被禁止或删除 内容自动屏蔽
回复
使用道具
举报
返回列表
发帖
高级模式
B
Color
Image
Link
Quote
Code
Smilies
您需要登录后才可以回帖
登录
|
CSNA会员注册
本版积分规则
发表回复
回帖并转播
回帖后跳转到最后一页
浏览过的版块
无线专区
资源共享
快速回复
返回顶部
返回列表
发表于 2007-3-18 14:24:01