外网也能arp攻击

hudeg632 · 发表于 2007-7-9 17:10:34

1.路由不断地发ARP请求包

编号       相对时间             源                            目标                      大小       解码       概要
1          0.000000          Huawei Tach:48:91:54       FF:FF:FF:FF:FF:FF       64                   谁是 192.168.0.160? 告诉 192.168.0.1
2          4.376253          Huawei Tach:48:91:54       FF:FF:FF:FF:FF:FF       64                   谁是 192.168.0.160? 告诉 192.168.0.1
3          8.606110          Huawei Tach:48:91:54       FF:FF:FF:FF:FF:FF       64                   谁是 192.168.0.177? 告诉 192.168.0.1
4          9.599171          Huawei Tach:48:91:54       FF:FF:FF:FF:FF:FF       64                   谁是 192.168.0.177? 告诉 192.168.0.1
5          10.605255       Huawei Tach:48:91:54       FF:FF:FF:FF:FF:FF       64                   谁是 192.168.0.177? 告诉 192.168.0.1
6          11.605944       Huawei Tach:48:91:54       FF:FF:FF:FF:FF:FF       64                   谁是 192.168.0.177? 告诉 192.168.0.1
8          12.604674       Huawei Tach:48:91:54       FF:FF:FF:FF:FF:FF       64                   谁是 192.168.0.177? 告诉 192.168.0.1
9          12.856839       Huawei Tach:48:91:54       FF:FF:FF:FF:FF:FF       64                   谁是 192.168.0.160? 告诉 192.168.0.1
10       13.611418       Huawei Tach:48:91:54       FF:FF:FF:FF:FF:FF       64                   谁是 192.168.0.177? 告诉 192.168.0.1
11       14.613377       Huawei Tach:48:91:54       FF:FF:FF:FF:FF:FF       64                   谁是 192.168.0.177? 告诉 192.168.0.1
12       15.610971       Huawei Tach:48:91:54       FF:FF:FF:FF:FF:FF       64                   谁是 192.168.0.177? 告诉 192.168.0.1
13       16.614121       Huawei Tach:48:91:54       FF:FF:FF:FF:FF:FF       64                   谁是 192.168.0.177? 告诉 192.168.0.1
14       17.616863       Huawei Tach:48:91:54       FF:FF:FF:FF:FF:FF       64                   谁是 192.168.0.177? 告诉 192.168.0.1
15       18.613628       Huawei Tach:48:91:54       FF:FF:FF:FF:FF:FF       64                   谁是 192.168.0.177? 告诉 192.168.0.1
16       19.620261       Huawei Tach:48:91:54       FF:FF:FF:FF:FF:FF       64                   谁是 192.168.0.177? 告诉 192.168.0.1

2)我构造一个假地址告诉路由,

3)就有一个处网地址不断的发udp包
编号          相对时间                   源                         目标                         大小       解码       概要
7772       00:19:54.687324       61.161.73.42:62567       192.168.0.177:1647       64                   源端口=62567;目标端口=1647;长度=26;检验和=0x5C4F 正确
7773       00:19:54.687431       61.161.73.42:56991       192.168.0.177:1216       64                   源端口=56991;目标端口=1216;长度=26;检验和=0x3044 正确
7774       00:19:55.691599       61.161.73.42:60236       192.168.0.177:1672       64                   源端口=60236;目标端口=1672;长度=26;检验和=0x0635 正确
7775       00:19:55.691704       61.161.73.42:58360       192.168.0.177:1633       64                   源端口=58360;目标端口=1633;长度=26;检验和=0x5C81 正确
7776       00:19:55.692606       61.161.73.42:59979       192.168.0.177:1202       64                   源端口=59979;目标端口=1202;长度=26;检验和=0x13FA 正确
7777       00:19:55.692767       61.161.73.42:64646       192.168.0.177:1659       64                   源端口=64646;目标端口=1659;长度=26;检验和=0xD25F 正确
7778       00:19:55.693028       61.161.73.42:65028       192.168.0.177:1188       64                   源端口=65028;目标端口=1188;长度=26;检验和=0x43D8 正确
7780       00:19:56.690799       61.161.73.42:62567       192.168.0.177:1647       64                   源端口=62567;目标端口=1647;长度=26;检验和=0x5C4F 正确
7781       00:19:56.692591       61.161.73.42:56991       192.168.0.177:1216       64                   源端口=56991;目标端口=1216;长度=26;检验和=0x3044 正确
7782       00:19:57.687560       61.161.73.42:60236       192.168.0.177:1672       64                   源端口=60236;目标端口=1672;长度=26;检验和=0x0635 正确
7783       00:19:57.687622       61.161.73.42:58360       192.168.0.177:1633       64                   源端口=58360;目标端口=1633;长度=26;检验和=0x5C81 正确
7784       00:19:57.687880       61.161.73.42:59979       192.168.0.177:1202       64                   源端口=59979;目标端口=1202;长度=26;检验和=0x13FA 正确
7785       00:19:57.688044       61.161.73.42:64646       192.168.0.177:1659       64                   源端口=64646;目标端口=1659;长度=26;检验和=0xD25F 正确
7786       00:19:57.688212       61.161.73.42:65028       192.168.0.177:1188       64                   源端口=65028;目标端口=1188;长度=26;检验和=0x43D8 正确
7788       00:19:58.689937       61.161.73.42:62567       192.168.0.177:1647       64                   源端口=62567;目标端口=1647;长度=26;检验和=0x5C4F 正确
7789       00:19:58.690491       61.161.73.42:56991       192.168.0.177:1216       64                   源端口=56991;目标端口=1216;长度=26;检验和=0x3044 正确
7790       00:19:59.689533       61.161.73.42:60236       192.168.0.177:1672       64                   源端口=60236;目标端口=1672;长度=26;检验和=0x0635 正确
7791       00:19:59.689723       61.161.73.42:58360       192.168.0.177:1633       64                   源端口=58360;目标端口=1633;长度=26;检验和=0x5C81 正确
7792       00:19:59.690331       61.161.73.42:59979       192.168.0.177:1202       64                   源端口=59979;目标端口=1202;长度=26;检验和=0x13FA 正确
7793       00:19:59.690563       61.161.73.42:64646       192.168.0.177:1659       64                   源端口=64646;目标端口=1659;长度=26;检验和=0xD25F 正确
7794       00:19:59.690838       61.161.73.42:65028       192.168.0.177:1188       64                   源端口=65028;目标端口=1188;长度=26;检验和=0x43D8 正确
7795       00:20:00.690730       61.161.73.42:62567       192.168.0.177:1647       64                   源端口=62567;目标端口=1647;长度=26;检验和=0x5C4F 正确
7796       00:20:00.690960       61.161.73.42:56991       192.168.0.177:1216       64                   源端口=56991;目标端口=1216;长度=26;检验和=0x3044 正确
7797       00:20:01.696856       61.161.73.42:60236       192.168.0.177:1672       64                   源端口=60236;目标端口=1672;长度=26;检验和=0x0635 正确
7798       00:20:01.697607       61.161.73.42:58360       192.168.0.177:1633       64                   源端口=58360;目标端口=1633;长度=26;检验和=0x5C81 正确

真把它没有办法.

[ 本帖最后由 hudeg632 于 2007-8-28 20:43 编辑 ]

只是一个神话 · 发表于 2007-7-9 17:14:58

哈哈，外面这个ＩＰ地址想连接到１７７这台机器，至于为什么想连就不可而知了，是软件需求？或是１７７被人攻击？还是其它原因的。

hudeg632 · 发表于 2007-7-9 17:33:51

我把它发过来的数据包给它反发回去了,发了10000包,我这样做对吗?但我不知道是不是别人造的假ip地址,这种情况是内网还是外网的原因?

hudeg632 · 发表于 2007-7-9 18:00:18

这个问题有几个月了,请高手们快来啊

zealotcc · 发表于 2007-7-9 20:37:58

从第一段看　是网吧的计费机正常的检查登记上网主机的存活情况，至于这个ip并没上网，可能是计费系统的问题

第二段　持续的多长时间？有没有伴随icmp端口不可达？

hudeg632 · 发表于 2007-7-10 08:23:17

先谢谢老大
我是教育城域网,没有收费问题.
我的路由器还经常向其它一些不在网上的机器发这样的arp包,今天早上只有我的机器在网,仍发现了这样的包.我造假地址回答后,就有多个外网向这个机器发包.

路由器发包

编号          绝对时间                   相对时间                   源                            目标                      大小       解码       概要
508       07:36:56.889935       0.000000                Huawei Tach:48:91:54       FF:FF:FF:FF:FF:FF       64                   谁是 192.168.0.160? 告诉 192.168.0.1
509       07:37:51.933109       55.043174             Huawei Tach:48:91:54       FF:FF:FF:FF:FF:FF       64                   谁是 192.168.0.160? 告诉 192.168.0.1
510       07:38:08.189916       00:01:11.299981       Huawei Tach:48:91:54       FF:FF:FF:FF:FF:FF       64                   谁是 192.168.0.160? 告诉 192.168.0.1
511       07:38:19.456855       00:01:22.566920       Huawei Tach:48:91:54       FF:FF:FF:FF:FF:FF       64                   谁是 192.168.0.160? 告诉 192.168.0.1
512       07:40:12.117304       00:03:15.227369       Huawei Tach:48:91:54       FF:FF:FF:FF:FF:FF       64                   谁是 192.168.0.160? 告诉 192.168.0.1
513       07:40:17.421511       00:03:20.531576       Huawei Tach:48:91:54       FF:FF:FF:FF:FF:FF       64                   谁是 192.168.0.160? 告诉 192.168.0.1
514       07:40:51.122972       00:03:54.233037       Huawei Tach:48:91:54       FF:FF:FF:FF:FF:FF       64                   谁是 192.168.0.160? 告诉 192.168.0.1
515       07:41:01.274732       00:04:04.384797       Huawei Tach:48:91:54       FF:FF:FF:FF:FF:FF       64                   谁是 192.168.0.160? 告诉 192.168.0.1
516       07:41:11.486511       00:04:14.596576       Huawei Tach:48:91:54       FF:FF:FF:FF:FF:FF       64                   谁是 192.168.0.160? 告诉 192.168.0.1
517       07:41:56.991308       00:05:00.101373       Huawei Tach:48:91:54       FF:FF:FF:FF:FF:FF       64                   谁是 192.168.0.160? 告诉 192.168.0.1
518       07:42:02.212559       00:05:05.322624       Huawei Tach:48:91:54       FF:FF:FF:FF:FF:FF       64                   谁是 192.168.0.160? 告诉 192.168.0.1
519       07:42:06.241079       00:05:09.351144       Huawei Tach:48:91:54       FF:FF:FF:FF:FF:FF       64                   谁是 192.168.0.160? 告诉 192.168.0.1
520       07:42:08.338640       00:05:11.448705       Huawei Tach:48:91:54       FF:FF:FF:FF:FF:FF       64                   谁是 192.168.0.160? 告诉 192.168.0.1
521       07:43:22.262060       00:06:25.372125       Huawei Tach:48:91:54       FF:FF:FF:FF:FF:FF       64                   谁是 192.168.0.160? 告诉 192.168.0.1
522       07:43:42.105935       00:06:45.216000       Huawei Tach:48:91:54       FF:FF:FF:FF:FF:FF       64                   谁是 192.168.0.160? 告诉 192.168.0.1

我回答路由假地址包
编号          相对时间                   源                                     目标                         大小       解码       概要
533       00:12:40.580366       Fujian Star Terminal:32:0B:00       Huawei Tach:48:91:54       64                   192.168.0.160 在 00

0:F8:32:0B:00
534 00:12:40.580453 Fujian Star Terminal:32:0B:00 Huawei Tach:48:91:54 64 192.168.0.160 在 00

0:F8:32:0B:00
535 00:12:41.581886 Fujian Star Terminal:32:0B:00 Huawei Tach:48:91:54 64 192.168.0.160 在 00

0:F8:32:0B:00
536 00:12:41.582478 Fujian Star Terminal:32:0B:00 Huawei Tach:48:91:54 64 192.168.0.160 在 00

0:F8:32:0B:00
537 00:12:42.583373 Fujian Star Terminal:32:0B:00 Huawei Tach:48:91:54 64 192.168.0.160 在 00

0:F8:32:0B:00
538       00:12:42.583438       Fujian Star Terminal:32:0B:00       Huawei Tach:48:91:54       64                   192.168.0.160 在 00:D0:F8:32:0B:00
539       00:12:43.584728       Fujian Star Terminal:32:0B:00       Huawei Tach:48:91:54       64                   192.168.0.160 在 00:D0:F8:32:0B:00
540       00:12:43.584794       Fujian Star Terminal:32:0B:00       Huawei Tach:48:91:54       64                   192.168.0.160 在 00:D0:F8:32:0B:00
541       00:12:44.586203       Fujian Star Terminal:32:0B:00       Huawei Tach:48:91:54       64                   192.168.0.160 在 00:D0:F8:32:0B:00

回答后,外网发来的包
端点1 ->                <- 端点2                持续时间             流量             数据包 ->       <- 数据包       每秒字节 ->       <- 每秒字节       最早发包时间          最后发包时间
222.68.178.193          192.168.0.160       00:17:26       396  B       3             0             0 Bps          0 Bps          07:51:02       08:08:28
201.52.177.228          192.168.0.160       -                149  B       1             0             149 Bps       0 Bps          08:07:57       08:07:57
77.132.4.222          192.168.0.160       -                149  B       1             0             149 Bps       0 Bps          08:07:46       08:07:46
122.123.34.174          192.168.0.160       00:00:06       288  B       2             0             48 Bps          0 Bps          08:07:40       08:07:46
61.56.136.88          192.168.0.160       00:00:05       288  B       2             0             57 Bps          0 Bps          08:06:29       08:06:34
59.61.125.102          192.168.0.160       00:00:06       288  B       2             0             48 Bps          0 Bps          08:06:22       08:06:28
210.192.209.117       192.168.0.160       00:00:34       360  B       3             0             10 Bps          0 Bps          08:04:22       08:04:56
83.247.88.174          192.168.0.160       -                152  B       1             0             152 Bps       0 Bps          08:03:56       08:03:56
61.230.178.171          192.168.0.160       00:02:08       504  B       4             0             3 Bps          0 Bps          08:01:33       08:03:41
82.230.192.103          192.168.0.160       -                149  B       1             0             149 Bps       0 Bps          08:02:36       08:02:36
60.209.83.196          192.168.0.160       00:00:06       288  B       2             0             48 Bps          0 Bps          08:02:15       08:02:21
88.203.173.220          192.168.0.160       -                108  B       1             0             108 Bps       0 Bps          08:02:19       08:02:19
86.129.101.155          192.168.0.160       -                149  B       1             0             149 Bps       0 Bps          08:01:29       08:01:29
221.210.221.144       192.168.0.160       -                147  B       1             0             147 Bps       0 Bps          08:01:19       08:01:19
61.136.55.234          192.168.0.160       -                144  B       1             0             144 Bps       0 Bps          08:00:31       08:00:31
66.183.34.108          192.168.0.160       -                149  B       1             0             149 Bps       0 Bps          07:59:50       07:59:50

我肯定这是外网的攻击,我怎样才能阻止这样的攻击?谢谢

还有请问,我怎样才能读懂包中的额外数据?

[ 本帖最后由 hudeg632 于 2007-7-10 08:27 编辑 ]

只是一个神话 · 发表于 2007-7-10 09:24:16

如果ＬＺ能确定是攻击而不是因为装了某些软件才产生的问题。
１、检查内网中的可疑机器，如图中所看到的１７７和１６０之类的机器上，看看有没有什么后门程序。杀毒！
２、如果有防火墙的话，尽量关闭多余端口，只开放一些有用的端口。
另外ＬＺ最好把网络拓扑和数据包发上来看看。

hudeg632 · 发表于 2007-7-10 12:30:07

网内只有我一台机器,也有这样的包出现,我肯定我的机器没有问题,不只是177,160,也可能是其它不在网上的机器.

我肯定是外网的原因,我怎么样做才能阻止这种攻击?谢谢

只是一个神话 · 发表于 2007-7-10 12:51:57

你那环境有防火墙吗？把几个常用的端口开了，其它都禁掉

hudeg632 · 发表于 2007-7-10 15:35:18

我防火用的是looknstop,机器只开了80口,53口.不知路由器的情况.我怎样在路由器上设置才能阻止这样的数据包,请求回答.

[ 本帖最后由 hudeg632 于 2007-7-10 15:36 编辑 ]

hudeg632 · 发表于 2007-7-11 11:12:08

大家一起来学习啊,我发现这里人气不旺,一个问题总是要等好多天

chuzl · 发表于 2007-7-11 11:44:06

在防火墙上，路由器上过滤掉目的ip是192.168.0.160，192.168.0.177的数据试试

hudeg632 · 发表于 2007-7-13 11:00:20

路由器接外网的端口我已设了防火墙,规则如下:
acl number 3000
rule 0 deny tcp destination-port eq 445
rule 1 deny tcp source-port eq 445
rule 2 deny tcp destination-port eq 135
rule 3 deny tcp source-port eq 135
rule 4 deny tcp destination-port eq 136
rule 5 deny tcp source-port eq 136
rule 6 deny tcp destination-port eq 137
rule 7 deny tcp source-port eq 138
rule 8 deny tcp destination-port eq 139
rule 9 deny tcp source-port eq 139
rule 10 deny tcp destination-port eq 5800
rule 11 deny tcp source-port eq 5800
rule 12 deny tcp destination-port eq 5900
rule 13 deny tcp source-port eq 5900
rule 14 deny tcp destination-port eq 1000
rule 15 deny tcp source-port eq 1000
rule 16 deny tcp destination-port eq 9995
rule 17 deny tcp source-port eq 9995
rule 18 deny tcp destination-port eq 9996
rule 19 deny tcp source-port eq 9996
rule 20 deny tcp destination-port eq 5554
rule 21 deny tcp source-port eq 5554
rule 22 deny tcp destination-port eq 1068
rule 23 deny tcp source-port eq 1068
rule 24 deny udp destination-port eq netbios-ns
rule 25 deny udp destination-port eq netbios-dgm
rule 26 deny udp destination-port eq netbios-ssn
rule 27 deny tcp destination-port eq 539
rule 28 deny tcp source-port eq 539
rule 29 deny udp destination-port eq 445
rule 30 deny udp source-port eq 445
rule 31 deny udp destination-port eq tftp
rule 32 deny udp source-port eq tftp
rule 33 deny tcp destination-port eq 4444
rule 34 deny tcp source-port eq 4444
rule 39 deny udp destination-port eq 6667
rule 40 deny udp source-port eq 6667
rule 41 deny tcp destination-port eq 1025

我应如何设置防火墙规则,才能阻止这样的数据包?请高手们指教一下.

zhuyong0523 · 发表于 2007-7-13 11:19:06

弱的问一句,你怎么制造假包来欺骗啊??????

hudeg632 · 发表于 2007-7-13 12:18:57

用科来的数据包构造,你回答路由就行了

hudeg632 · 发表于 2007-7-15 12:19:36

来这里的都一定很忙,大家一起来研究一下这个问题吧,一起前进

只是一个神话 · 发表于 2007-7-15 16:30:02

allow 80 53
deny any

hudeg632 · 发表于 2007-7-18 22:29:26

看来这个问题应具有一般性,大家一起来努力吧

hudeg632 · 发表于 2007-7-19 17:46:19

你的意思是说,向上报告,我们这里都没法,上面就有法了吗?大家一起努力吧

现在机器正在出这个问题啊

twoeyes · 发表于 2007-7-19 22:42:25

楼主要想真正解决这个问题，按照我的思路是：先到106和117这两台机器上分析对网络的访问情况，是否是一些木马在作怪，然后再进一步处理。你的这种情况非常蹊跷，一般arp解释是不能跨路由的，但是你的却跨了。

hudeg632 · 发表于 2007-7-22 01:48:44

路由发的ARP包没有固定的ip,但总是向一些不在网的的机器发,有时还对我的网络中根本就没有的ip发,查哪一台机器是没用的,整个网只有我一人在上时也在发,我肯定我机器没有问题的.
大家一起来努力吧,还要什么说一下.

[ 本帖最后由 hudeg632 于 2007-7-22 01:50 编辑 ]

hudeg632 · 发表于 2007-7-22 20:40:54

你好,谢谢
我们是教育城域网,有几千台机器吧,我校是通过一个路由器同上面相连,此时,路由器正在要192.168.0.5的物理地址,如果我按上面说一样回答了,就会有好多处网的机器不断的向这个地址发包,发包时间大约30分钟才停止.
还需要什么资料.我发上来?

只是一个神话 · 发表于 2007-7-23 09:41:18

网络出口处有无防火墙？

只是一个神话 · 发表于 2007-7-23 09:49:05

还有，访问控制列表的设置一般是允许哪些，然后禁止所有。

hudeg632 · 发表于 2007-7-23 14:40:53

网络出口处没有防火墙,上面的acl3000是我华为ar28-11的路由器的出口防火墙规则.
城域网内,路由器外的机器能发起这样的攻击吗?

[ 本帖最后由 hudeg632 于 2007-7-23 14:51 编辑 ]

只是一个神话 · 发表于 2007-7-23 15:34:00

ＡＣＬ３０００只是禁了某些端口。

网管应该知道自己网络中常用的一些端口，然后把这些端口开放了，防火墙规则最下面一条一定要是禁止一切网络连接。

比如你上面图中外网机器通过UDP1600~1700的一些端口发送ＵＤＰ包是因为你的防火墙规则里没有明确禁止这些端口。

只是一个神话 · 发表于 2007-7-23 15:38:43

举个例子：
不知道ＬＺ知道ＩＳＡ不？这是微软的一款防火墙，当安装完后就可以在网络规则中看到一个默认项，这项就是禁止所有网络连接的。

按照ＡＣＬ３０００解释就是只禁止了列出的那些端口，其它全部允许了。

hudeg632 · 发表于 2007-7-23 23:55:44

谢谢你,为这个问题花了你不少时间.
至少从这个问题中我们可以看出外网也是可以进行arp攻击.下面的问题是我们有没有更好的方法对付它,你说是吗?

hudeg632 · 发表于 2007-7-24 23:40:26

看来这个问题在这里难啦

只是一个神话 · 发表于 2007-7-25 10:25:21

呵呵.只要你记住ARP是不过路由器的就行了!

外网也能arp攻击

评分

回复 #2 只是一个神话的帖子

回复 #3 hudeg632 的帖子

回复 #5 zealotcc 的帖子

回复 #7 只是一个神话的帖子

回复 #9 只是一个神话的帖子

回复 #10 hudeg632 的帖子

回复 #14 zhuyong0523 的帖子

回复 #23 只是一个神话的帖子

回复 #29 只是一个神话的帖子

回复 #30 hudeg632 的帖子

外网也能arp攻击

评分

回复 #2 只是一个神话 的帖子

回复 #3 hudeg632 的帖子

回复 #5 zealotcc 的帖子

回复 #7 只是一个神话 的帖子

回复 #9 只是一个神话 的帖子

回复 #10 hudeg632 的帖子

回复 #14 zhuyong0523 的帖子

回复 #23 只是一个神话 的帖子

回复 #29 只是一个神话 的帖子

回复 #30 hudeg632 的帖子

回复 #2 只是一个神话的帖子

回复 #7 只是一个神话的帖子

回复 #9 只是一个神话的帖子

回复 #23 只是一个神话的帖子

回复 #29 只是一个神话的帖子