外网也能arp攻击

huamao2006 · 发表于 2007-7-25 11:20:25

LZ有比较详细的TOP结构吗？我想看看啊。帮你分析一下哦。

cctv305 · 发表于 2007-7-25 14:05:31

原帖由 只是一个神话 于 2007-7-22 02:31 发表
这个应该不是外网的ARP攻击，
可以这样理解，外网某IP要对内网用户进行攻击，当然要对内网用户发送数据或建立连接，所以数据包在经过路由的时候，路由器MAC表里没有目标地址的MAC，所以路由器发送ARP请求。
路 ...

这个大哥。说得有理。呵呵。不要把什么问题都想成ARP攻击。ARP攻击用到UDP协议吗？
第一个问题。192。168。0。160 192。168。0。177 分析的时候最好不要看IP。要找出真实的MAC地址。用科来的朋友可能总是喜欢看诊断选项。而不看数路包选项。其实，当你发再有ARP或者其它的非法连接的时候，诊断选项有时候，是看不到的。只能从数据包中能看出。
第二个问题。UDP协议。大家分板一下UDP协议是OSI模型中的第几层。UDP是传输层协议。
面向非连接的UDP协议

　“面向非连接”就是在正式通信前不必与对方先建立连接，不管对方状态就直接发送。这与现在风行的手机短信非常相似:你在发短信的时候，只需要输入对方手机号就OK了。
　
　UDP(User Data Protocol，用户数据报协议)是与TCP相对应的协议。它是面向非连接的协议，它不与对方建立连接，而是直接就把数据包发送过去。

呵呵。从你的图中可以看出，网络中如果192。168。0。177这台机子存在。那么你的这台机子上应该装有什么软件，而且是什么远程接收之类的。
就像2楼说的一样。查一下。
希望你把正个包都抓上来看一下，发这样的图，真的不好分析。呵呵。

hudeg632 · 发表于 2007-7-25 23:38:57

首先表示感谢
我们是教育城域网,中心----路由-------光纤-------我校路由------交换机------交换机------我的电脑(装科来).

下面压缩包大概内容(1,路由发的arp请求包.2,我用假地址回答的arp应答包.3,外网发来的udp数据包)

zealotcc · 发表于 2007-7-26 08:55:53

其实楼主有点钻牛角尖了
你可以好好看一下UDP里包双方的端口,14174 对 4958 ,32478 对 4745
固定的端口,小包,固定的频率
起码可以证明这不是什么外网的ARP攻击
arp请求是因为5不存在,路由器无法找到mac，外网每次发UDP包来，自然都要发arp请求
这种UDP的小包可以理解为keeplive 或初始连接的作用，也不排除是木马什么的

hudeg632 · 发表于 2007-7-30 00:07:45

谢谢你：
还有几个问题要问一下
１，为什么路由要不继地发这种ＡＲＰ包？
２，假如是正常的包，路由每秒种大略发５包，而且是连续不继的发送，怎么理解？
３，外网为什么要发ＵＤＰ包来，而我网络中根本没有这样的ＩＰ地址？

zealotcc · 发表于 2007-7-30 07:57:33

1 . 路由器转发外网的UDP包时,要寻找目的mac,5是不存在的,所以导致重复的arp请求
2 . 对比一下UDP包和arp请求包的频率
3 . 这就很难说了,没有这个ip不代表没人用过

hudeg632 · 发表于 2007-7-31 13:10:25

原帖由 hudeg632 于 2007-7-30 00:07 发表
谢谢你：
还有几个问题要问一下
１，为什么路由要不继地发这种ＡＲＰ包？
２，假如是正常的包，路由每秒种大略发５包，而且是连续不继的发送，怎么理解？
３，外网为什么要发ＵＤＰ包来，而我网络中根本没有 ...

外网为什么要发ＵＤＰ包来?它通过路由要找的机器根本不存在啊。没有谁请它发啊。

[ 本帖最后由 hudeg632 于 2007-7-31 13:12 编辑 ]

hudeg632 · 发表于 2007-8-4 01:38:48

不好办了

糊涂 · 发表于 2007-8-4 21:45:22

明显就是160 177着两个地址的主机突然死机或者关机了

死机关机之前他们在使用一些类似P2P的软件正在下载东西

那外网的机器继续向路由器发送数据包,路由器收到之后查找IP-ARP表发觉

没有160,和177着两个地址,所以不断发ARP请求着两个地址啊,

但实际上这两个地址此时已经不存在这个网络了,只要外面的机器不断往路由器发包

那路由器也会不断的向这个两个地址发出arp请求啊...对方不也不知道

160,177这两个地址已经不存在,因为是UDP协议,人家根本不理会你是否收到,只管发发发发发!!!

记得论坛有一篇类似的帖子,是一位兄弟开机时防火墙不断拦截来自一些不明来历的UDP包...

其实也是这个情况,不同的是那兄弟又重新开机了...我也思过类似的情况..

hudeg632 · 发表于 2007-8-5 00:11:50

学习了，很有道理
难怪我构造假地址回答后，所以有很多网站发来udp数据包，有时又只有一个外网发来数据包．谢谢了

可以重复模拟这个过程吗？

糊涂 · 发表于 2007-8-5 01:28:27

自己开个BT或者电驴下载东西,然后突然拔掉网线,待路由器ARP表老化之后就有相同效果了(或者你拔了网线后直接清除路由器的ARP表)

至于为什么外网的机器可以拔UDP包发到你的内网是因为你路由器NAT里的连接还没有超时

楼主发这贴貌似已经发了很久,我是在netexpert论坛看到你发的贴,后来发觉你在这里发了很久

楼主你是在学校里做网络管理的吧?我也是,有空留个联系交流一下~　

hudeg632 · 发表于 2007-8-5 13:43:28

谢谢你,你也是学校的啊,你的水平比我高多了,很愿意向你学习
我的QQ号是515469207

"至于为什么外网的机器可以拔UDP包发到你的内网是因为你路由器NAT里的连接还没有超时",有点不明白,能说详细点吗?

梅子超人 · 发表于 2007-8-5 15:53:20

哦们来探讨下。
1。我们知道交换机的很大的特性就是隔离广播域，就像（只是一个神话）说的，不会是arp攻击。

2。从发的数据包来看，交换机在找一台ip是160的主机，然后你通过伪造欺的信息欺骗了交换机，交换机把你伪造的主机认为是160的主机。然后就把应该真正该属于160的数据发给你伪造的那个地址上。然后你捕获到了。好像没什么异常！！

糊涂 · 发表于 2007-8-5 15:54:55

NAT地址转换
简单的说就是你内网的机器发送到外网的包经过路由器时把其源地址替换成公网的地址
因为如果不替换成公网地址,外网的机器收到后是无法回应你的
路由器通过端口来区分内网许多机器的不同连接
而每一个连接都有一个超时的时间
因为一个公网IP的端口就6W几个,如果不及时释放,当端口耗尽后就不能继续为内网机器建立新的连接了
为了避免这样的情况发生,每一个连接都有一个超时时间,当这个连接空闲一段时间后就自动删除

ztskycn · 发表于 2007-8-6 14:01:04

　我的问题和楼主有些类似，不同的话，我收到的广播包既不是伪装的，而且请求的目的Ip又都是不存在的。。。楼主，你的数据包构造我怎么在科发里面找不到这边工具呢？

hudeg632 · 发表于 2007-8-6 22:06:26

http://www.csna.cn/announcement.php?id=18&sid=pCLi3Q#18

temely · 发表于 2007-8-28 17:12:04

这位仁兄所遇到的麻烦我曾碰到过。
我的网络内有一台防火墙（pix515e).一天就是该防火墙不停地向内网所有机器逐个狂发包，当时我以为是防火墙出问题了，我用备用防火墙替换下该防火墙，结果依然如故。我依照一个原则外面的攻击是由于内部问题引起的，于是我先从网内感染了病毒的机器下手，将所有有病毒嫌疑的全部从网络断开，再用Sniffer查看，PIX不发包了。然后我连一台，用Sniffer看一台，最终找到了两台中了ARP的家伙。清理掉后，PIX安静下来了。

brother-l · 发表于 2007-8-28 19:55:54

最近我们公司也有这种情况，是不是一种病毒在做怪？
大家的讨论对我很有启发，又学到东西了。

hudeg632 · 发表于 2007-8-28 20:52:52

原帖由 temely 于 2007-8-28 17:12 发表
这位仁兄所遇到的麻烦我曾碰到过。
我的网络内有一台防火墙（pix515e).一天就是该防火墙不停地向内网所有机器逐个狂发包，当时我以为是防火墙出问题了，我用备用防火墙替换下该防火墙，结果依然如故。我依照一 ...

谢谢你,按你的思路,我试试

[ 本帖最后由 hudeg632 于 2007-8-28 20:54 编辑 ]

hudeg632 · 发表于 2007-9-13 21:22:11

这个贴大家辛苦了,谢谢大伙,我把它顶上来,和我一样的朋友看看

hackwolf · 发表于 2007-9-14 11:59:24

学习学习,朋友们快点解决

lcz8868 · 发表于 2007-9-14 14:41:30

我觉得问题的关键是：查明路由器为什么要访问 177？

1。仔细查看以下路由器的 NAT 有没有设置内部的177主机向外网的地址转换
2。内部是不是有其他的子网，比如192。168。11。3 要访问 192。168。0。177 ，这样也会通过路由器查找主机。

luxxsys · 发表于 2007-9-17 12:23:31

这个帖子的问题现在还是没有解决啊，我觉得解决了以后应该加精的。

这样的讨论应该越多越好啊哈哈，我们这些新手才可以学到更多的东西呢。

haibai009 · 发表于 2009-7-14 21:44:30

或者可以从这个层面来解释。
教育网实际上是一个局域网，统一出口在电信的IDC机房。
这样理解会不会好点。
实际上类似教育网的有很多，例如公安网、政务网。。。。等等，本质上都是局域网，通过VPN互联的。核心层是交换机。

[ 本帖最后由 haibai009 于 2009-7-14 21:47 编辑 ]

11111-2008 · 发表于 2009-7-27 16:09:52

这种情况遇到很多次了，看了很有收获

qgujb447 · 发表于 2009-11-20 11:16:42

顶一下。/。。。。。。。。。。。。。。。。。。。

wxyyabc · 发表于 2011-5-30 20:10:59

你是否检查路由是否有启用ARP绑定的功能,如有启用,他就会定时发ARP请求之类的包!
你试一下!

外网也能arp攻击

本帖子中包含更多资源

回复 #36 zealotcc 的帖子

评分

回复 #42 糊涂的帖子

回复 #44 糊涂的帖子

回复 #48 ztskycn 的帖子

这个问题我曾经遇见过

回复 #50 temely 的帖子

溯源

外网也能arp攻击

本帖子中包含更多资源

回复 #36 zealotcc 的帖子

评分

回复 #42 糊涂 的帖子

回复 #44 糊涂 的帖子

回复 #48 ztskycn 的帖子

这个问题我曾经遇见过

回复 #50 temely 的帖子

溯源

回复 #42 糊涂的帖子

回复 #44 糊涂的帖子