ARP攻击，但是找不到源!!!

viviviva · 发表于 2007-8-13 14:26:08

最近我公司LAN里网络异常，部分主机受ARP攻击，但是找不到攻击源，下图用科来找出一个MAC地址很怪？主机MAC表里都找不到，难道是路由器的另一个MAC地址？

viviviva · 发表于 2007-8-13 14:31:24

图为网关(路由器)地址和可疑的MAC地址？

xwy3260 · 发表于 2007-8-13 14:50:02

单从楼主提供的数据看不到什么问题。
如果网络里存在ARP攻击的话，科来的诊断系统会有提示，建议楼主抓包然后发上来大家看看。

viviviva · 发表于 2007-8-13 14:56:04

内部交流版，一下子就把缓存给充满了

冰山 · 发表于 2007-8-13 14:57:19

第一个图为：
有问题的MAC地址（其伪造成过网关，所以在之下，可以看到网关的IP地址192.168.1.1）
┣ 网关 IP地址
┣ 外网 IP地址
┣ 外网 IP地址

第二个图为：
广播MAC地址（实际是没有这个硬件的）
┣ 0 段的广播 IP地址
┣ 1 段的广播 IP地址
┣ 广播 IP地址

[ 本帖最后由冰山于 2007-8-13 14:58 编辑 ]

viviviva · 发表于 2007-8-13 14:58:39

楼上的这个我知道，我就是想不到白，为什么会有那个MAC地址，我的网关并非这个MAC地址

冰山 · 发表于 2007-8-13 15:00:28

原帖由 viviviva 于 2007-8-13 14:58 发表
楼上的这个我知道，我就是想不到白，为什么会有那个MAC地址，我的网关并非这个MAC地址

道理很简单，这台机器只能是伪造成过网关，要么攻击过别人，要么中过木马之类的病毒。

viviviva · 发表于 2007-8-13 15:04:59

问题是这个MAC地址里面的IP地址不觉得怪吗？

xwy3260 · 发表于 2007-8-13 15:17:17

你们的网络很大吗？缓存被用完，这个不会吧。默认是要丢弃以前的数据包的。应是楼主没有将科来部署正确

xwy3260 · 发表于 2007-8-13 15:19:17

这个mac应是欺骗！

秋水寒 · 发表于 2007-8-13 17:00:35

那是正常的啊，你上了网，网关那里当然会有外网地址，共享的，呵呵~

只是一个神话 · 发表于 2007-8-13 22:38:41

如果192.168.1.1是网关IP的话，找到相应的MAC地址，如果其它MAC下面也有这个地址，那找到这个MAC，断网查杀。如果是伪MAC的，比较麻烦，可以参照菜版的http://www.csna.cn/forum.php?mod ... &extra=page%3D1，如果网络比较小的，可以用拔网线或安装ARP防火墙进行排查。

冰山 · 发表于 2007-8-14 13:15:57

建议在名字表里面，把MAC地址与使用人一一对应起来，以后查找就方便许多了。

hudeg632 · 发表于 2007-8-14 17:19:19

如果你的网关是192.168.1.1,你说网中又没有这个mac,哪一定是病毒或造出的假地址.造假是很容易的.

awenli · 发表于 2007-8-19 11:30:18

学习！！！！！！！！！

xinya225 · 发表于 2007-8-23 21:06:55

从图片看，你的网络很正常
其中你提到的那个可疑的网卡是正常的，他有三个IP，第一个是网关，下面两个是外网地址，
因为你也很明白，路由器本身不可能只有一快网卡，其中一个内网，一个外网，外网也要有自己的外网IP，那两个就是

niko · 发表于 2007-10-5 20:30:34

嗯嗯，比较赞同楼上的看法，估计网络是正常的，因为是广播地址，MAC应该是全部FF的，相对于IP的255。

广播是主机针对某一个网络上的所有主机发送数据包。这个网络可能是网络，可能是子网，还可能是所有的子网。如果是网络，例如A类网址的广播就是netid.255.255.255，如果是子网，则是netid.netid.subnetid.255；如果是所有的子网（B类IP）则是则是 netid.netid.255.255。广播所用的MAC地址FF-FF-FF-FF-FF-FF。网络内所有的主机都会收到这个广播数据，网卡只要把 MAC地址为FF-FF-FF-FF-FF-FF的数据交给内核就可以了。一般说来ARP，或者路由协议RIP应该是以广播的形式播发的。

不知道说的对不对，请指正～

ARP攻击，但是找不到源!!!

本帖子中包含更多资源

本帖子中包含更多资源

回复 #1 viviviva 的帖子

从图片看，你的网络很正常