CSNA网络分析论坛»首页 流量分析 网络分析 关于科来分析的ARP
返回列表 发帖
查看: 3092|回复: 6

关于科来分析的ARP

[复制链接]
cczb1
发表于 2013-5-2 14:02:48 | 显示全部楼层 |阅读模式
本帖最后由 cczb1 于 2013-5-7 15:42 编辑

[科莱分析的数据项)

我在接入局域网络时候总是先报一下ARP攻击(360防火墙)。
做了以下分析没找到问题:
1.在核心交换上镜像所有数据包到端口,抓包发现有数据包宣称  192.168.1.215 is at 00:1D:0F:44:80:52(真实的网关1.215的MAC不是这个)。但是这个攻击MAC在和核心交换的ARP表里没有。
2.用360防火墙,每次链接进入网络必报着个MAC攻击,追踪结果是核心交换在攻击。
3.用科莱分析,没发现有ARP攻击,但是也能在链接进入网络时候收到这个ARP数据包,且科莱分析这个攻击的MAC也是核心交换的网关MAC,
攻击源这个MAC在网络中不存在,估计是伪装的,但是怎么查出来是那个地址 发出来的呢?

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有账号?CSNA会员注册

×
回复

使用道具 举报

cczb1
 楼主| 发表于 2013-5-2 14:20:40 | 显示全部楼层
以前处理ARP只有找到攻击的MAC,在核心交换上查找MAC对应的IP就可以定位攻击源,但这次的MAC在核心交换上是找不到的。
回复

使用道具 举报

cczb1
 楼主| 发表于 2013-5-2 15:15:07 | 显示全部楼层
攻击的地址在网络里并不存在,安装防火墙,绑定网关可以解决,但问题根源还是没有找到
回复

使用道具 举报

tonylldd
发表于 2013-5-2 15:45:32 | 显示全部楼层
估计是有人接了宽带路由器wan口的。
回复

使用道具 举报

jswxyyp
发表于 2013-5-7 15:07:04 | 显示全部楼层
一是欺骗网关,二是欺骗网内的所有主机。最终的结果是,在网关的ARP缓存表中,网内所有活动主机的MAC地址均为中毒主机的MAC地址;网内所有主机的ARP缓存表中,网关的MAC地址也成为中毒主机的MAC地址。前者保证了从网关到网内主机的数据包被发到中毒主机,后者相反,使得主机发往网关的数据包均发送到中毒主机
回复

使用道具 举报

cczb1
 楼主| 发表于 2013-5-7 15:39:10 | 显示全部楼层
没看出你的回答合这个问题什么关系,攻击的MAC在核心里查不到,怎么定位攻击源,我不是想问ARP是怎么实现的
回复

使用道具 举报

jswxyyp
发表于 2013-5-8 11:46:49 | 显示全部楼层
端口隔离最好使
回复

使用道具 举报

返回列表 发帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | CSNA会员注册

本版积分规则

快速回复 返回顶部 返回列表