ARP攻击。找不到IP，只有MAC地址

Posted 2023-03-12

18号瑞星的日志
详细内容2008-09-18 08:21:02, 收到ARP欺骗包;IP地址:192.168.1.1;原MAC:0-d0-f8-e0-c9-c9;冲突MAC:0-1d-f-64-da-14;
今天360的日志
2008-09-22 08:40:26 网关欺骗： 00-D0-F8-E0-C9-C9

问了网络部得 同事，没有14和c9这两台机子
新手求解，建设性方案。谢谢。在线等。有追加

现在的arp病毒ip和mac都可以是假的，想靠软件定位中毒机器很难。
我碰到过一个单位的网管也碰到过这种情况，比你这个还严重，内网有多台电脑发arp包，最后的解决方案很简单，就是在机房先把核心交换机的端口一个一个拔了试，定位是那个下级交换的机器，同上在把下级交换的端口一个一个试。
知道了吧！呵呵。
这种情况一般都是当初规划网络的时候没有合理的划分网段造成的，如果不是所有的电脑的都在一个网段arp病毒也不会造成整个局域网瘫痪了。

试试这个办法吧
找一台arp缓存被改过的机器（也就是受arp病毒影响的机器）使用tracert命令
随便tracert一个外网地址看看第一跳是那个ip 如果不是网关的ip就是哪台中毒机器的ip。 参考技术A 你的局域内应该接了两个路由，去找找，是不是。。多接了无线路由之类的。

不是这个就是MAC欺骗，假的MAC，那就只能一台一台的进行排除法。。 参考技术B 下载ANTIARP防火墙

用它扫描网关 就可查到对应的MAC值 参考技术C 下载防火墙，和arp病毒专杀工具 参考技术D 下载金山防火墙

简记 ARP 和 ARP攻击

1.

ARP = 询问局域网内的各个主机某 IP对应的机子的MAC是多少

ARP 请求帧的MAC会是FFFFFFFF，表示待寻找。

 

IP地址为A , 硬件地址为a 的主机，找IP地址为 B 的主机（ 硬件地址为b ），但是A的缓存表中没有特定条目，即没有 B - b 的缓存条目。

于是A发送 一条ARP信息 : 源IP = A    源MAC = a ; 目的IP = B   目的MAC = FFFFFFFF　　类型是ARP request

 

B收到之后 在本机的ARP缓存中存 A - a 记录。表示知道IP为A的主机的MAC地址是a。

并且发出 一条ARP信息： 源IP = B 源MAC = b；目的IP = A   目的MAC = a　　类型是ARP reply

 

A收到之后 在本机的ARP缓存中存 B - b 记录。表示知道IP为B的主机的MAC地址是b。

以后向B通信就可以在 MAC帧中把 b 当作目标MAC地址包进去。

 

2.

ARP攻击

上述过程如果有一台黑客的机子 C 要冒充 B 的话

C打开网卡的混合模式（Linux 通过 ifconfig 网卡名 promisc 指令打开混合模式，还没试过能不能达到效果）

在A发送ARP request之后，即使C的IP不是 B，C也会对A的 ARP request 做出反应。

具体是回复一条ARP信息 ： 源IP = B　　源MAC = c(C的MAC地址)　　目的IP = A　　目的MAC = a

A接收到这条假的ARP信息，就会把 B - c 这条记录存在ARP缓存中

如果A，B，C 之间是通过一条交换机链接的话，交换机会记下MAC地址对应的端口。

C发送上述的这条伪装的ARP信息之后，交换机就会记录下c对应的端口是通向C的。

以后只要A访问IP地址B，就会根据A上的ARP缓存，指定MAC地址是 c，而交换机又记录了 c 的端口是通向 C的，所以信息都会发送给C。

B得不到A发送的信息。上述即ARP攻击，同理，对B也可以发起同样的攻击。这样的话，相当于C在A,B两者之间充当一位代理。

掌控A和B之间通信的内容。如果通信的内容没有加密的话，C可以根据内容，在A，B两者之间建立起看似正常的会话。