Linux下用tcpdump -p arp命令抓包获取的信息帮忙分析下

Posted 2023-04-10

最近发现局域网内经常有人arp攻击。我在Linux下安装了tcpdump包，用tcpdump -p arp命令抓包来获取局域网信息时，出现很多个arp攻击。现截取一段，麻烦帮忙分析下，尽量把每个标识都具体讲解下。
13:04:17.981738 arp who-has 192.168.1.1 tell 192.168.229.1
13:04:17.997373 arp who-has 192.168.1.1 tell 192.168.229.1
13:04:18.014170 arp who-has 192.168.1.1 tell 192.168.229.1
13:04:18.028645 arp who-has 192.168.1.1 tell 192.168.229.1
13:04:18.044854 arp who-has 192.168.1.1 tell 192.168.229.1
13:04:18.091118 arp who-has 192.168.1.1 tell 192.168.1.60
13:04:18.106721 arp who-has 192.168.1.1 tell 192.168.1.60
13:04:18.122338 arp who-has 192.168.1.1 tell 192.168.1.60
13:04:18.137991 arp who-has 192.168.1.1 tell 192.168.1.60
13:04:18.153616 arp who-has 192.168.1.1 tell 192.168.1.60

参考技术A 这些数据包是ARP请求，请求获得192.168.1.1的MAC地址 参考技术B 额 不是很多个攻击 而是一个用户192.168.1.1在不断发出arp包 额 这个不是默认网关么 额 难道是路由设置的问题？

windows 下tcpdump+arpspoof arp嗅探

arp 欺骗

arpspoof.exe /l 列出网络接口
arpspoof.exe 192.168.3.1 192.168.3.5 80 0 1


嗅探：

tcpdump -D //查看网络接口
tcpdump -i 3 -w h.cap -s 0


-s0 表示取消抓包长度限制
否则会导致抓包不全！
win 下的 tcpdump 好处就是 无需安装wincap 纯命令行下操作
杀软不会干掉

随后便可用 wireshark 分析数据包

 

 

http://files.cnblogs.com/files/ring3/%E5%97%85%E6%8E%A2.zip