ESET - 网络中的 ARP 缓存中毒和相同 IP

Posted 2023-02-19

【中文标题】ESET - 网络中的 ARP 缓存中毒和相同 IP

【英文标题】：ESET - ARP Cache Poisoning and Identical IP in network

【发布时间】：2012-10-21 16:13:48

【问题描述】：

我的 ESET SS5 防火墙在过去 24 小时内不断检测到相同的 IP 地址和 ARP 缓存中毒攻击（每 2 分钟一次）

我对 ARP 缓存中毒攻击做了一些研究，比如如何将其用作 MiM 并将其用作默认网关

所以我安装了 Wireshark 并开始捕获网络... 90% 的捕获记录是从不同来源到不同目的地的 ARP 广播数据包。我（从计算机网络教科书）了解到现代 ISP 不允许广播数据包，但有趣的是，90% 的捕获记录是 ARP 数据包。此外，“默认网关”通常是局域网中的路由器/交换机，那么为什么不同的计算机要求不同的 IP 地址“以它们的 MAC 地址响应”？？

如果这是一个有网络打印机的网络区域（公司），那么通过 ARP 请求广播并询问谁拥有这个 IP 可能是合理的。但在这种情况下，为什么有人需要一个特定的 IP 地址，除非它是出于某种欺骗/黑客目的。

这些是一直困扰我的点..以下是问题

ISP 会允许广播 ARP 数据包吗？？ ARP 请求局域网中其他 IP 的 IP 地址（同一子网 183.82.xx.xx ）是否感染了导致此问题的病毒？？ 如果没有防火墙，会是什么结果？？ - // 虽然很蹩脚但想知道

我对网络和黑客的了解还不够成熟（仍在学习中）。

【参考方案1】：

大多数 ARP 数据包是广播数据包，ISP 必须允许这样做。否则将无法进行 IP 到 MAC 的解析，并且没有主机能够通过 IP 进行通信。

不一定，但可能。如果您、A 和 B 共享同一个 ISP 网关，并且 A 想与 B 通信，那么 A 和 B 必须将彼此的 IP 地址解析为 MAC 地址。这样，ARP 广播数据包将被广播到同一 IP 子网中的所有主机，包括您。

ARP 广播数据包（实际上是所有 IP 广播数据包）仅在同一个 IP 子网内广播，并且永远不会跳转到不同的 IP 子网。否则整个互联网都会因为广播包的网络风暴而崩溃。也就是说，即使你没有配置防火墙，ARP广播包也不会从你路由器的WAN接口跳到LAN接口。

现在我已经写了所有的答案，我有点困惑。您在哪里安装了 Wireshark 以及在哪个界面上捕获？如果您在 LAN 内的机器上看到 ARP 数据包，那么 ARP 广播数据包一定来自内部，除非路由器配置错误或以某种方式损坏，它允许 ARP 广播数据包从 WAN 到 LAN。这是非常不可能的情况。