LinuxSir.cn,穿越时空的Linuxsir!

 找回密码
 注册
搜索
热搜: shell linux mysql
查看: 2090|回复: 4

Arp攻击续,现象求解。

[复制链接]
发表于 2008-10-18 09:01:33 | 显示全部楼层 |阅读模式
现象一:
window下检查,发现局域网内Linux机器不能被检查。并且,一直作怪的mac地址08:10:74:11:2D:90也没有。但是个机器不停受到08:10:74:11:2D:90的攻击。
D:\nbtscan>nbtscan.exe 192.168.74.0/24/24
Doing NBT name scan for addresses from 192.168.74.0/24/24
192.168.74.189   PC-7493228        <server>   <unknown>        00-1d-60-21-59-84
192.168.74.200  Recvfrom failed: Connection reset by peer
192.168.74.203   NANWAIKE-01       <server>   <unknown>        00-1d-60-21-65-48
192.168.74.212   VIP2              <server>   <unknown>        00-1d-60-21-78-fb
192.168.74.214   NVXINDIAN-01      <server>   <unknown>        00-1d-60-21-5e-5f
  
  
现象二:
Linux下ifconfig命令显示mac为00:15:17:11:43:14,也没错。
[root@localhost ~]# ifconfig
eth0      Link encap:Ethernet  HWaddr 00:15:17:11:43:14   
           inet addr:192.168.74.200  Bcast:192.168.74.255  Mask:255.255.255.0
           inet6 addr: fe80::215:17ff:fe11:4314/64 Scopeink
           UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
           RX packets:8845587 errors:0 dropped:0 overruns:0 frame:0
           TX packets:11652203 errors:0 dropped:0 overruns:0 carrier:0
           collisions:0 txqueuelen:100  
           RX bytes:1033580833 (985.6 MiB)  TX bytes:15025014683 (13.9 GiB)
           Base address:0x3020 Memory:b8820000-b8840000  
  
lo        Link encapocal Loopback   
           inet addr:127.0.0.1  Mask:255.0.0.0
           inet6 addr: ::1/128 Scope:Host
           UP LOOPBACK RUNNING  MTU:16436  Metric:1
           RX packets:82470094 errors:0 dropped:0 overruns:0 frame:0
           TX packets:82470094 errors:0 dropped:0 overruns:0 carrier:0
           collisions:0 txqueuelen:0  
           RX bytes:220058363509 (204.9 GiB)  TX bytes:220058363509 (204.9 GiB)
  
现象三:
linux下arping命令测试。终于发现了08:10:74:11:2D:90这个mac的行踪。
  
[root@localhost ~]# arping -U -I eth0 -s 192.168.74.200 192.168.74.65 -c 5
ARPING 192.168.74.65 from 192.168.74.200 eth0
Unicast reply from 192.168.74.65 [08:10:74:11:2D:90]  0.838ms
Unicast reply from 192.168.74.65 [08:10:74:11:2D:90]  0.764ms
Unicast reply from 192.168.74.65 [08:10:74:11:2D:90]  0.780ms
Unicast reply from 192.168.74.65 [08:10:74:11:2D:90]  0.775ms
Sent 5 probes (1 broadcast(s))
Received 4 response(s)
[root@localhost ~]#  
  
  
问题:
08:10:74:11:2D:90这个mac地址在哪?
Linux机器中毒了?
arping这个命令测试的是什么?
发表于 2008-10-18 23:53:06 | 显示全部楼层
arping -U -s <src ip> <neighbor ip>

意思是主动要求 IP 为 neighbor ip 的机器更新 ARP 表,将其中 src ip  对应的 MAC 地址更新。实际上 src ip 只能设置为本机的 ip,所以实际上就是请求 neighbor ip 的机器更新本机的 ip 对应的 MAC 地址。

检查下 192.168.74.65 实际 MAC 地址看是不是 08:10:74:11:2D:90。
回复 支持 反对

使用道具 举报

发表于 2008-12-5 16:23:24 | 显示全部楼层
没用的,这个MAC和IP是伪装的,我也遇过这种现象,你要双向绑定看看
回复 支持 反对

使用道具 举报

发表于 2009-1-5 13:31:13 | 显示全部楼层
我的电脑经常arp攻击,我的网站都打不开了。。。晕死!
http://longyu.cc/viewthread.php?tid=4977
回复 支持 反对

使用道具 举报

发表于 2009-1-5 17:26:53 | 显示全部楼层
windows下的机器,是否都正常的安装了反ARP攻击防火墙,
试着断掉有嫌疑的机器的网线,看看是否正常
另外,可以把linux的网线也断掉,看是否正常

有的时候手工方法反而比纯技术手段要高效的多!
回复 支持 反对

使用道具 举报

您需要登录后才可以回帖 登录 | 注册

本版积分规则

快速回复 返回顶部 返回列表