ARP欺骗报文是这个样子的 
版权声明:原创作品,如需转载,请与作者联系。否则将追究法律责任。 |
前几天网络异常时作了一次抓包,看到了一台中毒的电脑发送arp欺骗报文的过程。(点击下图,放大查看)
 中毒电脑 MAC:0018F37C3E35 IP:172.16.1.137
网 关 MAC:001478F***48 IP:172.16.1.1
图中1至14行,在网关并没有发ARP Request的情况下,中毒电脑0018F37C3E35却连发了14个ARP Reply包,而且每次源IP都不同,冒充的ip都是当时在线的其它电脑。
例如第一个包,中毒机器冒充成ip172.16.1.101给网关172.16.1.1发Arp Reply包,以达到将网关arp缓存表里172.16.1.101的mac更新为中毒机器mac的目的。
从第15行开始,中毒机器又冒充成网关给各个在线机器发包,以达到将被攻击电脑arp缓存表里网关的mac更新为中毒机器mac的目的。
中毒机器如此不停的发包,持续的欺骗网关和其它机器,致使网关与其它机器之间的通讯都被骗至中毒机器,病毒再从中过滤出密码等敏感信息。但由于中毒机器并没有把欺骗来的数据再正确的转发出去,也就是说它并没有扮演好一个传话的中间人的角色,骗来的数据包没有被转发就丢弃了,这才引起了其它机器上不了网。如果病毒完善一些,只嗅探不破坏通讯,那我们就不那么容易发现它了。
由于路由器上做了ip与mac绑定,病毒并没能成功欺骗路由器,路由器上留下了这样的日志:
1 92608:IP绑定冲突: LAN 中MAC地址为 00-18-F3-7C-3E-35 的主机尝试使用IP地址 172.16.1.103 2 92608:IP绑定冲突: LAN 中MAC地址为 00-18-F3-7C-3E-35 的主机尝试使用IP地址 172.16.1.108 3 92608:IP绑定冲突: LAN 中MAC地址为 00-18-F3-7C-3E-35 的主机尝试使用IP地址 172.16.1.112 4 92614:IP绑定冲突: LAN 中IP地址为 172.16.1.102 的主机被攻击了 2 次 5 92614:IP绑定冲突: LAN 中IP地址为 172.16.1.103 的主机被攻击了 2 次 6 92614:IP绑定冲突: LAN 中IP地址为 172.16.1.108 的主机被攻击了 2 次 7 92614:IP绑定冲突: LAN 中IP地址为 172.16.1.112 的主机被攻击了 2 次 本文出自 “想飞 iflycn” 博客,转载请与作者联系! 本文出自 51CTO.COM技术博客 |
ifly
博客统计信息
热门文章
最新评论
友情链接