2

我的 ESET SS5 防火墙在过去 24 小时内不断检测到相同的 IP 地址和 ARP 缓存中毒攻击(每 2 分钟一次)

我对 ARP 缓存中毒攻击进行了一些研究,例如如何将其用作 MiM 并将其用作默认网关

所以我安装了 Wireshark 并开始捕获网络...... 90% 的捕获记录是从不同来源到不同目的地的 ARP 广播数据包。我(从计算机网络教科书)了解到现代 ISP 不允许广播数据包,但有趣的是,90% 的捕获记录是 ARP 数据包。此外,“默认网关”通常是局域网中的路由器/交换机,那么为什么不同的计算机要求不同的 IP 地址“以它们的 MAC 地址响应”?

如果这是一个有网络打印机的联网区域(一家公司),那么通过 ARP 请求广播并询问谁拥有这个 IP 可能是合理的。但是在这种情况下,除非出于某种欺骗/黑客目的,否则为什么有人需要特定的 IP 地址。

这些是一直困扰着我的要点..以下是问题

  1. ISP 是否允许广播 ARP 数据包?
  2. ARP 请求局域网中其他 IP 的 IP 地址(同一子网 183.82.xx.xx )是否感染了导致此问题的病毒?
  3. 如果没有防火墙,结果会是什么?- // 虽然很蹩脚但想知道

我对网络和黑客的了解是半生不熟(仍在学习过程中)。

4

1 回答 1

0

  1. 大多数 ARP 数据包是广播数据包,并且 ISP 必须允许这样做。否则 IP 到 MAC 的解析将无法发生,并且没有主机能够通过 IP 进行通信。

  2. 不一定,但可能是。如果您、A 和 B 共享同一个 ISP 网关,并且 A 想与 B 通信,那么 A 和 B 必须将彼此的 IP 地址解析为 MAC 地址。这样做时,ARP 广播数据包将被广播到同一 IP 子网中的所有主机,包括您。

  3. ARP 广播包(实际上是所有 IP 广播包)只在同一个 IP 子网内广播,永远不会跳转到不同的 IP 子网。否则整个互联网都会因为广播包的网络风暴而崩溃。换句话说,即使您没有配置防火墙,ARP 广播数据包也不会从路由器的 WAN 接口跳转到 LAN 接口。

现在我已经写了所有的答案,我有点困惑。您在哪里安装了 Wireshark 以及在哪个界面上捕获?如果您在 LAN 内的机器上看到 ARP 数据包,那么 ARP 广播数据包一定来自内部,除非路由器配置错误或以某种方式损坏,它让 ARP 广播数据包从 WAN 到 LAN。这是一个非常不可能的情况。

于 2013-01-31T20:31:27.867 回答