[问题求助]arp攻击的问题，跟普通APR攻击有点不同 [复制链接]

200台电脑，原来内网也出现过ARP攻击，后来再电脑上装了个欣向检测ARP广播的工具，如.果哪台机广播网关的MAC地址，则根据该MAC找到相对应的电.脑.即是攻击源了。  但今天检测软件报告的MAC地址为非本网内的电.脑的MAC，为00:14:78:99:05:3c， 而一般网卡不是001478开头。 我的路由器是一台TPLINK，地址也.是001478开头，则意味着是外网的某一台TPLINK ，.路由器发的包。   半小时内已经导至断网三次，把路由器重启即正常，等检测软件测到该地址发的MAC跟网关冲突时，网便断了。不知是何原因，请高手赐教。.

使用arpwatch可以检测arp攻击。根据arp攻击的原理，攻击不可能来自外网，只能来自于同一个局域网。

那为何显示的MAC地址为非网段内的物理地址。我该如何找出攻击源呢。

现在的arp攻击先进了
源mac已不再是真实的源地址了

外网如果ARP攻击呢?

源MAC也不是不可以改变的

根据ARP攻击的原理,是不可能通过外网进行ARP攻击的.

无，arp proxy的情形下， arp的欺骗实施范围，局限于本网段内

由于lz描述不是太清晰，我猜想他的描述结构是否是如此的？

外网----route（TPLINK）---gateway（nat）----内网

这样的话，由于route位置是和gateway的外网口同一lan内，所以是可以对nat位置进行arp欺骗的。

arp欺骗中。。。似乎核心就是假冒arp源地址才对吧。。。否则修改目的请求地址就说不上假冒了。。。只能说是干扰通信而已。。。推荐检查一下该route的配置比较好~~~

QUOTE:原帖由 skylove 于 2006-8-20 10:57 发表
无，arp proxy的情形下， arp的欺骗实施范围，局限于本网段内

由于lz描述不是太清晰，我猜想他的描述结构是否是如此的？

外网----route（TPLINK）---gateway（nat）----内网

这样的话，由于route位置是和 ...


请问一下,route的修改及ARP的攻击方式

我猜想修改route后,arp好像没有改变,二层和三层的关系似乎不大

QUOTE:原帖由 河里的鱼 于 2006-8-20 11:19 发表


请问一下,route的修改及ARP的攻击方式

我猜想修改route后,arp好像没有改变,二层和三层的关系似乎不大


那个结构，攻击route后，进route 后把nat的ip绑定到一个错误mac地址。。。那nat就上不去了

route在gateway的后面,gateway已经做了NAT,arp是如何到route的