版块
论坛
喜欢
话题
应用
搜索
登录
注册
yellowzzp的个人空间
访问量
0
新鲜事
帖子
资料
http://bbs3.driverdevelop.com/index.php?m=space&uid=174494
ARP 防火墙 的 外来ARP 欺骗追踪 不可能实现吧?
我正在写一个ARP防火墙,在中毒机器追踪这里遇到了麻烦。我自己写的病毒可以把 冒充的机器的EtHeader里的SHost 改掉 。发送的包,在别人看来完全没有我自己的痕迹。是不是这样的话,完全不可能在另外一台机来追踪我呢?还有外来ARP欺骗包是何如鉴别的?必须得有认证机制嘛
回复
(
14
)
2007-11-19 17:45
来自版块 -
反流氓、反木马和rootkit
◆
◆
表情
告诉我的粉丝
提 交
liqtndis
:
用“网络执法官”可以做测试,arp病毒一般都是双向欺骗的,既欺骗网管,有欺骗其它主机,你必须有其它主机的所有正真mac(同一子网内)包括网关的,才容易很快的追踪到欺骗者!若正真网关的mac没有对应它真正的ip,网关的真正ip对应的不是它真正的mac,这个mac可能是某台主机的(这...
(2008-12-01 10:55)
回复
GoodOnline
:
如果网络管理规范的话,无论你怎么改,都能找到你.
(2008-05-23 17:05)
回复
quentin
:
“一般ARP木马先探测,后发欺骗包的话,是会被追踪的”
(2008-05-23 16:32)
回复
yellowzzp
:
哈哈。。那等你们下个版本出来看看啊 加油写。。多多加班 ao成熊猫眼。。
(2007-11-22 13:56)
回复
WQXNETQIQI
:
给网关发的从本机来说谁也没办法~ 对外用NPF发ARP包,就会被拦掉,如果全网都装了,就OK了~不会存在网关被攻击的情况 一般ARP木马先探测,后发欺骗包的话,是会被追踪的,下版会有全面的追踪功能~
(2007-11-21 12:58)
回复
yellowzzp
:
基本明白你说的意思了。。。。是我理解错了 还有别的方法,,只是还不知道。 我 新手。。不会逆向。郁闷。。刚学驱动。。>_< 而且。。我实验的。360 发布版 我测了半天。。网络都瘫痪了。。360也没有作用。。
(2007-11-21 11:50)
回复
WQXNETQIQI
:
楼主还没搞懂,基本这跟以太网头没有任何关系~追踪不是靠这个的~去逆一下360的ARP防火墙吧~
(2007-11-21 11:40)
回复
yellowzzp
:
引用第5楼WQXNETQIQI于2007-11-20 17:54发表的 : 他可以把source mac写成自己的,这没什么问题 所以,如何获取网关才是关键 象金山那个废柴ARP防火墙,连网关MAC都拿不到,太挫了 中毒的机器 哪个病毒这么傻啊。。肯定 发出去的包sm...
(2007-11-21 11:11)
回复
yellowzzp
:
以太头 可以修改啊 我(A)冒充别的机器(B)发ARP欺骗给(C) 把以太头 的源地址 改成 111111 目标机器(C)上拿iris 接到的数据包 以太都就是 1111 。。根本看不到任何我(A)的信息. ARP欺骗2种 一个给主机 一个给网关 。网关我没能力防护,只能在保...
(2007-11-21 11:09)
回复
WQXNETQIQI
:
他可以把source mac写成自己的,这没什么问题 所以,如何获取网关才是关键 象金山那个废柴ARP防火墙,连网关MAC都拿不到,太挫了
(2007-11-20 17:54)
回复
1
2
下一页 »
yellowzzp
加关注
写私信
0
关注
0
粉丝
130
帖子
返回顶部