|
阅读:3228回复:14
ARP 防火墙 的 外来ARP 欺骗追踪 不可能实现吧?
我正在写一个ARP防火墙,在中毒机器追踪这里遇到了麻烦。
我自己写的病毒可以把 冒充的机器的EtHeader里的SHost 改掉 。 发送的包,在别人看来完全没有我自己的痕迹。 是不是这样的话,完全不可能在另外一台机来追踪我呢? 还有外来ARP欺骗包是何如鉴别的?必须得有认证机制嘛 |
|
|
沙发#
发布于:2007-11-19 18:36
要ARP欺骗,肯定会暴露XX的MAC~
|
|
|
|
板凳#
发布于:2007-11-20 12:13
我写了个ARP 欺骗 程序 我把发送的欺骗包 以太头的 源Mac 和 ARP 头的 源Mac都改成一样了,
网里过滤到的包 根本没有我的 Mac信息了 为什么会暴露呢? 谁能提供个ARP病毒 让我分析分析啊。。 |
|
|
地板#
发布于:2007-11-20 12:57
伪装以太头是没用的
|
|
|
|
地下室#
发布于:2007-11-20 17:44
那只要 鉴别。。以太头和 ARP 头 里的 Smac 是否一致 那不就能判断出,是否是欺骗。。那ARP 防火墙。。还是比较简单了。
现在麻烦的只是 对于Router 没什么好的防范方法 |
|
|
5楼#
发布于:2007-11-20 17:54
他可以把source mac写成自己的,这没什么问题
所以,如何获取网关才是关键 象金山那个废柴ARP防火墙,连网关MAC都拿不到,太挫了 |
|
|
|
6楼#
发布于:2007-11-21 11:09
以太头 可以修改啊 我(A)冒充别的机器(B)发ARP欺骗给(C)
把以太头 的源地址 改成 111111 目标机器(C)上拿iris 接到的数据包 以太都就是 1111 。。根本看不到任何我(A)的信息. ARP欺骗2种 一个给主机 一个给网关 。网关我没能力防护,只能在保护主机上做文章。主机接到的ARP欺骗 根本以太头里 根本没有暴露中毒主机的地址 我是自己的Ndis_Prot 驱动发的ARP欺骗 郁闷死了。。就是追踪不到 中毒机器啊 |
|
|
7楼#
发布于:2007-11-21 11:11
引用第5楼WQXNETQIQI于2007-11-20 17:54发表的 : 中毒的机器 哪个病毒这么傻啊。。肯定 发出去的包smac是别人的。。或者是错的,随机生成的。 我在接收arp欺骗的机器上 拿iris 接包。。发现包 以太头 源地址 可以任意。 |
|
|
8楼#
发布于:2007-11-21 11:40
楼主还没搞懂,基本这跟以太网头没有任何关系~追踪不是靠这个的~去逆一下360的ARP防火墙吧~
 |
|
|
|
9楼#
发布于:2007-11-21 11:50
基本明白你说的意思了。。。。是我理解错了
还有别的方法,,只是还不知道。 我 新手。。不会逆向。郁闷。。刚学驱动。。>_< 而且。。我实验的。360 发布版 我测了半天。。网络都瘫痪了。。360也没有作用。。 |
|
|
10楼#
发布于:2007-11-21 12:58
给网关发的从本机来说谁也没办法~
对外用NPF发ARP包,就会被拦掉,如果全网都装了,就OK了~不会存在网关被攻击的情况 一般ARP木马先探测,后发欺骗包的话,是会被追踪的,下版会有全面的追踪功能~ |
|
|
|
11楼#
发布于:2007-11-22 13:56
哈哈。。那等你们下个版本出来看看啊 加油写。。多多加班 ao成熊猫眼。。
|
|
|
12楼#
发布于:2008-05-23 16:32
“一般ARP木马先探测,后发欺骗包的话,是会被追踪的”
|
|
|
13楼#
发布于:2008-05-23 17:05
如果网络管理规范的话,无论你怎么改,都能找到你.
|
|
|
14楼#
发布于:2008-12-01 10:55
用“网络执法官”可以做测试
用“网络执法官”可以做测试,arp病毒一般都是双向欺骗的,既欺骗网管,有欺骗其它主机,你必须有其它主机的所有正真mac(同一子网内)包括网关的,才容易很快的追踪到欺骗者!若正真网关的mac没有对应它真正的ip,网关的真正ip对应的不是它真正的mac,这个mac可能是某台主机的(这个主机就是欺骗者,这种情况就比较严重了,想想就知道了),也可能根本不存在(这种情况只会导致被欺骗的机器上不了网), |
|
|