我的ESET SS5防火墙在过去24小时内经常(每2分钟)检测到相同的IP地址和ARP缓存中毒攻击
我对ARP缓存中毒攻击进行了一些研究,比如它如何用作MiM并将其用作默认网关
所以我安装了Wireshark并开始捕获网络...... 90%的捕获记录是从不同来源到不同目的地的ARP广播包。我从计算机网络教科书中了解到,现代ISP不允许广播数据包,但有趣的是,90%的捕获记录都是ARP数据包。此外,“默认网关”通常是局域网中的路由器/交换机,那么在那种情况下,为什么不同的计算机要求使用不同的IP地址来响应其MAC地址???
如果这是一个拥有网络打印机的网络区域(公司),那么通过ARP请求广播并询问谁拥有此IP可能是合理的。但在这种情况下,为什么有些人需要一个特定的IP地址,除非它用于某些欺骗/黑客目的。
这些是让我烦恼的要点。以下是问题
我对网络和黑客的了解有一半(仍处于学习过程中)。
答案 0 :(得分:0)
大多数ARP数据包都是广播数据包,ISP必须允许这样做。否则将无法进行IP到MAC解析,并且没有主机能够通过IP进行通信。
不一定,但可能。如果您,A和B共享相同的ISP网关,并且A想要与B通信,则A和B必须将彼此的IP地址解析为MAC地址。这样,ARP广播数据包将被广播到同一IP子网中的所有主机,包括您。
ARP广播数据包(实际上是所有IP广播数据包)仅在同一IP子网内广播,永远不会跳转到不同的IP子网。否则整个互联网将因广播数据包的网络风暴而中断。换句话说,即使您没有配置防火墙,ARP广播数据包也不会从路由器的WAN接口跳转到LAN接口。
现在我已经写了所有的答案,我有点困惑。你在哪里安装Wireshark以及你在哪个接口上捕获?如果您在LAN内的计算机上看到ARP数据包,那么ARP广播数据包必须来自内部,除非路由器错误配置或以某种方式损坏它让ARP广播数据包从WAN传输到LAN。这是一个非常不可能的场景。