[問題] 關於ARP spoofing

看板Network作者 (什麼鬼)時間15年前 (2009/05/04 00:31), 編輯推噓1(1015)
留言16則, 4人參與, 最新討論串1/2 (看更多)
情況況是這樣的 =網路環境= 我在外面租房子 學生宿舍 有一台Router(便宜貨) 自動連線Hinet 使用DHCP 分給12間房間 所有的電腦連到兩台HUB(非switch) 在連到Router(192.168.1.1) =攻擊事件= 在這LAN中 發現ARP攻擊 把192.168.1.1 的MAC位置 轉向到 如:22:33:44:55:66 之類的假位置 利用wireshark 果然錄到192.168.1.XX 一直scan 192.168.1.1~255 (XX 這個位置一陣子會消失再以另一個位置繼續掃描 ) (XX 的MAC位置是假的也會變動) 不過192.168.11.XX這個位置 只在做scan(未跟其它LAN成員有什麼封包) 但跟192.168.1.1(假MAC位置)有大量封包 (假的192.168.1.1的MAC位置是1b:xx:...與192.168.1.XX不同) =推論= 當我利用arp -s 192.168.1.1 xx:xx..到正確的MAC位置 也是無法連線(一個封包都收不到) 不過有時候正常 所以我懷疑某台電腦無法承載整個LAN的封包轉送(MITM) 而變成DOS 也懷疑那台電腦只是被當作攻擊者的跳板 恩..說到這 有點冗長了 不好意思讓你看了這麼久 我對網路不是非常懂 就對我觀察到的情形描述 說不定漏掉了許多關鍵的地方 因為房東希望我可以幫她處理 也順便使我的網路正常 問題: 1.若將DHCP關閉 把每個房間指定IP位置 2.將兩台HUB 換成switch 或具有ARP Spoolfing偵測功能的swirch 若單做1的動作 可以防止ARP Spoofing嗎? 或是要用其它的辦法? 再次謝謝你 看了這麼長 麻煩解答了 -- ※ 發信站: 批踢踢實業坊(ptt.cc) ◆ From: 114.47.126.89
05/04 01:03, , 1F
看起來像是使用 netcut的軟體
05/04 01:03, 1F
05/04 01:05, , 2F
有辦法處理掉那台中毒的電腦嗎?
05/04 01:05, 2F
05/04 10:55, , 3F
才12台電腦 很容易查出哪台有問題
05/04 10:55, 3F
05/04 13:59, , 4F
恩..是學生宿舍 找出中毒電腦 應該很快又出問題
05/04 13:59, 4F
05/04 14:01, , 5F
也不方便去檢查房客的電腦 希望可以從別的地方下手
05/04 14:01, 5F
05/04 17:35, , 6F
不需要去動房客電腦呀 用拔線測不就好
05/04 17:35, 6F
05/04 17:36, , 7F
好點的router+switch是一筆不小的數目 如果房東ok就好處理
05/04 17:36, 7F
05/04 17:37, , 8F
switch,router,房客電腦 都要綁定mac
05/04 17:37, 8F
05/04 19:31, , 9F
買台可以綁定MAC 的switch 就OK了嗎?(已有Router)
05/04 19:31, 9F
05/04 19:53, , 10F
router switch 都要有綁定ip-mac的功能 電腦也要設定
05/04 19:53, 10F
05/04 21:04, , 11F
那市面上的switch 要怎麼分辨有無設置mac位置的功能?
05/04 21:04, 11F
05/04 22:29, , 12F
switch 從兩千多到十幾萬都有 這你要自己做功課了
05/04 22:29, 12F
05/04 22:31, , 13F
你所謂的router如果只是1000上下的ip分享器一般也沒這功能
05/04 22:31, 13F
05/04 22:32, , 14F
一台好用的router+switch可能要花上數萬元 當然也有數千的
05/04 22:32, 14F
05/04 22:34, , 15F
一般房東通常花不下這種錢的 除非房客很多才能吸收成本
05/04 22:34, 15F
05/04 22:36, , 16F
依照你的例子我會查12條線有問題拔掉 叫他電腦先檢修
05/04 22:36, 16F
更多 ccczz 的文章
文章代碼(AID): #19_SRlCh (Network)
更多 ccczz 的文章
文章代碼(AID): #19_SRlCh (Network)