我正在测试两个不同的局域网,我正在尝试使用简单的 Linux shell 命令(如 arpspoof 和 whireshark)来嗅探带有 Mitm 攻击的流量来嗅探数据包。在第一个局域网中,我可以毫无问题地嗅探,而在第二个局域网中,使用相同的技术,在 whireshark 中我可以看到检测到对两个不同的 MAC 使用相同的 ip,我看不到 http 协议层数据包。为什么在第一个局域网中没有重复的ip?我想也许开关 arp 表包含多个具有相同 ip 的条目,而不是只包含修改后的行。
Arp欺骗和ip检测
网络工程
局域网
ARP
线鲨
2022-02-19 20:33:13
1个回答
交换机没有 ARP 表,也不关心 IP 地址。交换机将有一个 MAC 地址表,其中包含 MAC 地址和 MAC 地址作为源 MAC 地址进入的交换机接口。
交换机 MAC 地址表包含每个 MAC 地址的单个条目。当你欺骗MAC地址时,它会混淆交换机MAC地址表,导致表中MAC地址条目的接口不断变化。
MAC 地址欺骗实际上是关于网络中断,而不是信息盗窃。多个主机声称相同的MAC地址会导致交换机MAC地址表不断变化;一些帧将发送到一个主机,而一些帧将发送到另一台主机。
当您使用 ARP 欺骗时,您实际上是在欺骗主机中的 ARP 缓存。IP 地址的 MAC 地址不正确的主机会将该 IP 地址的流量发送到该 MAC 地址,而不是其他地址。这仅适用于单个 LAN。如果您跨 LAN 执行此操作,那么您会遇到不同的问题:MAC 地址仅在它们存在的 LAN 上有效,并且任何发往不同 LAN 的流量都会发送到主机配置网关的 MAC 地址。你可以欺骗它,但是任何具有欺骗网关 MAC 地址的主机都不会从 LAN 到另一个 LAN。
其它你可能感兴趣的问题