%20%E4%B8%AD%E7%9A%84%20ARP%20%E4%B8%AD%E6%AF%92%EF%BC%9F.png)
(这个问题来自此主题,并旨在作为更通用的 ARP 网络检测(不限于 WiFi)的参考问题/答案对,或者不需要向问题的原始发布者提供具体解释)
只要ARP 中毒攻击变得越来越常见(dSploit对于 Android,该隐与亚伯 对于 Windows,或者使用其他几种方法Linux)在公共场所(酒吧、酒馆、餐厅、商业中心、网络……等),我想了解一些快速简单的检测方法通过我的 Windows 笔记本电脑,无论我是在有线网络还是无线网络中。
我需要WireShark捕获和长时间读取隐秘的流量数据?我需要防火墙吗(有时它们带来的干扰比帮助还多)?必须有类似的东西呼噜并成为能够理解所有这些数据的专家?
难道就没有简单的方法,即使在缺货的 Windows 电脑上也能使用吗?
答案1
(此答案改编自这个使其不依赖 WiFi,更简单,更快捷,更适合这个问题)
确实,简单方法在所有情况下都应该有效。ARP 中毒案例,必然会有一个重复的 MAC 地址(又名物理地址)在您的本地网络(又名子网或 LAN)上,因此检测它的技巧很简单:只需列出 ARP 表(即:你的计算机知道的所有 MAC 地址)和检查重复项。
通常重复使用网关(路由器,将您连接到互联网)。
方法:
1.- 打开以管理员身份运行 Shell:
cmd
2.-清除 ARP 缓存(对于网络上可能剩余的断开连接的设备)并等待几秒钟(30 秒应该足够):arp -d -a 3.-列出 ARP 表通过执行(输出只是中毒的一个例子):
c:\>arp -a
Interface: 192.168.11.108 --- 0x2
Internet Address IP Physical Address Type
192.168.0.1 00-17-31-3f-d3-a9 dynamical
192.168.0.102 50-e5-49-c5-47-15 dynamical
192.168.0.107 00-17-31-3f-d3-a9 dynamical
192.168.0.108 00-0a-e4-a0-7f-78 dynamical
4.- 在 ARP 表中查找重复项。在我的示例中,路由器192.168.0.1和设备共享同一个 MAC,因此该计算机是毒药192.168.0.107的可能性非常高。192.168.0.107
注意:cmd仅第 2 步(清除 ARP 缓存)需要以管理员身份使用 shell。其余过程可以从普通的非特权 shell 完成。
- 我的局域网上可能有多个设备中毒?嗯……这并不常见,而且缺乏一些意义:中毒过程可能(并非总是)减慢(可能不会太多)甚至使整个网络崩溃,而路由器的中毒会向中毒者发送大量流量(可能会挂起中毒者设备)。但这可能会发生。无论如何,您仍然可以使用此方法检测到它。只需搜索更多重复项即可。
- 除了路由器之外,还有其他设备被毒了吗?是的。有时有趣的部分是拦截发送到网络打印机、NAS 的数据、计算机之间发送的文件等。
- 毒药器不是路由器。为什么如果数据被发送到毒药器而不是路由器,我的互联网仍然可以运行?因为投毒者会将流量重新发送到路由器,试图让您察觉不到任何变化。这是通常所说的“中间人 (MITM)”攻击的一部分。