实际上我是一名大学生,在我们的宿舍里有人经常尝试进行 ARP 中毒之类的攻击,这会导致大量带宽损失。请简要解释一下您推荐的技术。
答案1
如果是 ARP 中毒,那么他们有一个 MAC 地址,你可以追踪到。如果宿舍使用可管理的交换机,并且他们允许你拥有管理员访问权限,那么你可以看到攻击时 MAC 地址所在的交换机端口,并以此方式追踪它。如果是无线设备,你可以在 802.11 监控模式下使用 Wireshark,带着笔记本电脑四处走动,寻找来自该 MAC 地址的传输最强的位置。
如果您可以在交换机的镜像端口上运行嗅探器,您可能会看到来自该机器本身的流量(而不是在攻击期间从其他机器中继的流量),并可能确定其 IP 地址,然后扫描这些地址上的服务(端口扫描),或查找来自这些地址的名称协议公告,甚至可能在这些地址上使用类似 nmap OS 指纹识别之类的东西,以尝试收集可能提供进一步线索的更多信息。