XArp 检测到的是假阳性吗?

XArp 检测到的是假阳性吗?

今天我深入研究了 ARP 协议及其攻击。我尝试下载 xArp 来测试我的网络,它说检测到了攻击。然后我对此进行了更多研究,但没有发现任何真正与它有关的东西。有时,它会弹出一个警报,说 PC 发送了一个帧,但目的地重合(源地址是 PC,而接收地址是广播 FF:FF:FF...)今天下午我再次运行 xArp 来检查是否有任何变化。我不小心切换了手机上的连接(从我的主网络切换到中继器),发现检测到了另一次攻击。然后,我尝试重新连接我的手机,程序给了我相同的结果。由于当有来自与另一个 MAC 地址相同但 IP 地址不同的设备的请求时,XArp 会检测到 ARP 攻击,并且由于来自中继器的请求具有相同的 MAC(中继器的)但不同的 IP(设备的),您认为这有关系吗?这是误报吗?

如果您认为我错了或者有其他解释,请告诉我。谢谢。

答案1

您对中继器的看法很可能是正确的。如果它连接到常规 Wi-Fi 网络,由于 Wi-Fi 客户端连接的限制,它将被迫使用自己的 MAC 地址。(不幸的是,4addr 模式在无线路由器中并不常见。)

但是,这种模式与你描述的正好相反——一个设备只有一个 MAC 地址,但有多个 IP 地址,这是完全有效的。1相反,它是一个在多个 IP 地址之间移动的不同的 MAC 地址这通常表示存在 ARP 欺骗攻击。

因此,当您的手机切换到中继器时,对于网络的其余部分来说,它绝对看起来像是中继器正在发送带有手机 IP 地址的欺骗数据包,因为 MAC 地址突然不同了。


1(PC 可以同时分配多个 IP。此外,通过路由器的所有数据包始终从路由器自己的 MAC 地址发送。)

相关内容