我想arpspoof 网关IP -t 受害者IP可以通过在受害者端添加静态 arp 条目来防止,即arp -s 网关IP 网关MAC
我读https://superuser.com/questions/17696/what-happens-when-two-pcs-have-the-same-mac-adress,但我仍然想知道坏人什么时候会这样做:
macchanger -m GATEWAY_MAC eth0
它能绕过静态 arp 条目保护吗?地下实际上会发生什么?有任何文档/资源解释过这种情况吗?
答案1
这在一定程度上取决于所使用的网络设备。MAC 地址应该保证是全局唯一的。(这里做了很多假设。)最有可能的是,交换机每 15 秒就会在两个端口之间来回切换一次(大多数交换机的最短时间出现在更新转发数据库条目之前需要。)
我不知道你说的“地下到底会发生什么?”是什么意思。
坏人通常想要做的是赢得 ARP 竞赛。这通常是通过大量无偿 ARP 广播并简单地尝试首先回答客户端的 ARP 请求来实现的。
根据文档,这种攻击被称为 ARP 欺骗。如果有的话,请阅读有关 dug song 的 dsniff 工具的信息。
祝你好运。
[已更新以解决该评论。] 不,在客户端上设置静态 arp 条目不会保护或阻止某人使用 macchanger(如您所述)。如果您 LAN 上的攻击者使用 macchanger(如您所述),则会导致 LAN 上的两个站点具有相同 MAC 地址的情况。
但是,如果您有一台托管交换机 - 即您可以登录并配置的交换机。它几乎肯定会支持静态转发条目。如果您要在网关的交换机端口上静态配置网关的 mac 地址,则可以防止攻击者冒充您网络上的网关。这与使用 arp -s 不同。