2

私のESET SS5ファイアウォールは、過去24時間から同一のIPアドレスとARPキャッシュポイズニング攻撃を頻繁に(2分ごとに)検出し続けました

MiM として使用する方法やデフォルト ゲートウェイとして使用する方法など、ARP キャッシュ ポイズニング攻撃について調査しました。

そこで、Wireshark をインストールして、ネットワークのキャプチャを開始しました... キャプチャされたレコードの 90% は、さまざまなソースからさまざまな宛先への ARP ブロードキャスト パケットです。(コンピューター ネットワークの教科書から) 最新の ISP はパケットのブロードキャストを許可していないことを知りましたが、興味深いことに、キャプチャされたレコードの 90% は ARP パケットです。さらに、「デフォルト ゲートウェイ」は通常、LAN 内のルーター/スイッチです。その場合、なぜ、異なるコンピューターが異なる IP アドレスを要求して、MAC アドレスで応答するのでしょうか??

これがネットワーク プリンタを備えたネットワーク エリア (会社) である場合、ARP 要求によってこの IP を誰が持っているかをブロードキャストして尋ねることは合理的かもしれません。しかし、この場合、スプーフィング/ハッキングの目的でない限り、なぜ特定の IP アドレスが必要になるのでしょうか。

これらは私を悩ませ続けたポイントです..以下は質問です

  1. ISP は ARP パケットのブロードキャストを許可しますか??
  2. LAN (同じサブネット 183.82.xx.xx ) 内の他の IP を ARP 要求している IP アドレスは、これを引き起こしているウイルスに感染していますか??
  3. ファイアウォールがない場合、結果はどうなるでしょうか?? - // 不自由だけど知りたかった

ネットワークとハッキングに関する私の知識は中途半端です (まだ学習中です)。

4

1 に答える 1

0

  1. ほとんどの ARP パケットはブロードキャスト パケットであり、ISP はこれを許可する必要があります。そうしないと、IP から MAC への解決が行われず、どのホストも IP 経由で通信できなくなります。

  2. 必ずしもそうではありませんが、そうなる可能性があります。A と B が同じ ISP ゲートウェイを共有していて、A が B と通信したい場合、A と B は互いの IP アドレスを MAC アドレスに解決する必要があります。そうすることで、ARP ブロードキャスト パケットは、あなたを含む同じ IP サブネット内のすべてのホストにブロードキャストされます。

  3. ARP ブロードキャスト パケット (実際にはすべての IP ブロードキャスト パケット) は、同じ IP サブネット内でのみブロードキャストされ、別の IP サブネットにジャンプすることはありません。そうしないと、ブロードキャスト パケットのネットワーク ストームにより、インターネット全体が機能しなくなります。つまり、ファイアウォールを構成していなくても、ARP ブロードキャスト パケットがルーターの WAN インターフェイスから LAN インターフェイスに飛び越えることはありません。

すべての答えを書き上げたので、少し混乱しています。Wireshark をどこにインストールし、どのインターフェイスでキャプチャしていますか? LAN 内のマシンで ARP パケットが見られる場合、ARP ブロードキャスト パケットが WAN から LAN に ARP ブロードキャスト パケットを通過させているように、ルーターの構成が誤っているか壊れている場合を除き、ARP ブロードキャスト パケットは内部から発信されたものである必要があります。これは非常にありそうもないシナリオです。

于 2013-01-31T20:31:27.867 に答える