我只是最近才了解networking的细微差别,但是如果一个恶意用户在不应该有ARP响应“谁是谁”时会发生什么?
这取决于听众,但通常最近的响应胜利(通常在交换机级别,而不仅仅是计算机级别)。 所以,这个IP地址的数据包被路由到一个非常像随机的目标服务器。
这通常不好,但只是因为诸如TCP连接之类的状态是不可移动的。 如果两台机器都使用相同的UDP服务,那么您甚至可能不会注意到。
我的一个arp问题的经历是我们的服务器服务的一些客户在DHCP范围内的服务器上设置了静态IP地址。 用户的最终结果是,服务将间歇性地在每个新请求的冲突目标之间切换(每个服务器build立了大约50%的连接,“错误”服务为404错误服务)。
我猜测这是因为正在进行的TCP连接在ESTABLISHED连接期间并不依赖于arp,只是在启动的时候。 (但我不是networkingbod所以不要引用我;-)
然而,我的ARP欺骗攻击技术的经验是不同的,因为攻击者真的希望看起来是正确的主机,即使在冲突的状态。
因此,为了实现恶意主机发送连续ARP包的风暴,这是为了确保在任何给定时间,目标设备最近从攻击者那里收到ARP响应,而不是真正的主机。
发生这种情况时,大多数arp数据包都来自攻击者,所以大多数来自客户端的TCP连接都连接到恶意主机。 (有95%的攻击者和5%的真正的主机)
这显然很容易被IDS检测到,因为所有的ARPstream量都不符合正常的参数和级别。
在双误IP问题的情况下,网关看到这样的数据包,
host1(arp) – > ip设置为host1
host2(arp) – > ip设置为host2
host1(arp) – > ip设置为host1
host2(arp) – > ip设置为host2
host1(arp) – > ip设置为host1
然而,恶意攻击更像这样;
host1(arp) – > ip设置为host1
攻击者(arp) – > ip设置为攻击者< – 攻击者在这里是中间人(man-in-the-middle)
攻击者(arp) – > ip设置为攻击者< – 攻击者在这里是中间人(man-in-the-middle)
攻击者(arp) – > ip设置为攻击者< – 攻击者在这里是中间人(man-in-the-middle)
攻击者(arp) – > ip设置为攻击者< – 攻击者在这里是中间人(man-in-the-middle)
攻击者(arp) – > ip设置为攻击者< – 攻击者在这里是中间人(man-in-the-middle)
攻击者(arp) – > ip设置为攻击者< – 攻击者在这里是中间人(man-in-the-middle)
攻击者(arp) – > ip设置为攻击者< – 攻击者在这里是中间人(man-in-the-middle)
攻击者(arp) – > ip设置为攻击者< – 攻击者在这里是中间人(man-in-the-middle)
攻击者(arp) – > ip设置为攻击者< – 攻击者在这里是中间人(man-in-the-middle)
攻击者(arp) – > ip设置为攻击者< – 攻击者在这里是中间人(man-in-the-middle)
host1(ARP) – > IP设置为主机1 ** < – ** 不在这里
攻击者(arp) – > ip设置为攻击者< – 攻击者在这里是中间人(man-in-the-middle)
攻击者(arp) – > ip设置为攻击者< – 攻击者在这里是中间人(man-in-the-middle)
攻击者(arp) – > ip设置为攻击者< – 攻击者在这里是中间人(man-in-the-middle)
攻击者(arp) – > ip设置为攻击者< – 攻击者在这里是中间人(man-in-the-middle)
攻击者(arp) – > ip设置为攻击者< – 攻击者在这里是中间人(man-in-the-middle)
…