关于ARP攻击

kyocc

1.要是内网出现ARP攻击如何快速查看，就算用彩影这个ARP的防火墙也只是检测到攻击，无法具体确定出事哪一台机器啊？有人可能说用ARP -D ARP -A看哪个MAC回应你，就是那个中毒，但是之前有过查出的IP地址和MAC在局域网中都是不存在的，这样的话如何确定攻击源啊？
2.请问要是网卡的混杂模式，到底是P2P软件引起的还是某些软件也能引起。我自己的静态IP，接了一个无线路由做AP用，用彩影有时候也显示我的平板或者手机处于网卡混杂，但是什么都没开啊。
3.关于PPPOE拨号。要是全部都设置为拨号模式，是不是就不存在ARP攻击这一说了？印象中PPPOE的优先级要高于内网。那拨号之后其他的DHCP，DNS这些服务还需要开启吗？在组策略设置的限速选项对于PPPOE拨号还有没有作用？



就说这么多了。来个专业人士解答，不胜感激

linkpie

只了解一点 360局域网防火墙是能准确查找到arp攻击的IP 计算机名 mac 因为使用过 。其他楼下回答

十一

1，2 我不懂， 问了开发 这个ARP检测是可以做的 但是得提需求
3，PPPOE拨号后，会自动修改PC的路由表（测试过的，除非手动修改过设置）
     也就是说，pppoe拨号之后，静态IP就失效了
     DHCP已经被PPPOE取代了，但是DNS可以保留(pppoe要设置DNS的)
     最后一个，是有效的，爱快能看到PPPOE拨号后的IP，所以限速有效

kyocc

十一 发表于 2013-12-11 19:25
1，2 我不懂， 问了开发 这个ARP检测是可以做的 但是得提需求
3，PPPOE拨号后，会自动修改PC的路由表（测试 ...

貌似明白了，那就是进行PPPOE拨号的时候，PPPOE下面的地址池是供给客户机分配的，对吧，那之前在DHCP里面的地址池要是不同就失效了。在策略里面的IP地址号段也应该依照PPPOE下的进行划分，对吧？

kyocc

360能检测的到的，彩影都可以，彩影检测到的360就不行了。。。。。已经放弃360杀毒。太扯了。。。。曾经笔记本开机CPU使用率80%愣是一个毒没扫出来，最后用卡巴扫一晚上。800多病毒被杀，电脑恢复正常。不过彩影的检测貌似太灵敏。。。。

zccrjj

如果你怕ARP。就全部设置PPPOE上网。在这种情况下ARP就死了。

kyocc

zccrjj 发表于 2013-12-11 20:02
如果你怕ARP。就全部设置PPPOE上网。在这种情况下ARP就死了。

额。。。。么有其他办法了么？如果做双向绑定的话，网络应该是没问题的，但是不知道ARP广播会不会造成网络负载变大从而影响网速啊。

zccrjj

kyocc 发表于 2013-12-11 20:07
额。。。。么有其他办法了么？如果做双向绑定的话，网络应该是没问题的，但是不知道ARP广播会不会造成网 ...

如果不想PPPOE。还要防ARP。就是MAC - IP 绑定。ARP广播可以设置多少时间间隔的。

ylemfenga

ARP攻击是中毒机器伪装不存在的网关和MAC地址然后广播给内网的用户，导致内网用户找不到正确的网关出口而上不了网，要找到中毒的机器需要用抓包软件，看一下是哪一个IP在不停的给网关或内网用户不断的发包。