請教大家
使用winarp watch抓到幾個異常的MAC ADDRESS,如網址
所示
顯示140.125.234.2(硬體防火牆IP)及140.125.234.254兩個MAC重覆,且滿多00:00:00:00:00:00 的MAC位址,而這些位址看起來不像區網的IP
這是正常的MAC嗎?
感謝
已邀請的邦友 {{ invite_list.length }}/5
很可能是網路剪刀手或類似使用 arp spoofing 的軟體.
也就是大量宣稱某 IP 是某 MAC Address , 而正常的電腦被欺騙了, 就會往不正常的地方連線, 造成正常的電腦無法上網.
而通常這台造假的電腦, 自己可以上網, 所以大多被用在惡意讓其他電腦斷線的用途.
最基本的解決方法, 就是平常要記錄 gateway 的 MAC Address , 手動設定好 IP 與 MAC Address 對照, 例如: Linux 下是使用
<pre class="c" name="code">arp -s 192.168.1.1 00:00:00:00:00:00
這樣不管惡意的電腦怎麼宣稱, 這台電腦都不會被欺騙了.
能否由mac address來抓出說它實際的ip呢?因為掃瞄到的,大多是印表機或防火牆的ip 位址
感謝
不太有用, 就算找到實際 IP , 也不代表那是真的使用者, 而且既然惡意軟體都要造假了, 當然沒必要給真的 MAC 或 IP .
治標方法還是盡量抓到真正的 Gateway 所用的 MAC Address , 然後防火牆拒絕 Broadcast 或 Multicast 封包(可能影響到部份 VoIP 或 MOD 服務), 這樣正常用戶還可以連線.
治本方法可以考慮先去 Hub/Switch 查看看, 哪個 port 一直有異常流量, 確定該設備使用人, 再以相關規則懲處; 技術上則可以考慮改用 PPPoE 連線或看看網管設備是否能區隔不同 port 的連線.
iThome鐵人賽
看影片追技術