ARP最新2007变种及初步分析

这次的变种恶心，本来以前的都是欺骗网关，这次他拿局域网的一台真实的mac一直广播，然后造成ip冲突，这个大家怎么解决》？一冲突就整个计算机网络不通了 ip为0.0.0.0

初步分析如下：与ARP相对应的还有一个协议RARP:Reverse
Address Resolution Protocol，反向地址解析协议，该协议主
要用于工作站模型动态获取IP的过程中，作用是由MAC地址向服务
器取回IP地址。这个协议估计是这么样的，是相反作用，以前我们都是在局域网要发个数据包给什么计算机先叫ip，然后真实计算机返回其mac，数据得以传播完成。现在这个情况是：一开计算机开始分配ip时候，windows会先广播一下，192。168。0。2这个ip有人用吗？欺骗者是这么做的：利用rarp协议（这个协议一般用在无盘上面，这次无盘估计也难逃死结了），下面这个很重要的就是，他不是随便说个mac，而是把比如192。168。0。3的mac告诉你，然后2号计算机就会被告诉，你的ip地址和3号的冲突。具体表现为：你把3号计算机关闭了，用好的计算机ping 192。168。0。3 是不通的，这个时候你把你这个网络正常的计算机ip设为192。168。0。3，那么会提示你ip已经被使用。

目前发现都是4、5台主右，真怕哪天来个全部这样就完蛋了，我用arpkiller扫描网卡模式发现网卡没有是红色的，niffer检测:输入检测的起始和终止IP，单击开始检测就可以
了，检测完成后，如果相应的IP是绿帽子图标，说明这个IP处
于正常模式，如果是红帽子则说明这个网卡处于混杂模式。
Arp欺骗(冒充IP)：选择发送请求包，输入目的起始和终止地址
，如果输入要冒充的IP，再填上一个假的MAC，就可以发送了。

应对方法：打上方舟防ddos-arp攻击补丁。下载地址：/view-3440.html