arp病毒+ip+mac更換怎麼找出 - 資安

: 推 vaca1:netcut開下去 列出來的ip跟mac應該都是真的 11/29 12:31
: → ajneok:你可以先ping broadcast ip 然後再arp -a 看看 12/09 17:46
ping broadcast ip 是指ping gw的ip在執行arp -a嗎？
我測試ping GW 在執行arp -a 有看到可疑的電腦（和netcut一樣）
------------------------
我這邊有arp病毒樣本
我執行過netcut也大概知道vacal的想法了
可以看到中毒電腦會寫出192.168.1.5｜192.168.1.254 類似這樣
不過我說ip假的是說我可以自己改mac阿
在netcut看到的ip、mac都是我改過的
（改mac為非合法的規格也可以如77 00 00 00 00 00）

不過要是arp病毒製作者
拿到別台電腦的mac、ip、電腦名稱應該不是問題
改了ip、mac（所以netcut看到的病毒源是別人的電腦）
那台替死鬼會立刻因為ip衝突無法上網
就算mis又把這個mac鎖住了
我只要複製別人的電腦網路設定就可以上網了
網管鎖mac我就在換一台替死鬼

如果網管設定dhcp自動指定ip（也就是說沒榜定ip、mac）
我在設定開機自動換mac（更方便，會自動換ip）
網管要怎麼抓到這台病毒源呢
如果真的有人中，網管會被罵到臭頭
整個網域會無法上網

如果一直換ip、mac感覺就是很邪惡的病毒
所以才想問大家這種狀況怎麼辦
幸好我現在的arp樣本還不會改ip、mac還要我手動改
不然這病毒還真麻煩

--