海运的博客

Linux下用arping和nmap查找arp攻击源

发布时间:August 6, 2012 // 分类:网络安全 // No Comments

查看当前缓存ARP表:

arp -a

用arping查看当前网关MAC:

arping 192.168.1.1
ARPING 192.168.1.1 from 192.168.1.3 eth0
Unicast reply from 192.168.1.1 [00:1F:A3:65:55:8D]  0.958ms
Unicast reply from 192.168.1.1 [00:1F:A3:65:55:8D]  0.947ms
Unicast reply from 192.168.1.1 [00:1F:A3:65:55:8D]  0.942ms
#一般回应在1ms左右,如果远大于此数据代表被arp欺骗网关代理了

统计当前网段所有主机MAC表,然后根据缓存arp网关MAC和arping网关MAC查看哪个IP异常。

#https://www.haiyun.me
#!/bin/bash
for i in `seq 254` ; do
        arping -c 2 192.168.1.$i|grep ^Unicast|awk '{print $4,$5}'
    done

Windows下可使用nbtscan扫描当前网段信息:

nbtscan -f 192.168.1.0/24

或使用NMAP获取当前网段所有主机MAC:

nmap -sP 192.168.1.0/24

同时也可使用tracert跟踪查看网关IP是否正确:

tracert www.haiyun.me
分类
最新文章
最近回复
  • 海运: 地址格式和udpxy一样,udpxy和msd_lite能用这个就能用。
  • 1: 怎么用 编译后的程序在家里路由器内任意一台设备上运行就可以吗?比如笔记本电脑 m参数是笔记本的...
  • 孤狼: ups_status_set: seems that UPS [BK650M2-CH] is ...
  • 孤狼: 擦。。。。apcupsd会失联 nut在冲到到100的时候会ONBATT进入关机状态,我想想办...
  • 海运: 网络,找到相应的url编辑重发请求,firefox有此功能,其它未知。
  • knetxp: 用浏览器F12网络拦截或监听后编辑重发请求,修改url中的set为set_super,将POS...
  • Albert: 啊啊啊啊啊啊啊啊啊 我太激动了,终于好了英文区搜索了半天,翻遍了 pve 论坛没找到好方法,博...
  • jiangker: good, very helpful to me
  • fengfeng: N1 armbian 能有编译下内核吗。。我要开启can 不懂怎么操作
  • 1: 方法一ngtcp2要改下:./configure PKG_CONFIG_PATH=/usr/l...