如何获取真正的网关MAC地址

xjtdy888

没有网关的控制权,同时我还没清楚网关的MAC地址的时候被ARP欺骗了.在万搬无奈的情况下回到了WINDOWS安装了safe360的防火墙 发现这个软件能够自动获得真正的网关MAC地址.记下MAC地址回到LINUX下 arp -s给绑定了一下才能上网.
之后在想360是怎么获得真正的MAC地址的! 在LINUX下我用路由套接口获得的路由表都是欺骗后的地址!不知360是什么原理!请大家指教一下!谢谢!

net_robber

不准确的，不一定能正确

flw2

arp -d 218.9.97.1;
tcpdump arp src host 218.9.97.1
ping 218.9.97.1
你会抓到1-n个包，肯定有一个是真的

只要arp -d之后，一般收到的只有一个，除非欺骗不停止

xjtdy888

我就是不知道360是怎么判断哪个是真的
因为我
arp -d *全删了之后
arp -a
一直都是假的!!

langue

实在不行，统统走ＧＰＲＳ，接到移动的ＶＰＭＮ上
以太网的ＭＡＣ真的太好骗了

flw2

用tcpdump抓包，如果某时候通了，至少有一个真的！

有一种方法
1 首先发一个广播arp request，那么，如果真的存在（确实有），那n个响应中（很可能只有一个，除非欺骗以reply进行，而且目的mac是你，而且总是在运行）至少有一个是真的
通过这一步，几乎很可能能找出来是谁

2 如果有n>1个机器响应arp request,
真假通常有个区别： 单播给它，如果立马响应，一般都是真的，(除非它一直在欺骗，否则假的立马识别出来)

3 如果还是无法区别真假，那么也无所谓真假了（就好比两个人使用一个ip了），试问：何谓真何谓假

cugb_cat

原帖由 flw2 于 2008-6-17 22:22 发表
用tcpdump抓包，如果某时候通了，至少有一个真的！

有一种方法
1 首先发一个广播arp request，那么，如果真的存在（确实有），那n个响应中（很可能只有一个，除非欺骗以reply进行，而且目的mac是你，而且总 ...

不管真假，能上网就行了

Missex

原帖由 cugb_cat 于 2008-6-17 22:25 发表

不管真假，能上网就行了

这时候的通信太不安全了,碰到这种情况,我只敢走有https登录的地方.

system888net

假定你的机器是c,恶意机器是d,真正的网关是g

分两种情况.
1. 返回的网关mac不能上网.
    直判断出假mac
2. 返回的网关mac能上网.
    如果上网的包总要在本局域网内的节点之间进行转发(c-->d-->g),则此mac是d,而最后收到转发的mac是g.
    否则是g.