Arp网络(防止mitm攻击)

Question

在我的学校网络上，使用wireshark来查看网络流量(filter=arp)，我只看到免费的数据包。也就是说，网络上的所有主机都发送免费的数据包(例如: 10.10.3.54为免费，10.10.3.59为免费，等等)。我相信这项技术是用来对付mitm攻击的。是真的吗？为什么？，如果它仍然容易受到mitm的攻击，为什么？那么你怎么能阻止它呢？注意，当我说mitm攻击时，我通常会说arp中毒。

++++++++++

使用nmap和扫描子网10.10.3.0，没有结果(我只看到我的ip)。我试过没有ping，快速扫描，密集扫描)。是的，我的命令从10.10.3.0/24开始。

Answer 1

我不认为这种无端行为与防止MITM攻击有关。主机通常在加入网络时发送免费的ARP数据包，以通知其他主机它们的存在及其IP/arp信息(即使它们没有收到ARP请求)。主机也发送这样的数据包，以防它们的接口出现，在其他情况下也是如此。

一些开关有一个内置的保护ARP中毒攻击。思科称这一技术为“动态ARP检测”。简而言之，在转发ARP数据包之前，它会验证所公布的IP地址是否真的是由DHCP服务器向具有特定ARP地址的主机发出的。

如果您想嗅探网段上的所有数据包，则必须有一个支持混杂模式的网络/wifi适配器(并且应该启用该模式)。在有线网络上，网络交换机当然不会将所有流量转发给您，而只有发送到您的MAC地址的通信量。因此，ARP毒害网络，迫使交换机将更多的流量转发给您，这将是一个好主意。

关于你最后的笔记，我建议你尝试用nmap进行ARP扫描：

nmap –PR target

Answer 2

简单地说，免费的数据包由PC发送，以更新其他PC的缓存。

在mitm攻击中，攻击者使用它来毒害arp缓存，还可以使用某种交换机来阻止这种攻击，这些交换机能够嗅探网络中的免费arp数据包，并通过网络重新发送正确的数据。