一直 ping 讓你的 gateway 回來可以剛好是對的 MAC ADDRESS
然後自己的電腦 指定 gateway 的 IP 和 MAC Address

不然就是找到人叫他不要玩 metasploit ARP poisioning (https://www.youtube.com/watch?v=kKQZBYYaAYA) 或是 netcut

贊助商連結

感謝 bx2aa 兄!
我想確定:
1. 是有惡鄰在攻擊(能憑上文 wireshark 的擷取資料認定有第三者在搗亂)
OR
2. 是我自己中毒,結果我才是攻擊者...這樣攤牌時多不好意思..(但先前用 avira free 掃過一遍了)

...至此可做定論嗎? 謝謝!

不清楚!
也可能只是有人接了另一台分享器的 LAN PORT 或是 iphone android 設定了同一個 IP , IP 相同而已.

我自己發生, 手機和我的電腦都用 dhcp, 手機離開 wifi 訊號區域, 而我又重開 AP ,
手機的 IP 被 電腦接的分享器 WAN PORT DHCP Client 抓到, 結果手機又恢復連線.
然後我的電腦就不通, 後來就把手機改固定 IP , 離開 DHCP 區段, 就沒事了!

你監聽是持續發 arp 還是偶而.

我自己清掉 ARP Table 再 ping gateway, 用 windump 抓
只有一次收發.

C:\>windump -p -i 2 -vv -xls 0 arp
windump: listening on \Device\NPF_{CCCCCCCC-02D7-48A6-A3E1-535353535353}
01:12:00.209327 arp who-has 192.168.5.252 tell bx2aa
0x0000: 0001 0800 0604 0001 0000 0000 0002 c0a8
0x0010: 0581 0000 0000 0000 c0a8 05fc
01:12:00.214515 arp reply 192.168.5.252 is-at 00:00:00:00:00:01 (oui Unknown)
0x0000: 0001 0800 0604 0002 0000 0000 0000 c0a8
0x0010: 05fc 0000 0000 0002 c0a8 0581 0000 0000
0x0020: 0000 0000 0000 0000 0000 0000 0000

感謝 bx2aa 兄,
請問有無主動告知 gateway 更新我主機之 MAC 值的命令可下(去更新 gateway 的 arp cache)
.....我意欲既然沒法在分享器設定 IP/MAC binding ,那我動態地去影響他的 arp cache 是否可達到目的 ??

ps.
我監聽一整天理會有幾個時段持續大量發 arp

持續大量發 那如果不是中毒就是要 ARP 欺騙, ARP 欺騙 忘記設定 ROUTER 轉發, 所以不通.

分享器應該可以 MAC 過濾
不過 MAC ADDRESS 可以偽裝.
但是發現被濾掉前這段時間可以正常使用.

更新你的 MAC ADDRESS 就是自己指定 gateway 的 IP MAC, 然後不停的 PING 應該就會一直改成最後收到的.

剛剛試了一下, windows 7 先 ping xp 正常
然後 XP 改掉 windows 7 IP 的 mac address , 再用 windows 7 ping XP , 結果 time out!

被改了就必須收到 新的正確的 arp reply 才會正常.

被改了就必須收到 新的正確的 arp reply 才會正常.

那麼我除了將我的電腦重開機,還有甚麼方式可 reply 我的 mac address 給分享器呢?
(我之前試過將網卡停用再重新啟用不知為何無效果??)

我有點在猜...

是不是有人把無線IP分享器的WAN端接到LAN端上,然後又不知道關DHCP,然後又是設成192.168.0.1......
這個請用物理方式去找,ping看看那個錯誤的gateway有沒有存在?有存在的話,
一條線一條線拔掉去找...
由近而遠,由少到多,比如先拔樓層的,再來拔棟的...

那麼我除了將我的電腦重開機,還有甚麼方式可 reply 我的 mac address 給分享器呢?
(我之前試過將網卡停用再重新啟用不知為何無效果??)

你在 wireshark 主頁向下找

ostinato

我用 ostinato-0.7.1
Prot Group 點到網卡
右邊 Apply 下面空白 右鍵 New Stream 之後 雙擊 齒輪(或是在之上右鍵 Edit Stream)
Protocol Selection 標籤裏
L1 Mac
L2 Ethernet II
L3 ARP

Protocol Data 標籤裏
Media Access Protocol項目裏
Destination FF FF FF FF FF FF
Source 你的 Macaddress

Address Resolution Protocol項目裏
Operation Code 2 - ARP Reply
Sender Hardware 你的 Macaddress
Sender Protocol 你的 IP
Target Hardware 00 00 00 00 00 00
Target Protocol 分享器 IP

Stream Control 標籤裏
Number of Packet 10

點 OK

然後 Apply

點 下面 Port?-? (你上面網卡 Port ?- if? 兩個問號的值)

點 (Start Tx ) icon

之後 windump 就收到 ARP Reply

感謝 bx2aa 兄(難以言喻地 :lovely: ),
但如下兩處設定我以藍色標示處,應該是分享器的 MAC ADDRESS 吧?? arp reply 不是 unicast 嗎?

=====================================

Protocol Data 標籤裏
Media Access Protocol項目裏
Destination 分享器的 MAC ADDRESS
Source 我的 Macaddress

Address Resolution Protocol項目裏
Operation Code 2 - ARP Reply
Sender Hardware 我的 Macaddress
Sender Protocol 我的 IP
Target Hardware 分享器的 MAC ADDRESS
Target Protocol 分享器 IP