您的位置:首页精文荟萃软件资讯 → 如何用抓包的方法解决ARP病毒欺骗攻击

如何用抓包的方法解决ARP病毒欺骗攻击

时间:2008/12/9 22:39:00来源:本站整理作者:我要评论(0)

如何用抓包的方法解决ARP病毒欺骗攻击

目前网上比较流行的ARP攻击,对于ARP攻击,一般常规办法是很难找出和判断的,需要抓包分析。

1.原理知识

在解决问题之前,我们先了解下ARP的相关原理知识。

ARP原理:

首先,每台主机都会在自己的ARP缓冲区(ARPCache)中建立一个ARP列表,以表示IP地址和MAC地址的对应关系。当源主机需要将一个数据包要发送到目的主机时,会首先检查自己ARP列表中是否存在该IP地址对应的MAC地址,如果有﹐就直接将数据包发送到这个MAC地址;如果没有,就向本地网段发起一个ARP请求的广播包,查询此目的主机对应的MAC地址。此ARP请求数据包里包括源主机的IP地址、硬件地址、以及目的主机的IP地址。

网络中所有的主机收到这个ARP请求后,会检查数据包中的目的IP是否和自己的IP地址一致。如果不相同就忽略此数据包;如果相同,该主机首先将发送端的MAC地址和IP地址添加到自己的ARP列表中,如果ARP表中已经存在该IP的信息,则将其覆盖,然后给源主机发送一个ARP响应数据包,告诉对方自己是它需要查找的MAC地址;源主机收到这个ARP响应数据包后,将得到的目的主机的IP地址和MAC地址添加到自己的ARP列表中,并利用此信息开始数据的传输。如果源主机一直没有收到ARP响应数据包,表示ARP查询失败。

ARP欺骗原理:

我们先模拟一个环境:

网关:192.168.1.1 MAC地址:00:11:22:33:44:55

欺骗主机A:192.168.1.100 MAC地址:00:11:22:33:44:66

被欺骗主机B:192.168.1.50 MAC地址:00:11:22:33:44:77

欺骗主机A不停的发送ARP应答包给网关,告诉网关他是192.168.1.50主机B,这样网关就相信欺骗主机,并且在网关的ARP缓存表里就有192.168.1.50对应的MAC就是欺骗主机A的MAC地址00:11:22:33:44:66,网关真正发给主机B的流量就转发给主机A;另外主机A同时不停的向主机B发送ARP请求,主机B相信主机A为网关,在主机B的缓存表里有一条记录为192.168.1.1对应00:11:22:33:44:66,这样主机B真正发送给网关的数据流量就会转发到主机A;等于说主机A和网关之间的通讯就经过了主机A,主机A作为了一个中间人在彼此之间进行转发,这就是ARP欺骗。

2.解决方法

看来只有抓包了,首先,我将交换机做好端口镜像设置,然后把安装有科来网络分析系统的电脑接入镜像端口,抓取网络的所有数据进行分析。通过几个视图我得出了分析结果:诊断视图提示有太多“ARP无请求应答”。

在诊断中,我发现几乎都是00:20:ED:AA:0D:04发起的大量ARP应答。而且在参考信息中提示说可能存在ARP欺骗。看来我的方向是走对了,但是为了进一步确定,得结合其他内容信息。查看协议视图了解ARP协议的详细情况,

ARPResponse和ARPRequest相差比例太大了,很不正常啊。接下来,再看看数据包的详细情况。

我从数据包信息已经看出问题了,00:20:ED:AA:0D:04在欺骗网络中192.168.17.0这个网段的主机,应该是在告诉大家它是网关吧,想充当中间人的身份吧,被欺骗主机的通讯流量都跑到他那边“被审核”了。

现在基本确定为ARP欺骗攻击,现在我需要核查MAC地址的主机00:20:ED:AA:0D:04是哪台主机,幸好我在平时记录了内部所有主机的MAC地址和主机对应表,终于给找出真凶主机了。可能上面中了ARP病毒,立即断网杀毒。网络正常了,呜呼!整个世界又安静了!

3.总结(故障原理)

我们来回顾一下上面ARP攻击过程。MAC地址为00:20:ED:AA:0D:04的主机,扫描攻击192.168.17.0这个网段的所有主机,并告之它就是网关,被欺骗主机的数据都发送到MAC地址为00:20:ED:AA:0D:04的主机上去了,但是从我抓取的数据包中,MAC为00:20:ED:AA:0D:04的主机并没有欺骗真正的网关,所以我们的网络会出现断网现象。

4.补充内容

对于ARP攻击的故障,我们还是可以防范的,以下三种是常见的方法:

方法一:平时做好每台主机的MAC地址记录,出现状况的时候,可以利用MAC地址扫描工具扫描出当前网络中主机的MAC地址对应情况,参照之前做好的记录,也可以找出问题主机。

方法二:ARP–S可在MS-DOS窗口下运行以下命令:ARP–S手工绑定网关IP和网关MAC。静态绑定,就可以尽可能的减少攻击了。需要说明的是,手工绑定在计算机重起后就会失效,需要再绑定,但是我们可以做一个批处理文件,可以减少一些烦琐的手工绑定!

方法三:使用软件(Antiarp)使用AntiARPSniffer可以防止利用ARP技术进行数据包截取以及防止利用ARP技术发送地址冲突数据包。

相关视频

    没有数据

相关阅读 ARP病毒的特征及防护说明ARP病毒网络掉线解决方法ARP病毒解决办法手工清除局域网内ARP病毒如何解决ARP病毒的侵袭斩服少女异布怎么设置中文 斩服少女异布中文设置方法约会大作战凛绪轮回没有声音怎么办 约会大作战凛绪轮回没声音解决LOL小游戏指尖召唤师测试资格怎么获得 LOL指尖召唤师小游戏预约方

文章评论
发表评论

热门文章 360快剪辑怎么使用 36金山词霸如何屏幕取词百度收购PPS已敲定!3

最新文章 微信3.6.0测试版更新了微信支付漏洞会造成哪 360快剪辑怎么使用 360快剪辑软件使用方法介酷骑单车是什么 酷骑单车有什么用Apple pay与支付宝有什么区别 Apple pay与贝贝特卖是正品吗 贝贝特卖网可靠吗

人气排行 xp系统停止服务怎么办?xp系统升级win7系统方电脑闹钟怎么设置 win7电脑闹钟怎么设置office2013安装教程图解:手把手教你安装与qq影音闪退怎么办 QQ影音闪退解决方法VeryCD镜像网站逐个数,电驴资料库全集同步推是什么?同步推使用方法介绍QQ2012什么时候出 最新版下载EDiary——一款好用的电子日记本