用抓包的方法解决ARP病毒欺骗攻击
来源:asp之家 发布时间:2009-09-11 13:16:00
最近网络中有主机频繁断线,刚刚开始还比较正常,但是一段时间后就出现断线情况,有时很快恢复,但是有时要长达好几分钟啊,这样对工作影响太大了。最初怀疑是否是物理上的错误,总之从最容易下手的东西开始检查,检查完毕后没有发现异常!突然想到目前网上比较流行的ARP攻击,ARP攻击出现的故障情况与此非常之相似!对于ARP攻击,一般常规办法是很难找出和判断的,需要抓包分析。
1.原理知识
在解决问题之前,我们先了解下ARP的相关原理知识。
ARP原理:
首先,每台主机都会在自己的ARP缓冲区(ARPCache)中建立一个ARP列表,以表示IP地址和MAC地址的对应关系。当源主机需要将一个数据包要发送到目的主机时,会首先检查自己ARP列表中是否存在该IP地址对应的MAC地址,如果有﹐就直接将数据包发送到这个MAC地址;如果没有,就向本地网段发起一个ARP请求的广播包,查询此目的主机对应的MAC地址。此ARP请求数据包里包括源主机的IP地址、硬件地址、以及目的主机的IP地址。
网络中所有的主机收到这个ARP请求后,会检查数据包中的目的IP是否和自己的IP地址一致。如果不相同就忽略此数据包;如果相同,该主机首先将发送端的MAC地址和IP地址添加到自己的ARP列表中,如果ARP表中已经存在该IP的信息,则将其覆盖,然后给源主机发送一个ARP响应数据包,告诉对方自己是它需要查找的MAC地址;源主机收到这个ARP响应数据包后,将得到的目的主机的IP地址和MAC地址添加到自己的ARP列表中,并利用此信息开始数据的传输。如果源主机一直没有收到ARP响应数据包,表示ARP查询失败。
ARP欺骗原理:
我们先模拟一个环境:
网关:192.168.1.1 MAC地址:00:11:22:33:44:55
欺骗主机A:192.168.1.100 MAC地址:00:11:22:33:44:66
被欺骗主机B:192.168.1.50 MAC地址:00:11:22:33:44:77
欺骗主机A不停的发送ARP应答包给网关,告诉网关他是192.168.1.50主机B,这样网关就相信欺骗主机,并且在网关的ARP缓存表里就有192.168.1.50对应的MAC就是欺骗主机A的MAC地址00:11:22:33:44:66,网关真正发给主机B的流量就转发给主机A;另外主机A同时不停的向主机B发送ARP请求,主机B相信主机A为网关,在主机B的缓存表里有一条记录为192.168.1.1对应00:11:22:33:44:66,这样主机B真正发送给网关的数据流量就会转发到主机A;等于说主机A和网关之间的通讯就经过了主机A,主机A作为了一个中间人在彼此之间进行转发,这就是ARP欺骗。
2.解决方法
看来只有抓包了,首先,我将交换机做好端口镜像设置,然后把安装有科来网络分析系统的电脑接入镜像端口,抓取网络的所有数据进行分析。通过几个视图我得出了分析结果:诊断视图提示有太多“ARP无请求应答”。
在诊断中,我发现几乎都是00:20:ED:AA:0D:04发起的大量ARP应答。而且在参考信息中提示说可能存在ARP欺骗。看来我的方向是走对了,但是为了进一步确定,得结合其他内容信息。查看协议视图了解ARP协议的详细情况,
ARPResponse和ARPRequest相差比例太大了,很不正常啊。接下来,再看看数据包的详细情况。
我从数据包信息已经看出问题了,00:20:ED:AA:0D:04在欺骗网络中192.168.17.0这个网段的主机,应该是在告诉大家它是网关吧,想充当中间人的身份吧,被欺骗主机的通讯流量都跑到他那边“被审核”了。
现在基本确定为ARP欺骗攻击,现在我需要核查MAC地址的主机00:20:ED:AA:0D:04是哪台主机,幸好我在平时记录了内部所有主机的MAC地址和主机对应表,终于给找出真凶主机了。可能上面中了ARP病毒,立即断网杀毒。网络正常了,呜呼!整个世界又安静了!
猜你喜欢
- 浏览器的漏洞和恶意脚本程序导致了cookie信息的泄漏,与cookie信息泄漏不同,URL会话信息被泄漏,则是完全出在HTTP协议上,除非修
- 四周的一切都在日新月异,只有我们的IT/软件行业似乎停滞不前或者步子太慢胆子太小变化太少,我们是在用联想电脑,但那只是联想的外衣,电脑的心是
- 暴风影音、百度搜霸、迅雷,PPStream QVOD有漏洞传播木马我相信没有谁不用暴风影音、百度搜霸、迅雷,PPStream QVOD这些软
- 做过Google Adsense的站长都明白,打去年起Google Adsense的单价就节节降,原因很多:一是国内广告市场普遍如此,另一个
- 11月13日消息,据国外媒体报道,在Windows 7用户界面是否抄袭苹果MacOSX的问题上,微软的两名高管日前给出了截然相反的答案。微软
- 如果看到这个标题,你有一些疑问,那你更要看完这篇文章,对于新手来说,购买WordPress空间之后,需要做的事情很多,Wopus这里列举出一
- 微软今天凌晨发布了2009年10月份的13个月度安全补丁,一方面创下了数量上的历史记录,另一方面还首次影响到了月底才开始正式发售的Windo
- 网站的定位跟网站的目标用户群,市场的潜力和竞争对手都相关,所以,它也不简单。做网站时,首先要解决两个问题:一是网站有没有定位,二是网站定位是
- 本文版权归学IT网(www.xueit.com)所有,任何单位与个人转载必须保留此段声明,且在文章页面明显位置给出原文连接,否则保留追究法律
- 做网站的人都有一个习惯。都喜欢最求PR、alexa、site。且不管这些东西是否有用?是否可以带来直接盈利?那么多站长朋友追求,我想还是有他
- 花了半个多小时的时间输入,打得手都疼了,希望能对大家有所帮助。*/ ------------------------------------
- 怎样用google adwords赚钱呢?首先当然是要有一个google adwords帐户了,接着是充money了(现在好像有免费赠送50
- WP-PageNavi一款是由 Lester “GaMerZ” Chan 开发的文章分页插件, 给你的WordPress博客主题页面导航来个
- WordPress主题一般有一系列的php文件和一个style. css文件,而其 * 能最为强大的文件则是functions. php。Wo
- 网站重建的目的是为了获得更好的表现。因此,第一项要做的事情就是用Seo来思考新网站以什么新形式出现,新的网站在建设过程中,要考虑保持原来网站
- UCenter Home是Comsenz公司发布的一款SNS建站系统,目前最新版本是1.5。UCenter Home1.5中加强了网站防灌水
- 看到有论坛反应会员注册邮箱验证不能使用,经过这几天的测试,会员注册验证没有多大问题,刚看到论坛有提供解决方案的,看了一下,只是争对UFT8的
- 今日淘特Asp.Net CMs推出2.0版,系统新增加了Tag标签,会员投稿,发布网站地图等功能。淘特Asp.Net Cms(V2.0) 2
- FTP(File Tranfer Protocol)是一种很古老的协议来的了,自unix始就一直有使用的了,FTP因为本身不但可以提供多用户
- Apahce服务器是一个稳定的、商业性的和公开程序源代码的HTTP服务器。其在HTTP市场中占有主导性的地位。据权威部门统计,Apache服