ARP病毒拐骗攻击用抓包的办法来办理[网络技术]

根源:51cto.com

近来网络中有主机频繁断线,方才开始还对比正常,但是一段时间后就呈现断线情形,有时很快恢复,但是有时要长达好几分钟啊,这样对工作影响太大了.最初猜疑能否是物理上的错误,总之从最简单下手的东西开始查抄,查抄完毕后没有发现非常!忽然想到目前网上对比风行的ARP攻击,ARP攻击呈现的弊端情形与此非常之类似!关于ARP攻击,普通通例办法是很难找出和判断的,需求抓包解析.

　　1.原理知识

　　在办理问题之前,我们先理解下ARP的相关原理知识.

　　ARP原理:

　　首先,每台主机城市在自己的ARP缓冲区(ARPCache)中成立一个ARP列表,以表示IP地址和MAC地址的对应关系.当源主机需求将一个数据包要发送到目的主机时,会首先查抄自己ARP列表中能否存在该IP地址对应的MAC地址,假若有﹐就直接将数据包发送到这个MAC地址;假如没有,就向本地网段发动一个ARP恳求的广播包,查询此目的主机对应的MAC地址.此ARP恳求数据包里包含源主机的IP地址、硬件地址、以及目的主机的IP地址.

　　网络中全部的主机收到这个ARP恳求后,会查抄数据包中的目的IP能否和自己的IP地址一致.假如不相同就忽视此数据包;假如相同,该主机首先将发送端的MAC地址和IP地址增添到自己的ARP列表中,假如ARP表中已经存在该IP的信息,则将其覆盖,然后给源主机发送一个ARP呼应数据包,奉告对方自己是它需求查找的MAC地址;源主机收到这个ARP呼应数据包后,将得到的目的主机的IP 地址和MAC地址增添到自己的ARP列表中,并操纵此信息开始数据的传输.假如源主机一向没有收到ARP呼应数据包,表示ARP查询失利.

　　ARP拐骗原理:

　　我们先模拟一个环境:

　　网关:192.168.1.1 MAC地址:00:11:22:33:44:55

　　拐骗主机A:192.168.1.100 MAC地址:00:11:22:33:44:66

　　被拐骗主机B:192.168.1.50 MAC地址:00:11:22:33:44:77

　　拐骗主机A不断的发送ARP应答包给网关,奉告网关他是192.168.1.50主机B,这样网关就相信拐骗主机,并且在网关的ARP缓存表里就有192.168.1.50对应的MAC就是拐骗主机A的MAC地址00:11:22:33:44:66,网关真正发给主机B的流量就转发给主机A;别的主机A同时不断的向主机B发送ARP恳求,主机B相信主机A为网关,在主机B的缓存表里有一条记录为192.168.1.1对应 00:11:22:33:44:66,这样主机B真正发送给网关的数据流量就会转发到主机A;等于说主机A和网关之间的通讯就经过了主机A,主机A作为了一此中间人在彼此之间举行转发,这就是ARP拐骗.

　　2.办理办法

　　看来只有抓包了,首先,我将交换机做好端口镜像设置,然后把安装有科来网络解析系统的电脑接入镜像端口,抓取网络的全部数据举行解析.通过几个视图我得出了解析后果:诊断视图提醒有太多“ARP无恳求应答”.

　　在诊断中,我发现几近都是00:20:ED:AA:0D:04发动的大量ARP应答.并且在参考信息中提醒说大概存在ARP拐骗.看来我的方向是走对了,但是为了进一步肯定,得结合其他内容信息.查看协议视图理解ARP协议的具体情形,

　　ARPResponse和ARPRequest相差比例太大了,很不正常啊.接下来,再看看数据包的具体情形.

　　我从数据包信息已经看出问题了,00:20:ED:AA:0D:04在拐骗网络中192.168.17.0这个网段的主机,应当是在奉告大家它是网关吧,想充当中间人的身份吧,被拐骗主机的通讯流量都跑到他哪里“被考核”了.

　　目前基本肯定为ARP拐骗攻击,目前我需求查对MAC地址的主机00:20:ED:AA:0D:04是哪台主机,好在我在平常记录了内部全部主机的MAC地址和主机对应表,终于给找出真凶主机了.大概上面中了ARP病毒,当即断网杀毒.网络正常了,呜呼!整个世界又安静了!

　　3.总结（弊端原理）

　　我们往复想一下上面ARP攻击历程.MAC地址为00:20:ED:AA:0D:04的主机,扫描攻击192.168.17.0这个网段的全部主机,并告之它就是网关,被拐骗主机的数据都发送到MAC地址为00:20:ED:AA:0D:04的主机上去了,但是从我抓取的数据包中,MAC为 00:20:ED:AA:0D:04的主机并没有拐骗真正的网关,所以我们的网络会呈现断网现象.

　　4.增补内容

　　关于ARP攻击的弊端,我们还是可以防备的,以下三种是常见的办法:

　　办法一:平常做好每台主机的MAC地址记录,呈近况况的时刻,可以操纵MAC地址扫描工具扫描出当前网络

[1] [2]  下一页