用抓包的方法解决ARP病毒欺骗攻击

核心提示：最近网络中有主机频繁断线，刚刚开始还比较正常，但是1段时间后就出现断线情况，有时很快恢复，但是有时要长达好几分钟啊，这样对工作影响太大了。最初怀疑是否是是物理上的毛病，总之从最轻易下手的东西开始检查，检查终了后没有发现异常！

最近网络中有主机频繁断线，刚刚开始还比较正常，但是1段时间后就出现断线情况，有时很快恢复，但是有时要长达好几分钟啊，这样对工作影响太大了。最初怀疑是否是是物理上的毛病，总之从最轻易下手的东西开始检查，检查终了后没有发现异常！忽然想到目前网上比较流行的ARP攻击，ARP攻击出现的故障情况与此非常之类似！对ARP攻击，1般常规办法是很难找出和判定的，需要抓包分析。

1.原理知识

在解决题目之前，我们先了解下ARP的相干原理知识。

ARP原理：

首先，每台主机都会在自己的ARP缓冲区（ARPCache）中建立1个ARP列表，以表示IP地址和MAC地址的对应关系。当源主机需要将1个数据包要发送到目的主机时，会首先检查自己ARP列表中是否是存在该IP地址对应的MAC地址，假设有﹐就直接将数据包发送到这个MAC地址；假设没有，就向本地网段发起1个ARP要求的广播包，查询此目的主机对应的MAC地址。此ARP要求数据包里包括源主机的IP地址、硬件地址、和目的主机的IP地址。

网络中所有的主机收到这个ARP要求后，会检查数据包中的目的IP是否是和自己的IP地址1致。假设不相同就忽视此数据包；假设相同，该主机首先将发送真个MAC地址和IP地址添加到自己的ARP列表中，假设ARP表中已存在该IP的信息，则将其覆盖，然后给源主机发送1个ARP响应数据包，告知对方自己是它需要查找的MAC地址；源主机收到这个ARP响应数据包后，将得到的目的主机的IP地址和MAC地址添加到自己的ARP列表中，并利用此信息开始数据的传输。假设源主机1直没有收到ARP响应数据包，表示ARP查询失败。

ARP欺骗原理：

我们先摹拟1个环境：

网关：192.168.1.1 MAC地址：00:11:22:33:44:55

欺骗主机A：192.168.1.100 MAC地址：00:11:22:33:44:66

被欺骗主机B：192.168.1.50 MAC地址：00:11:22:33:44:77

欺骗主机A不停的发送ARP应对包给网关，告知网关他是192.168.1.50主机B，这样网关就相信欺骗主机，并且在网关的ARP缓存表里就有192.168.1.50对应的MAC就是欺骗主机A的MAC地址00:11:22:33:44:66，网关真正发给主机B的流量就转发给主机A；另外主机A同时不停的向主机B发送ARP要求，主机B相信主机A为网关，在主机B的缓存表里有1条记录为192.168.1.1对应00:11:22:33:44:66，这样主机B真正发送给网关的数据流量就会转发到主机A；即是说主机A和网关之间的通讯就经过了主机A，主机A作为了1个中间人在彼此之间进行转发，这就是ARP欺骗。

2.解决方法

看来只有抓包了，首先，我将交换机做好端口镜像设置，然后把安装有科来网络分析系统的电脑接进镜像端口，抓取网络的所有数据进行分析。通过几个视图我得出了分析结果：诊断视图提示有太多“ARP无要求应对”。

在诊断中，我发现几近都是00:20:ED:AA:0D:04发起的大量ARP应对。而且在参考信息中提示说可能存在ARP欺骗。看来我的方向是走对了，但是为了进1步肯定，得结合其他内容信息。查看协议视图了解ARP协议的具体情况，

ARPResponse和ARPRequest相差比例太大了，很不正常啊。接下来，再看看数据包的具体情况。

我从数据包信息已看出题目了，00:20:ED:AA:0D:04在欺骗网络中192.168.17.0这个网段的主机，应当是在告知大家它是网关吧，想充当中间人的身份吧，被欺骗主机的通讯流量都跑到他那边“被审核”了。

现在基本肯定为ARP欺骗攻击，现在我需要核对MAC地址的主机00:20:ED:AA:0D:04是哪台主机，幸亏我在平时记录了内部所有主机的MAC地址和主机对应表，终究给找出真凶主机了。可能上面中了ARP病毒，立即断网杀毒。网络正常了，呜呼！全部世界又安静了！

1 2 下1页

核心提示：最近网络中有主机频繁断线，刚刚开始还比较正常，但是1段时间后就出现断线情况，有时很快恢复，但是有时要长达好几分钟啊，这样对工作影响太大了。最初怀疑是否是是物理上的毛病，总之从最轻易下手的东西开始检查，检查终了后没有发现异常！

3.总结（故障原理）

我们来回顾1下上面ARP攻击进程。MAC地址为00:20:ED:AA:0D:04的主机，扫描攻击192.168.17.0这个网段的所有主机，并告之它就是网关，被欺骗主机的数据都发送到MAC地址为00:20:ED:AA:0D:04的主机上往了，但是从我抓取的数据包中，MAC为00:20:ED:AA:0D:04的主机并没有欺骗真实的网关，所以我们的网络会出现断网现象。

4.补充内容

对ARP攻击的故障，我们还是可以防范的，以下3种是常见的方法：

方法1：平时做好每台主机的MAC地址记录，出现状态的时候，可以利用MAC地址扫描工具扫描出当前网络中主机的MAC地址对应情况，参照之前做好的记录，也能够找出题目主机。

方法2：ARP–S可在MS-DOS窗口下运行以下命令：ARP–S手工绑定网关IP和网关MAC。静态绑定，便可以够尽可能的减少攻击了。需要说明的是，手工绑定在计算机重起后就会失效，需要再绑定，但是我们可以做1个批处理文件，可以减少1些烦琐的手工绑定！

方法3：使用软件（Antiarp）使用AntiARPSniffer可以避免利用ARP技术进行数据包截取和避免利用ARP技术发送地址冲突数据包。

上1页 1 2 http://www.fw8.net/

TAG:主机,地址,网关,目的,断线

评论加载中... 内容： 评论者： 验证码：