扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
在本页阅读全文(共2页)
问题二:如何找出ARP攻击者的IP或MAC地址呢?
局域网中的ARP攻击一般由于个别主机感染ARP病毒发起的,但有时是个别不怀好意者人为发起的。那我们如何找到这个“内奸”,还局域网一个安全稳定的环境呢?我就以一个在发生ARP攻击时捕获的数据包来进行“无极追踪”。
用“科来网络分析软件”打开数据包,然后点击“诊断”,打开“诊断视图”,可以看到“数据链路层”有两种ARP故障:“ARP请求风暴”(图3)、“ARP太多无请求应答”(图4)。
情况一:“ARP请求风暴”
从图3中可以看出其中有问题的主机分别是:“192.168.14.156”和“21.36.238.176”。如果想要进一步证实诊断出的结果,可以查看这个主机发送的“数据包”。下一步要做的是找到这个主机的“源地址”。点击“定位浏览器节点”选择“定位:源地址”,马上定位到“21.36.238.176”的物理地址为00:13:8F6B:7D:99.(图5)接下来,查看这个地址发出的全部数据包。单击“数据包”按钮可以看到正常的ARP数据包发送频率并不高。一般,每分钟不应该超过20个请求,请求包和应答包,数量应该差不多。从这里,我们可以看到“21.36.238.176”发送了大量ARP请求包,而并无收到应答包,并且请求的地址是连续的。另外ARP请求包都是在1秒钟发出来的。至此,证据在握,主机:21.36.238.176确实存在对网络的攻击。(图6)
图5
图6
图7
从图7中可以看出MAC地址为00:20:ED:AA:00:04的主机比较可疑,同上定位“源地址”,点击“数据包”按钮,同样的方法,我们可以看到数据包,看出这些数据包在欺骗路由器,让路由器将发送给其它主机的数据,发送给MAC地址为00:20:ED:AA:0D:04的主机和MAC地址为00:20:ED:AA:0D:05的主机,从而获取别人的通讯信息。(图8)
图8
总结:ARP病毒给局域网带来的危害可以说是毁灭性的,如何判断正常ARP和非正常ARP,并找出病毒源,找到“捣乱者”是网络管理员必须要掌握的一门技术。学习和利用网络分析软件,对于诊断网络故障,解决网络无疑起到事半功倍的效果。
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。