科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网网络频道网络分析软件:ARP病毒爆发了谁干的?

网络分析软件:ARP病毒爆发了谁干的?

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

因为局域网的特性,所以了解和判断网络内ARP通信情况很有必要。因为对于可以在网络内传播的病毒,他们必须发现网内其他的机器,从而找到攻击。当然,要发现整个局域网内的机器,只要经过一次ARP扫描就可以发现了,但现在的网络病毒都不得不频繁的发起ARP扫描。

作者:论坛整理 来源:zdnet网络安全 2008年2月25日

关键字: 杀毒软件 木马 反病毒 病毒防范 防病毒 病毒

  • 评论
  • 分享微博
  • 分享邮件

在本页阅读全文(共2页)

问题二:如何找出ARP攻击者的IP或MAC地址呢?

局域网中的ARP攻击一般由于个别主机感染ARP病毒发起的,但有时是个别不怀好意者人为发起的。那我们如何找到这个“内奸”,还局域网一个安全稳定的环境呢?我就以一个在发生ARP攻击时捕获的数据包来进行“无极追踪”。

用“科来网络分析软件”打开数据包,然后点击“诊断”,打开“诊断视图”,可以看到“数据链路层”有两种ARP故障:“ARP请求风暴”(图3)、“ARP太多无请求应答”(图4)。

情况一:“ARP请求风暴”

从图3中可以看出其中有问题的主机分别是:“192.168.14.156”和“21.36.238.176”。如果想要进一步证实诊断出的结果,可以查看这个主机发送的“数据包”。下一步要做的是找到这个主机的“源地址”。点击“定位浏览器节点”选择“定位:源地址”,马上定位到“21.36.238.176”的物理地址为00:13:8F6B:7D:99.(图5)接下来,查看这个地址发出的全部数据包。单击“数据包”按钮可以看到正常的ARP数据包发送频率并不高。一般,每分钟不应该超过20个请求,请求包和应答包,数量应该差不多。从这里,我们可以看到“21.36.238.176”发送了大量ARP请求包,而并无收到应答包,并且请求的地址是连续的。另外ARP请求包都是在1秒钟发出来的。至此,证据在握,主机:21.36.238.176确实存在对网络的攻击。(图6)

图5

图6

 

图7

从图7中可以看出MAC地址为00:20:ED:AA:00:04的主机比较可疑,同上定位“源地址”,点击“数据包”按钮,同样的方法,我们可以看到数据包,看出这些数据包在欺骗路由器,让路由器将发送给其它主机的数据,发送给MAC地址为00:20:ED:AA:0D:04的主机和MAC地址为00:20:ED:AA:0D:05的主机,从而获取别人的通讯信息。(图8)

图8

总结:ARP病毒给局域网带来的危害可以说是毁灭性的,如何判断正常ARP和非正常ARP,并找出病毒源,找到“捣乱者”是网络管理员必须要掌握的一门技术。学习和利用网络分析软件,对于诊断网络故障,解决网络无疑起到事半功倍的效果。

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章