网络嗅探教程：使用Sniffer Pro监控ARP协议欺骗

一、使用sniffer pro监控ARP

实际上，使用sniffer pro程序的监控功能可以更方便、更为迅速的帮助我们定位问题。

步骤一：首先，我们在已经做了端口镜像的机器上启动snffer pro程序。选择菜单栏中Monitor→Define Filter 来定义我们需要的过滤器。在弹出的define Filter对话框中选择Profiles→New 来新建一个过滤器，我们这里取名为ARP。

图1（点击查看大图）

步骤二：点击Advanced高级标签，我们这里选中ARP协议。单击OK后完成过滤器的新建。

图2（点击查看大图）

步骤三：系统默认过滤器为Default，我们来选择刚才新建过滤器ARP。首先，选择Monitor→Select Filter。

图3（点击查看大图）

步骤四：在弹出的对话框中点击ARP。在这里要注意的是：一定要把Apply monitor勾选。点击确定后，过滤器定义和选择工作准备完毕。

图4（点击查看大图）

 
步骤五：鼠标点击工具栏中Host Table按钮（联网图标），在弹出的子窗口中选择Detail工具（放大镜图标）。注意观察本图同之前程序使用默认Default Filter过滤器的不同之处。现在，按照我们的定义，监视器内Protocol(协议类型)仅包括IP_ARP.这对于我们查找问题，层次上更加分明。这里需要注意的是：

①这里的Address（地址）以IP或者机器名的形式显示，如果显示MAC，请先使用Tools→Address book进行扫描，IP-MAC的显示转换后，将有利于我们快速定位节点。
②网内终端中所有ARP广播包的和，合计后等于Broadcast数据包（广播包）。

图5（点击查看大图）

 

步骤六：我们先来观察，在正常网络状况下，ARP协议的TOP流量分布图，这将方便我们的区分、判断。鼠标点击左边工具栏中的Bar（柱形图标），我们知道Bar会将目前数据包流量排行前10位，通过动态柱型图的方式显示出来。同上图的Detail（详细显示方式）一样，只不过Bar在界面上对于观察者来讲更为直观。需要注意的是：

①Broadcast（网内所有节点的广播）占TOP排行第一位。
②其它节点依次排开。但是，流量差距不大。

图6（点击查看大图）

 
步骤七：我们再来观察，网内存在ARP欺骗情况时流量排行图。请仔细对比上述两图。

我们会发现问题的所在：
①TOP1 节点219.238.*.111占据网内最大ARP流量。
②TOP2中的流量急速增大且与TOP3差距悬殊。
③我们知道，在网络常的情况下，不同节点的ARP流量会有差距，但应该相差不大。同时我们对比在网络正常情况下ARP流量TOP图，并以它做为基准，问题就显而易见了。
④这里需要解释的是，Broadcast在下图中排行第二，为什么呢？因为Broadcast是网内广播总计，但ARP分为请求（广播）、和回应（单播）两种，当219.238.*.111的回应（也就是单播数量）大于ARP请求（广播的数量）将可能出现ARP总流量大于Broadcast的情况，这也印证我们在开场所说的：当节点出现ARP欺骗时，它会向网内ARP reply。

图7（点击查看大图）

步骤八：再来看看节点219.238.*.111的traffic map （通信图），几乎与网内所有节点都有ARP通信。同时与节点wangguan(网关)通信数据量最大。至于它为什么最大？在文章开始介绍ARP时提过，这里不在赘述。

图8（点击查看大图）

通过专用sniffer程序监视异常ARP

 

除了NAI Sniffer pro 以外，网络上还提供有很多专用的ARP监视工具，这些工具也是sniffer的一种，只是在功能上更有针对性，大多数界面也很简单、友好。

这里我们简单介绍由国内欣全向公司开发，颇为流行的免费ARP检测工具：“欣向巡路之ARP工具1.1Beta” ,大家可以从http://www.nuqx.com/downcenter.asp直接下载。

和很多数据包捕获工具一样，在程序安装运行前，需要提前安装WinPcap驱动。
使用方法：

步骤一：使用方法很简单。首先选择网卡，程序会根据网卡扫描出相应网段IP-MAC清单。

但需要注意，IP-MAC清单的扫描务必在网络内正常的情况下。

步骤二：添加ARP检测范围，一般将网关或者路由的IP填入即可。

步骤三：启动 ARP检测。这个时候，如果网络内出现ARP欺骗，程序则会报警，并用红色字体在“ARP欺骗纪录”上标注。如下图所示：

图9（点击查看大图）

步骤四：如果发现ARP欺骗纪录后，应该如何处理，防止断线呢？这个时候可以使用软件中“主动维护”功能来修复网络。这个功能的含义是：定义好网关正确IP-MAC，在网内以一定频率广播，来修复网络。
注意：使用了本功能后，网内被欺骗的机器，受正确ARP广播的影响，ARP缓存表暂时恢复正常，请尽快处理出现故障机器。

图1（点击查看大图）

总结：
在网络出现故障时，有经验的网络管理员通常都能够迅速发现故障并加以排除，这是基于网络管理员自身技能素养、对环境的了解、和经验。但是在网络日益发展的今天，网络应用、规模、手段都在急速膨胀，仅仅依靠对环境的了解和经验显然是不够的。因此，使用sniffer pro程序来处理ARP，本文不矢为一种快速有效的手段。由于本文不涉及sniffer的高级应用，如抓取数据包分析ARP问题等，所以比较适合初级用户阅读参考，