首 页 政府网络系统建设 校园网络系统建设 企业网络系统建设 无线网络解决方案 医疗网络系统方案 网吧方案 系统集成方案 客户见证
锐捷网络系列产品
 锐捷交换机系列产品
 锐捷路由器系列产品
 锐捷网络出口与安全系列产品
 锐捷网络无线系列产品
华为网络系列产品
 华为交换机系列产品
 华为路由器系列产品
 华为无线系列产品
 华为网络安全系列产品
迈普网络系列产品
 迈普交换机系列产品
 迈普路由器系列产品
 迈普防火墙系列产品
综合布线系列产品
 吉尔格勒系列产品
 美国百盛系列产品
 网普机柜系列产品
 大唐电信系列产品
POE供电交换机
 IP-COM 供电交换机
 TG-NET POE交换机
 华为供电交换机
 锐捷POE供电交换机
常见问题
首 页 -> 常见问题 -> 校园网络建设专家教你如何用抓包的方法解决ARP攻击
校园网络建设专家教你如何用抓包的方法解决ARP攻击
发布者:admin     浏览次数:828     发布时间:2014/4/10

   校园网络建设专家金宏达网络,专业从事校园网络系统建设19年,400-0377-771.今天主要为大家讲解如何利用抓包的方法来解决ARP攻击
   ARP原理:
   首先,每台主机都会在自己的ARP缓冲区(ARPCache)中建立一个ARP列表,以表示IP地址和MAC地址的对应关系。当源主机需要将一个数据包要发送到目的主机时,会首先检查自己ARP列表中是否存在该IP地址对应的MAC地址,如果有﹐就直接将数据包发送到这个MAC地址;如果没有,就向本地网段发起一个ARP请求的广播包,查询此目的主机对应的MAC地址。此ARP请求数据包里包括源主机的IP地址、硬件地址、以及目的主机的IP地址。
   网络中所有的主机收到这个ARP请求后,会检查数据包中的目的IP是否和自己的IP地址一致。如果不相同就忽略此数据包;如果相同,该主机首先将发送端的MAC地址和IP地址添加到自己的ARP列表中,如果ARP表中已经存在该IP的信息,则将其覆盖,然后给源主机发送一个ARP响应数据包,告诉对方自己是它需要查找的MAC地址;源主机收到这个ARP响应数据包后,将得到的目的主机的IP地址和MAC地址添加到自己的ARP列表中,并利用此信息开始数据的传输。如果源主机一直没有收到ARP响应数据包,表示ARP查询失败。
   ARP欺骗原理:
   我们先模拟一个环境:
   网关:192.168.1.1 MAC地址:00:11:22:33:44:55
   欺骗主机A:192.168.1.100 MAC地址:00:11:22:33:44:66
   被欺骗主机B:192.168.1.50 MAC地址:00:11:22:33:44:77
   欺骗主机A不停的发送ARP应答包给网关,告诉网关他是192.168.1.50主机B,这样网关就相信欺骗主机,并且在网关的ARP缓存表里就有192.168.1.50对应的MAC就是欺骗主机A的MAC地址00:11:22:33:44:66,网关真正发给主机B的流量就转发给主机A;另外主机A同时不停的向主机B发送ARP请求,主机B相信主机A为网关,在主机B的缓存表里有一条记录为192.168.1.1对应00:11:22:33:44:66,这样主机B真正发送给网关的数据流量就会转发到主机A;等于说主机A和网关之间的通讯就经过了主机A,主机A作为了一个中间人在彼此之间进行转发,这就是ARP欺骗。
   解决方法
   看来只有抓包了,首先,将交换机做好端口镜像设置,然后把安装有科来网络分析系统的电脑接入镜像端口,抓取网络的所有数据进行分析。通过几个视图我得出了分析结果:诊断视图提示有太多“ARP无请求应答”。
   在诊断中,发现几乎都是00:20:ED:AA:0D:04发起的大量ARP应答。而且在参考信息中提示说可能存在ARP欺骗。看来我的方向是走对了,但是为了进一步确定,得结合其他内容信息。查看协议视图了解ARP协议的详细情况,
   ARPResponse和ARPRequest相差比例太大了,很不正常。接下来,再看看数据包的详细情况。
   从数据包信息已经看出问题了,00:20:ED:AA:0D:04在欺骗网络中192.168.17.0这个网段的主机,应该是在告诉大家它是网关吧,想充当中间人的身份吧,被欺骗主机的通讯流量都跑到他那边“被审核”了。
   现在基本确定为ARP欺骗攻击,现在需要核查MAC地址的主机00:20:ED:AA:0D:04是哪台主机,幸好在平时记录了内部所有主机的MAC地址和主机对应表,终于给找出真凶主机了。可能上面中了ARP病毒,立即断网杀毒。网络正常了!
   总结(故障原理)
   我们来回顾一下上面ARP攻击过程。MAC地址为00:20:ED:AA:0D:04的主机,扫描攻击192.168.17.0这个网段的所有主机,并告之它就是网关,被欺骗主机的数据都发送到MAC地址为00:20:ED:AA:0D:04的主机上去了,但是从我抓取的数据包中,MAC为00:20:ED:AA:0D:04的主机并没有欺骗真正的网关,所以我们的网络会出现断网现象。
   做校园网络系统建设,首选金宏达网络,19年行业实战经验,我们坚持用心服务好每一位客户。
   免费热线:400-0377-771
   联 系 人:刘锡鹏
   手    机:18538070537
   客服 QQ:1549257162
   地    址:河南省郑州市金水区东风路文化路数码港17楼
   
   


相关案例推荐:河南大学校园网络系统建设
                 河南财经政法大学校园网络系统建设

 

 
公司简介    |     企业文化    |     售后服务    |     人才招聘    |     联系我们    |     网站地图
联系人:刘经理 电话:037169136351 手机:132 5339 2261 地址:郑州市金水区文化路东风路数码港大厦17楼
河南金宏达信息技术有限公司 版权所有 豫ICP备12022063号 
备案号:豫ICP备11006044号-2
提供:企业网络系统建设, 无线网络解决方案, 校园网络系统建设, 医疗网络系统方案, 网络工程设计方案, 欢迎新老客户咨询
北京私家侦探上海私家侦探深圳私家侦探广州私家侦探株洲私家侦探湘潭私家侦探岳阳私家侦探常德私家侦探衡阳私家侦探益阳私家侦探郴州私家侦探永州私家侦探怀化私家侦探邵阳私家侦探湖州私家侦探舟山私家侦探丽水私家侦探义乌私家侦探衢州私家侦探盐城私家侦探镇江私家侦探洛阳私家侦探芜湖私家侦探安庆私家侦探宜昌私家侦探大庆私家侦探山东私家侦探广东私家侦探湖南私家侦探浙江私家侦探江苏私家侦探湖北私家侦探福建私家侦探安徽私家侦探 咸阳私家侦探南宁私家侦探贵阳私家侦探合肥私家侦探长沙私家侦探昆明私家侦探佛山私家侦探珠海私家侦探中山私家侦探长沙私家侦探烟台私家侦探台州私家侦探无锡私家侦探常州私家侦探连云港私家侦探日照私家侦探唐山私家侦探东营私家侦探扬州私家侦探金华私家侦探泰州私家侦探潍坊私家侦探南通私家侦探太原私家侦探济南私家侦探临沂私家侦探嘉兴私家侦探绍兴私家侦探泉州私家侦探长春私家侦探哈尔滨私家侦探沈阳私家侦探东莞私家侦探南昌私家侦探徐州私家侦探淄博私家侦探 成都物流公司