伪造IP的Mac的ARP攻击查找

鸿鹄

ARP 攻击就以攻击方法简单、攻击速度快、攻击效果好而深受越来越多恶作剧者的青睐，从而导致在近 1 年多的时间里，网络中的 ARP 攻击无处不在，各大论坛从未停止过 ARP 攻击的讨论，一些遭受过 ARP 攻击的用户甚至到了谈“ARP”色变的程度。
    根据攻击者的真实性，ARP 攻击可以分为三类：
    1.  攻击者的 IP 和 MAC 都是真实的；
    2.  攻击者的 IP 更改，MAC 是真实的；
    3.  攻击者的 IP 和 MAC 均更改，甚至伪造。
    对于前两种情况，我们知道借助科来网络分析系统的智能诊断功能，可以轻松地定位攻击源。但第 3 种情况，这种方法则不能有效定位攻击源，而这种情况的 ARP 攻击，正日渐增多，所以对这种同时更改 IP 和 MAC 的 ARP 攻击的排查，成为了目前 ARP 攻击排查工作的重中之重。
    下面我们对同时更改 IP和 MAC 的 ARP 攻击进行讨论（第 1 种和第 2 种 ARP 攻击不此讨论范围之内），并给出这种情况下的解决方案。
    我们以一个实例的方式进行分析，首先请看图 1 所示的网络拓扑。
   

简单网络拓扑图

    图 1 所示的网络非常简单，A、B、C、D 四台机器同时连接到一个交换机，再通过一个路由器连接到 Internet，同时将安装科来的分析用笔记本，接在交换机的镜像端口。
    在图 1 所示的网络中，假设 A发起 ARP 攻击，但却将攻击数据包的源 MAC 和源 IP 均改为机器 D 的。在这种情况下，如果我们直接使用图 1 的方式进行抓包，那么我们分析后，将会认为机器 D 存在 ARP 攻击，而这样的结果将会使用D 蒙冤而 A却逍遥法外。接下来，我们就来看，如何查找到元凶 A？