设为首页收藏本站language→→ 语言切换

鸿鹄论坛

 找回密码
 论坛注册

QQ登录

先注册再绑定QQ

查看: 1829|回复: 0
收起左侧

伪造IP的Mac的ARP攻击查找

[复制链接]
 成长值: 62290
发表于 2010-9-1 16:38:28 | 显示全部楼层 |阅读模式
ARP 攻击就以攻击方法简单、攻击速度快、攻击效果好而深受越来越多恶作剧者的青睐,从而导致在近 1 年多的时间里,网络中的 ARP 攻击无处不在,各大论坛从未停止过 ARP 攻击的讨论,一些遭受过 ARP 攻击的用户甚至到了谈“ARP”色变的程度。
    根据攻击者的真实性,ARP 攻击可以分为三类:
    1.  攻击者的 IP 和 MAC 都是真实的;
    2.  攻击者的 IP 更改,MAC 是真实的;
    3.  攻击者的 IP 和 MAC 均更改,甚至伪造。
    对于前两种情况,我们知道借助科来网络分析系统的智能诊断功能,可以轻松地定位攻击源。但第 3 种情况,这种方法则不能有效定位攻击源,而这种情况的 ARP 攻击,正日渐增多,所以对这种同时更改 IP 和 MAC 的 ARP 攻击的排查,成为了目前 ARP 攻击排查工作的重中之重。
    下面我们对同时更改 IP和 MAC 的 ARP 攻击进行讨论(第 1 种和第 2 种 ARP 攻击不此讨论范围之内),并给出这种情况下的解决方案。
    我们以一个实例的方式进行分析,首先请看图 1 所示的网络拓扑。 2008120611070011.jpg
   

简单网络拓扑图

    图 1 所示的网络非常简单,A、B、C、D 四台机器同时连接到一个交换机,再通过一个路由器连接到 Internet,同时将安装科来的分析用笔记本,接在交换机的镜像端口。
    在图 1 所示的网络中,假设 A发起 ARP 攻击,但却将攻击数据包的源 MAC 和源 IP 均改为机器 D 的。在这种情况下,如果我们直接使用图 1 的方式进行抓包,那么我们分析后,将会认为机器 D 存在 ARP 攻击,而这样的结果将会使用D 蒙冤而 A却逍遥法外。接下来,我们就来看,如何查找到元凶 A?
您需要登录后才可以回帖 登录 | 论坛注册

本版积分规则

QQ|Archiver|手机版|小黑屋|sitemap|鸿鹄论坛 ( 京ICP备14027439号 )  

GMT+8, 2024-11-22 16:05 , Processed in 0.072438 second(s), 11 queries , Redis On.  

  Powered by Discuz!

  © 2001-2024 HH010.COM

快速回复 返回顶部 返回列表