网络分析软件应用实例:ARP病毒爆发了 谁干的？

鸿鹄

这篇文章源于一个案例：笔者所在地某学校现有机器约310台，其中110台是教师用机，其它的机器为学生用机。一般情况下，只有教师机器上网，学生机只有在上计算机课时，才会开机上网，网络运行一直顺畅。半个月以前，局域网频繁断网，文件共享、网络打印速、网络传输度突然变得缓慢，甚至失去响应。估计是ARP病毒在局域网爆发了，由于ARP病毒的隐蔽性和欺骗性，于是决定通过网络分析软件进行分析，最终问题得到了圆满解决。下面就把这次分析过程写出来与读者交流。
　　写在前面的话：因为局域网的特性，所以了解和判断网络内ARP通信情况很有必要。因为对于可以在网络内传播的病毒，都有一个特性，就是他们都得去发现网内其他的机器，不然攻击从何谈起。当然，要发现整个局域网内的机器是很容易的，只要经过一次ARP扫描就可以发现了。对于这个问题，那么就有人会问了，那样的话，你还能抓到病毒机器发的数据包么 ?是的，这确实是个问题，但事实表明，现在的网络病毒都不得不频繁的发起ARP扫描，原因如下 ：
　　1、病毒本身技术原因或ARP还有其他某些特性或利用价值。
　　2、电脑重新启动后，如校园局域网等，病毒将展开新一轮的攻击 。
　　3、其他原因。
　　归结为一句话大多数网络病毒都具有ARP扫描或ARP欺骗的特性。正因如此我们就可以通过网络分析软件抓住ARP病毒狐狸的尾巴。
　　问题一：怎么判断内网的ARP是否正常?
　　网络管理员或者使用电脑有一定时间的人对于网络速度都会比较敏感。当我们发现或怀疑网络出现问题之时，我们先打开网络分析软件(本文以科来网络分析软件为例)捕获ARP数据包，然后对所所捕获的ARP数据包进行分析，可以发现有好多的机器都发起过ARP请求，流量相对大的也有很多，但怎么区分正常的请求和异常的请求呢 ?
　　正常ARP请求：如(图1)所示，我们打开MAC地址为00:14:85:EE:6A:14的主机的数据包，发现其有两个特点 ：第一个是其数据包出现断层，并没有连续下去，看来其所要的目的已经达成 。第二个是所请求的机器都是为其提供服务和与之有工作关系的机器。由以上两点，可以基本判断，其ARP请求为正常。也就是其电脑可以先放在一边，以后再做考虑。
问题二：如何找出ARP攻击者的IP或MAC地址呢?
　　局域网中的ARP攻击一般由于个别主机感染ARP病毒发起的，但有时是个别不怀好意者人为发起的。那我们如何找到这个“内奸”，还局域网一个安全稳定的环境呢?我就以一个在发生ARP攻击时捕获的数据包来进行“无极追踪”。

fubc

支持楼主……

剑御红尘

guoyang19870714

我顶 顶 顶

xiaofanvsyj

dddddddddddddddddd

sihoo

ddddddddddddddddd

julyvon

hao

258960039

arp攻击。。。

bocaccio

xiexie

guoshaohua

11111

不必回头

666

xgjhl520

dddd

王洋洋23

666

wobuben5

学习一下