激情五月天婷婷,亚洲愉拍一区二区三区,日韩视频一区,a√天堂中文官网8

<ul id="buwfs"><strike id="buwfs"><strong id="buwfs"></strong></strike></ul>
    <output id="buwfs"></output>
  • <dfn id="buwfs"><source id="buwfs"></source></dfn>
      <dfn id="buwfs"><td id="buwfs"></td></dfn>
      <div id="buwfs"><small id="buwfs"></small></div>
      <dfn id="buwfs"><source id="buwfs"></source></dfn>
      1. <dfn id="buwfs"><td id="buwfs"></td></dfn>
        始創(chuàng)于2000年 股票代碼:831685
        咨詢熱線:0371-60135900 注冊有禮 登錄
        • 掛牌上市企業(yè)
        • 60秒人工響應(yīng)
        • 99.99%連通率
        • 7*24h人工
        • 故障100倍補(bǔ)償
        全部產(chǎn)品
        您的位置: 網(wǎng)站首頁 > 幫助中心>文章內(nèi)容

        用抓包的方法解決ARP病毒欺騙攻擊

        發(fā)布時(shí)間:  2012/5/21 16:54:31

        最近網(wǎng)絡(luò)中有億恩科技主機(jī)頻繁斷線,剛剛開始還比較正常,但是一段時(shí)間后就出現(xiàn)斷線情況,有時(shí)很快恢復(fù),但是有時(shí)要長達(dá)好幾分鐘啊,這樣對(duì)工作影響太大了。最初懷疑是否是物理上的錯(cuò)誤,總之從最容易下手的東西開始檢查,檢查完畢后沒有發(fā)現(xiàn)異常!突然想到目前網(wǎng)上比較流行的ARP攻擊,ARP攻擊出現(xiàn)的故障情況與此非常之相似!對(duì)于ARP攻擊,一般常規(guī)辦法是很難找出和判斷的,需要抓包分析。

        1.原理知識(shí)

        在解決問題之前,我們先了解下ARP的相關(guān)原理知識(shí)。

        ARP原理:

        首先,每臺(tái)億恩科技主機(jī)都會(huì)在自己的ARP緩沖區(qū)(ARPCache)中建立一個(gè)ARP列表,以表示IP地址和MAC地址的對(duì)應(yīng)關(guān)系。當(dāng)源億恩科技主機(jī)需要將一個(gè)數(shù)據(jù)包要發(fā)送到目的億恩科技主機(jī)時(shí),會(huì)首先檢查自己ARP列表中是否存在該IP地址對(duì)應(yīng)的MAC地址,如果有﹐就直接將數(shù)據(jù)包發(fā)送到這個(gè)MAC地址;如果沒有,就向本地網(wǎng)段發(fā)起一個(gè)ARP請求的廣播包,查詢此目的億恩科技主機(jī)對(duì)應(yīng)的MAC地址。此ARP請求數(shù)據(jù)包里包括源億恩科技主機(jī)的IP地址、硬件地址、以及目的億恩科技主機(jī)的IP地址。

        網(wǎng)絡(luò)中所有的億恩科技主機(jī)收到這個(gè)ARP請求后,會(huì)檢查數(shù)據(jù)包中的目的IP是否和自己的IP地址一致。如果不相同就忽略此數(shù)據(jù)包;如果相同,該億恩科技主機(jī)首先將發(fā)送端的MAC地址和IP地址添加到自己的ARP列表中,如果ARP表中已經(jīng)存在該IP的信息,則將其覆蓋,然后給源億恩科技主機(jī)發(fā)送一個(gè)ARP響應(yīng)數(shù)據(jù)包,告訴對(duì)方自己是它需要查找的MAC地址;源億恩科技主機(jī)收到這個(gè)ARP響應(yīng)數(shù)據(jù)包后,將得到的目的億恩科技主機(jī)的IP地址和MAC地址添加到自己的ARP列表中,并利用此信息開始數(shù)據(jù)的傳輸。如果源億恩科技主機(jī)一直沒有收到ARP響應(yīng)數(shù)據(jù)包,表示ARP查詢失敗。

        ARP欺騙原理:

        我們先模擬一個(gè)環(huán)境:

        網(wǎng)關(guān):192.168.1.1 MAC地址:00:11:22:33:44:55

        欺騙億恩科技主機(jī)A:192.168.1.100 MAC地址:00:11:22:33:44:66

        被欺騙億恩科技主機(jī)B:192.168.1.50 MAC地址:00:11:22:33:44:77

        欺騙億恩科技主機(jī)A不停的發(fā)送ARP應(yīng)答包給網(wǎng)關(guān),告訴網(wǎng)關(guān)他是192.168.1.50億恩科技主機(jī)B,這樣網(wǎng)關(guān)就相信欺騙億恩科技主機(jī),并且在網(wǎng)關(guān)的ARP緩存表里就有192.168.1.50對(duì)應(yīng)的MAC就是欺騙億恩科技主機(jī)A的MAC地址00:11:22:33:44:66,網(wǎng)關(guān)真正發(fā)給億恩科技主機(jī)B的流量就轉(zhuǎn)發(fā)給億恩科技主機(jī)A;另外億恩科技主機(jī)A同時(shí)不停的向億恩科技主機(jī)B發(fā)送ARP請求,億恩科技主機(jī)B相信億恩科技主機(jī)A為網(wǎng)關(guān),在億恩科技主機(jī)B的緩存表里有一條記錄為192.168.1.1對(duì)應(yīng)00:11:22:33:44:66,這樣億恩科技主機(jī)B真正發(fā)送給網(wǎng)關(guān)的數(shù)據(jù)流量就會(huì)轉(zhuǎn)發(fā)到億恩科技主機(jī)A;等于說億恩科技主機(jī)A和網(wǎng)關(guān)之間的通訊就經(jīng)過了億恩科技主機(jī)A,億恩科技主機(jī)A作為了一個(gè)中間人在彼此之間進(jìn)行轉(zhuǎn)發(fā),這就是ARP欺騙。

        2.解決方法

        看來只有抓包了,首先,我將交換機(jī)做好端口鏡像設(shè)置,然后把安裝有科來網(wǎng)絡(luò)分析系統(tǒng)的電腦接入鏡像端口,抓取網(wǎng)絡(luò)的所有數(shù)據(jù)進(jìn)行分析。通過幾個(gè)視圖我得出了分析結(jié)果:診斷視圖提示有太多“ARP無請求應(yīng)答”。

        在診斷中,我發(fā)現(xiàn)幾乎都是00:20:ED:AA:0D:04發(fā)起的大量ARP應(yīng)答。而且在參考信息中提示說可能存在ARP欺騙?磥砦业姆较蚴亲邔(duì)了,但是為了進(jìn)一步確定,得結(jié)合其他內(nèi)容信息。查看協(xié)議視圖了解ARP協(xié)議的詳細(xì)情況,

        ARPResponse和ARPRequest相差比例太大了,很不正常啊。接下來,再看看數(shù)據(jù)包的詳細(xì)情況。

        我從數(shù)據(jù)包信息已經(jīng)看出問題了,00:20:ED:AA:0D:04在欺騙網(wǎng)絡(luò)中192.168.17.0這個(gè)網(wǎng)段的億恩科技主機(jī),應(yīng)該是在告訴大家它是網(wǎng)關(guān)吧,想充當(dāng)中間人的身份吧,被欺騙億恩科技主機(jī)的通訊流量都跑到他那邊“被審核”了。

        現(xiàn)在基本確定為ARP欺騙攻擊,現(xiàn)在我需要核查MAC地址的億恩科技主機(jī)00:20:ED:AA:0D:04是哪臺(tái)億恩科技主機(jī),幸好我在平時(shí)記錄了內(nèi)部所有億恩科技主機(jī)的MAC地址和億恩科技主機(jī)對(duì)應(yīng)表,終于給找出真兇億恩科技主機(jī)了?赡苌厦嬷辛薃RP病毒,立即斷網(wǎng)殺毒。網(wǎng)絡(luò)正常了,嗚呼!整個(gè)世界又安靜了!


        本文出自:億恩科技【mszdt.com】

        服務(wù)器租用/服務(wù)器托管中國五強(qiáng)!虛擬主機(jī)域名注冊頂級(jí)提供商!15年品質(zhì)保障!--億恩科技[ENKJ.COM]

      2. 您可能在找
      3. 億恩北京公司:
      4. 經(jīng)營性ICP/ISP證:京B2-20150015
      5. 億恩鄭州公司:
      6. 經(jīng)營性ICP/ISP/IDC證:豫B1.B2-20060070
      7. 億恩南昌公司:
      8. 經(jīng)營性ICP/ISP證:贛B2-20080012
      9. 服務(wù)器/云主機(jī) 24小時(shí)售后服務(wù)電話:0371-60135900
      10. 虛擬主機(jī)/智能建站 24小時(shí)售后服務(wù)電話:0371-60135900
      11. 專注服務(wù)器托管17年
        掃掃關(guān)注-微信公眾號(hào)
        0371-60135900
        Copyright© 1999-2019 ENKJ All Rights Reserved 億恩科技 版權(quán)所有  地址:鄭州市高新區(qū)翠竹街1號(hào)總部企業(yè)基地億恩大廈  法律顧問:河南亞太人律師事務(wù)所郝建鋒、杜慧月律師   京公網(wǎng)安備41019702002023號(hào)
          0
         
         
         
         

        0371-60135900
        7*24小時(shí)客服服務(wù)熱線