|
最近網(wǎng)絡(luò)中有億恩科技主機頻繁斷線���,剛剛開始還比較正常�����,但是一段時間后就出現(xiàn)斷線情況����,有時很快恢復(fù)�����,但是有時要長達(dá)好幾分鐘啊,這樣對工作影響太大了�。最初懷疑是否是物理上的錯誤,總之從最容易下手的東西開始檢查�,檢查完畢后沒有發(fā)現(xiàn)異常!突然想到目前網(wǎng)上比較流行的ARP攻擊��,ARP攻擊出現(xiàn)的故障情況與此非常之相似����!對于ARP攻擊,一般常規(guī)辦法是很難找出和判斷的����,需要抓包分析。
1.原理知識
在解決問題之前�����,我們先了解下ARP的相關(guān)原理知識��。
ARP原理:
首先���,每臺億恩科技主機都會在自己的ARP緩沖區(qū)(ARPCache)中建立一個ARP列表,以表示IP地址和MAC地址的對應(yīng)關(guān)系。當(dāng)源億恩科技主機需要將一個數(shù)據(jù)包要發(fā)送到目的億恩科技主機時��,會首先檢查自己ARP列表中是否存在該IP地址對應(yīng)的MAC地址����,如果有﹐就直接將數(shù)據(jù)包發(fā)送到這個MAC地址;如果沒有��,就向本地網(wǎng)段發(fā)起一個ARP請求的廣播包�����,查詢此目的億恩科技主機對應(yīng)的MAC地址��。此ARP請求數(shù)據(jù)包里包括源億恩科技主機的IP地址�、硬件地址、以及目的億恩科技主機的IP地址����。
網(wǎng)絡(luò)中所有的億恩科技主機收到這個ARP請求后,會檢查數(shù)據(jù)包中的目的IP是否和自己的IP地址一致�����。如果不相同就忽略此數(shù)據(jù)包���;如果相同��,該億恩科技主機首先將發(fā)送端的MAC地址和IP地址添加到自己的ARP列表中�,如果ARP表中已經(jīng)存在該IP的信息,則將其覆蓋��,然后給源億恩科技主機發(fā)送一個ARP響應(yīng)數(shù)據(jù)包�����,告訴對方自己是它需要查找的MAC地址�����;源億恩科技主機收到這個ARP響應(yīng)數(shù)據(jù)包后�����,將得到的目的億恩科技主機的IP地址和MAC地址添加到自己的ARP列表中�����,并利用此信息開始數(shù)據(jù)的傳輸���。如果源億恩科技主機一直沒有收到ARP響應(yīng)數(shù)據(jù)包���,表示ARP查詢失敗�����。
ARP欺騙原理:
我們先模擬一個環(huán)境:
網(wǎng)關(guān):192.168.1.1 MAC地址:00:11:22:33:44:55
欺騙億恩科技主機A:192.168.1.100 MAC地址:00:11:22:33:44:66
被欺騙億恩科技主機B:192.168.1.50 MAC地址:00:11:22:33:44:77
欺騙億恩科技主機A不停的發(fā)送ARP應(yīng)答包給網(wǎng)關(guān),告訴網(wǎng)關(guān)他是192.168.1.50億恩科技主機B��,這樣網(wǎng)關(guān)就相信欺騙億恩科技主機���,并且在網(wǎng)關(guān)的ARP緩存表里就有192.168.1.50對應(yīng)的MAC就是欺騙億恩科技主機A的MAC地址00:11:22:33:44:66��,網(wǎng)關(guān)真正發(fā)給億恩科技主機B的流量就轉(zhuǎn)發(fā)給億恩科技主機A�����;另外億恩科技主機A同時不停的向億恩科技主機B發(fā)送ARP請求��,億恩科技主機B相信億恩科技主機A為網(wǎng)關(guān)�,在億恩科技主機B的緩存表里有一條記錄為192.168.1.1對應(yīng)00:11:22:33:44:66��,這樣億恩科技主機B真正發(fā)送給網(wǎng)關(guān)的數(shù)據(jù)流量就會轉(zhuǎn)發(fā)到億恩科技主機A���;等于說億恩科技主機A和網(wǎng)關(guān)之間的通訊就經(jīng)過了億恩科技主機A����,億恩科技主機A作為了一個中間人在彼此之間進(jìn)行轉(zhuǎn)發(fā),這就是ARP欺騙����。
2.解決方法
看來只有抓包了,首先���,我將交換機做好端口鏡像設(shè)置�,然后把安裝有科來網(wǎng)絡(luò)分析系統(tǒng)的電腦接入鏡像端口�,抓取網(wǎng)絡(luò)的所有數(shù)據(jù)進(jìn)行分析。通過幾個視圖我得出了分析結(jié)果:診斷視圖提示有太多“ARP無請求應(yīng)答”�。
在診斷中,我發(fā)現(xiàn)幾乎都是00:20:ED:AA:0D:04發(fā)起的大量ARP應(yīng)答�����。而且在參考信息中提示說可能存在ARP欺騙�。看來我的方向是走對了�����,但是為了進(jìn)一步確定���,得結(jié)合其他內(nèi)容信息����。查看協(xié)議視圖了解ARP協(xié)議的詳細(xì)情況,
ARPResponse和ARPRequest相差比例太大了���,很不正常啊。接下來��,再看看數(shù)據(jù)包的詳細(xì)情況�����。
我從數(shù)據(jù)包信息已經(jīng)看出問題了����,00:20:ED:AA:0D:04在欺騙網(wǎng)絡(luò)中192.168.17.0這個網(wǎng)段的億恩科技主機,應(yīng)該是在告訴大家它是網(wǎng)關(guān)吧���,想充當(dāng)中間人的身份吧�,被欺騙億恩科技主機的通訊流量都跑到他那邊“被審核”了�。
現(xiàn)在基本確定為ARP欺騙攻擊,現(xiàn)在我需要核查MAC地址的億恩科技主機00:20:ED:AA:0D:04是哪臺億恩科技主機����,幸好我在平時記錄了內(nèi)部所有億恩科技主機的MAC地址和億恩科技主機對應(yīng)表��,終于給找出真兇億恩科技主機了���?赡苌厦嬷辛薃RP病毒����,立即斷網(wǎng)殺毒。網(wǎng)絡(luò)正常了�,嗚呼!整個世界又安靜了��!
本文出自:億恩科技【mszdt.com】
服務(wù)器租用/服務(wù)器托管中國五強��!虛擬主機域名注冊頂級提供商��!15年品質(zhì)保障��!--億恩科技[ENKJ.COM]
|
香港服務(wù)器租用
美國服務(wù)器租用
電信骨干機房
聯(lián)通骨干機房
0371-60135900
