實例解析通過流量檢測查找ARP欺騙
信息中心立即著手進行調查,據老師們反映上網有時候網頁打開速度非常緩慢,有時絲毫沒有動靜,直接顯示無法打開網頁。不過,在非上班時間,如中午和晚上等休息時間,網路一切正常。
根據這一情況,網路硬體故障的可能性微乎其微,經過檢查沒有發現異常情況,排除了物理上的錯誤。看來是軟體上的問題,腦海中的第一反應就是目前比較流行的ARP攻擊。ARP協議的中文名為地址解析協議,用於將網路中的IP地址解析為硬體地址(MAC地址),以保證通信的順利進行。當計算機接收到ARP應答數據包的時候,就會對本地的ARP緩存進行更新,將應答中的IP和MAC地址存儲在ARP緩存中。所以在網路中,如果有人發送一個自己偽造的ARP應答,網路可能就會出現問題,這就是ARP欺騙,其常見的特徵就是主機頻繁掉線。
我們的網路癥狀與之非常相似,但是ARP攻擊需要找到它的源頭,一般的方法很難查找,需要在交換機上進行抓包分析,於是找到了IrisNetworkTrafficAnalyzer(以下簡稱Iris)。這是一款網路流量分析監測工具,可以幫助系統管理員輕易地捕獲和查看用戶的使用情況,同時檢測進入和發出的信息流,自動進行存儲和統計。這款軟體的圖標很像一隻眼睛,看來「火眼金睛」是找到了,現在就花工夫怎麼用好它了!
由於該教學樓的交換機是一台非網管型交換機,只好拿著筆記本電腦在網路設備房「蹲點」。把筆記本電腦連接在交換機埠上,打開Iris
依舊是我們熟悉的典型Windows軟體風格,單擊開始捕獲按鈕,Iris開始工作,對數據包實施抓捕。Iris對數據包抓捕的同時對其進行分析,我可以點擊某一時刻的數據包在快速分析窗口中查看解析內容。在Statistics(統計表)窗口中,我們可以瀏覽實時數據統計圖,對Protocol(網路協議)、TopHosts(最高流量主機)、SizeDistribution(數據包大小分類)和Bandwidth(帶寬)進行直接查看。
不一會,「兇手」出現了!Iris捕獲窗口出現了大量的ARP數據包,Protocol(網路協議)圖表顯示出來的ARP數據包在不斷增長!整個網路的流量一下加大了好幾倍!
為了分析方便,用Iris的Filters(過濾)功能,將ARP和ReverseARP兩種類型的數據過濾出來。終於,找到了ARP欺騙的真兇了,在捕獲窗口中可以看到,有兩個假IP地址(0.136.136.16和1.136.136.16),所有的ARP數據包源都是來自MAC地址為52:54:AB:37:0D:B0的電腦,終於掌握罪證了!也就是說,找到這個MAC地址的電腦就可以剷除禍根了!
接下來的工作就簡單了,拿出平時記錄好的「MAC-IP-計算機名」對應表,找到真兇電腦,對其進行斷網、系統重裝、查殺病毒等操作,確認安全后,再連接上網。網路又恢復了往日的寧靜,學校的正常教學秩序得到了保證。
《解決方案》
:dizzy:
《解決方案》
好像學習啊
《解決方案》
是呀,這個ARP真的煩人,又好不解決。有這個工具后,就輕鬆多了
