如何找出arp病毒 攻击 -10bet十博欢迎您
arp协议对网络通讯具有重要的意义,然而不法分子通过伪造ip地址和mac地址可以实现arp欺骗,严重影响网络的正常传输和安全。arp欺骗的危害很大,可让攻击者取得局域网上的数据封包,甚至可篡改封包让网络上特定计算机或所有计算机无法正常连接。实践证明,通过网络分析技术,对网络流量进行数据包级的分析,对解决arp欺骗问题是行之有效的。
10.1 问题描述
某用户使用办公机访问服务器时,会出现网络时断时续的现象。办公机是通过dhcp来获取ip地址的,当访问中断时,需要重新获取一下ip地址才可以连通,但持续不久又会中断。
该用户的网络环境比较简单,如下图所示。
图 10-1
办公机的网段是x.x.200.x/24,网关地址是cisco 3560上的x.x.200.254,服务器的地址段为x.x.144.x/24。
10.2分析过程
10.2.1 分析测试
在出现故障时,科来网络分析工程师尝试ping服务器地址及办公机的网关地址,发现均无法ping通。通过查看办公机的arp表,发现网关地址对应的mac地址全为0,如下图所示。
图 10-2
通过上面的分析测试我们了解到:当办公机无法访问服务器时,办公机连网关也无法ping通。办公机中网关的mac地址全为0,即办公机没有学习到网关的mac地址,因此办公机无法跟网关进行通信,从而导致主机无法连通服务器。
10.2.2 数据分析
正常连接时,办公机应该有网关的ip地址和mac地址的arp映射表。当连接失败时,办公机通过该表没有学习到网关的mac地址。因此,造成该故障的原因很可能是网络中存在arp欺骗!为了验证网络是否存在arp欺骗,科来网络分析工程师通过在交换机3560上做端口镜像来抓取交互的数据包,具体部署如下图所示。
图 10-3
如上图所示,因为办公机连到交换机3560的端口是f 0/46,所以将该端口镜像到端口f 0/25,然后把科来网络分析系统接到f 0/25端口上捕获通信的数据包。
科来网络分析工程师在分析数据包时,发现网络中存在大量的ip冲突,如下图所示。
图 10-4
通过诊断视图中的提示,发现产生冲突的源ip地址是故障网段的网关地址,如下图所示。
图 10-5
通过观察上图,发现x.x.200.254对应的mac地址有两个:一个是00:25:64:a8:74:ad,另一个是00:1a:a2:87:d1:5a。对此具体分析可以发现:mac地址为00:25:64:a8:74:ad的主机对应的ip地址为x.x.200.33,如下图所示。
图 10-6
00:1a:a2:87:d1:5a才是x.x.200.254真实的mac地址。
因为办公机向错误的网关地址发送了请求,网关没有响应办公机的请求,所以导致办公机学习不到正确网关的mac地址,如下图所示。
图 10-7
导致网络不通的原因就是由于x.x.200.33这台办公机进行arp欺骗造成的。
10.3 分析结论
通过上面的分析,可以看出mac地址为00:25:64:a8:74:ad,ip地址为x.x.200.33的这台办公机中了arp病毒,将自己伪装成网关,欺骗网段内的其他办公机。对于arp病毒的处理,只要定位到病毒主机,我们就可以通过arp专杀工具进行查杀来解决这类问题。而最好的预防办法就是能够在内网主机安装杀毒软件,并且及时的更新病毒库,同时给主机打上安全补丁,防止再次出现。
10.4 价值
arp攻击在十年前就已经存在,至今为止仍被攻击者广泛使用。如何应对arp攻击,已成为网络安全管理者深思的问题。而网络流量分析技术正是检测这类攻击的有效手段:无论怎样的攻击方式,都会产生网络数据。通过对数据的完整记录及分析,就能找到攻击过程和攻击源,从而采取针对性措施进行弥补。