码迷,mamicode.com
首页 > 其他好文 > 详细

WireShark发现局域网中的ARP病毒

时间:2015-06-24 16:44:58      阅读:433      评论:0      收藏:0      [点我收藏+]

标签:ip协议   ip地址   计算机   局域网   服务器   

WireShark发现局域网中的ARP病毒

ARP(Address Resolution Protocol)是TCP/IP协议中用来解析网络节点地址的底层协议。网络中流传的ARP病毒或恶意软件利用ARP机制进行地址欺骗。最常见的ARP问题可以分为如下三种类型:
1) 网关或服务器IP欺骗:利用ARP机制,冒用局域网中的网关或其他服务器IP地址,把正常应该传给网关或服务器的数据流引向进行ARP欺骗的计算机,从而造成网络中断或时断时续,或数据丢失。
2) 隐蔽盗用IP:利用ARP机制,在对方不知情的情况下盗用他人IP,进行恶意网络活动,由此可进行各种侵权操作。
3) 强行占用IP:利用ARP机制,攻击他人IP,最终达到占用他人IP,由此进行各种恶意或侵权操作。

网络故障诊断:

根据用户反应,网络时断时续。工程师使用WireShark进行抓包发现局域网中的数据包有百分之九十是ARP报文。

有一台MAC地址为001F-29DC-F4B1的主机,它作为源地址向本网段内其他电脑不断地发送ARP报文,并且告诉他们网关的MAC地址为001F-29DC-F4B1。但实际上用户的网关为一台交大捷普的防火墙,并且MAC地址也不是001F-29DC-F4B1。由此可以判断001F-29DC-F4B1这台主机在发送ARP地址欺骗,类型是网关欺骗。

注:X.31.74.254(这是PC机的默认网关)

但是到目前为止,内网用户的网络依然是时断时通。我们继续用WireShark抓包,发现了下面的问题


经过抓包观察后,我们发现IP地址为X。31.74.37,MAC地址为5CFF.3501.9DAF的主机也在局域网内发送大量的ARP数据包。它通过ARP广播包扫描了网段内所有主机的IP和MAC地址。一般来说,网络中出现大量ARP请求广播包,几乎都是对网段内的所有主机进行扫描。大量的ARP请求广播可能会占用网络带宽资源;ARP扫描一般为ARP攻击的前奏。

解决办法:

解决办法也很简单,就是把这两台的上联端口shutdown

WireShark发现局域网中的ARP病毒

标签:ip协议   ip地址   计算机   局域网   服务器   

原文地址:http://kingdba.blog.51cto.com/801693/1664955

(0)
(0)
   
举报
评论 一句话评论(0
登录后才能评论!
© 2014 mamicode.com 版权所有  联系我们:gaon5@hotmail.com
迷上了代码!