【安全时刻】从抓包分析角度分析arp攻击
什么是arp攻击?
ARP攻击就是通过伪造IP地址和MAC地址实现ARP欺骗 , 能够在网络中产生大量的ARP通信量使网络阻塞 , 攻击者只要持续不断的发出伪造的ARP响应包就能更改目标主机ARP缓存中的IP-MAC条目 , 造成网络中断或中间人攻击 。 所以要判断网络中是否有arp攻击 , 一个重要的判断依据是:内网是否有大量的异常arp响应包
ARP攻击数据包分析过程
1.检查内网是否有大量异常的arp响应包
网络越大arp响应包就有可能越多 , 如果仅从arp响应包的数量来看 , 并不能准确判断内网是否存在arp异常响应 。 要准确判断内网是否存在arp欺骗 , 需要看arp响应包数量是否远远大于arp请求包的数量 , arp响应包远远大于arp请求包的情况见下图:
文章图片
2.找出发送大量arp回应包的MAC地址
对arp协议包进行分析 , 发现MAC地址00:0B:2F:00:AD:80大量发送arp响应包的情
文章图片
【【安全时刻】从抓包分析角度分析arp攻击】3.确认对应MAC地址是否存在伪装其他IP的情况
从其他非arp协议的通信看 , 192.168.1.254对应的MAC地址是:00:0E:A0:00:81:BB , 可以判断00:0B:2F:00:AD:80有伪装成192.168.1.254的情况 , 如下图所示:
文章图片
4.确认问题MAC地址的真实IP
从其他非arp协议(netbios协议)的通信看 , MAC地址:00:0B:2F:00:AD:80使用的IP是192.168.1.22 , 判断00:0B:2F:00:AD:80正在使用的IP就是192.168.1.22 , 如下图所示:
文章图片
5.分析结论
MAC地址:00:0B:2F:00:AD:80使用的IP是192.168.1.22 , 伪装成192.168.1.254
推荐阅读
- 中国日报网r来看看有哪些安全措施,迪士尼乐园即将重新开放
- 安全圈123欧洲最大私人医院运营商遭勒索软件攻击
- cnBeta.COM10.4“Buster”正式发布 请尽快部署安全修复,Debian
- 科技八叔10再迎更新,新增多屏协同、智能充电,提升系统安全、稳定,EMUI
- 辛先森科技说触手可及的AI:2020十大人工智能APP揭榜时刻
- E安全还是真的涉嫌监视隐私,是美国拿小米开刀?
- 聚铭网络宣布“大扫除”,【一周安全资讯0509】个人健康信息码标准发布;Zoom收购Keybase;Google
- 『网络安全』你还在偷看“违规网站”吗?当手机出现这种现象,你就该停手了
- 『运载火箭』5月5日,中国走出重要战略一步,史无前例的时刻即将到来!
- 科技一本道道清空记录就安全,3个信号证明手机中毒,别以为偷看“不良网站”