什么是arp攻击?
ARP攻击就是通过伪造IP地址和mac地址实现ARP欺骗,能够在网络中产生大量的ARP通信量使网络阻塞,攻击者只要持续不断的发出伪造的ARP响应包就能更改目标主机ARP缓存中的IP-MAC条目,造成网络中断或中间人攻击 。所以要判断网络中是否有arp攻击,一个重要的判断依据是:内网是否有大量的异常arp响应包
ARP攻击数据包分析过程
1.检查内网是否有大量异常的arp响应包
网络越大arp响应包就有可能越多,如果仅从arp响应包的数量来看,并不能准确判断内网是否存在arp异常响应 。要准确判断内网是否存在arp欺骗,需要看arp响应包数量是否远远大于arp请求包的数量,arp响应包远远大于arp请求包的情况见下图:
文章插图
2.找出发送大量arp回应包的MAC地址
对arp协议包进行分析,发现MAC地址 00:0B:2F:00:AD:80大量发送arp响应包的情况,并且响应的内容是:00:0B:2F:00:AD:80 的 IP是192.168.1.254,如下图所示:
文章插图
3.确认对应MAC地址是否存在伪装其他IP的情况
从其他非arp协议的通信看,192.168.1.254对应的MAC地址是:00:0E:A0:00:81:BB,可以判断00:0B:2F:00:AD:80 有伪装成192.168.1.254的情况,如下图所示:
文章插图
4.确认问题MAC地址的真实IP
从其他非arp协议(netbIOS协议)的通信看,MAC地址:00:0B:2F:00:AD:80 使用的IP是192.168.1.22,判断00:0B:2F:00:AD:80正在使用的IP就是192.168.1.22,如下图所示:
文章插图
5.分析结论
MAC地址:00:0B:2F:00:AD:80 使用的IP是192.168.1.22,伪装成192.168.1.254
【从抓包分析角度分析arp攻击】
推荐阅读
- Go语言 CPU 性能、内存分析调试方法大汇总:你要的都在这
- 美容护肤从日常生活开始
- 冬季养肺好时机 从食补开始
- 新能源电动汽车驱动电机的分类、特点和优劣势分析
- 淘宝店铺的关键词分析在哪里找到的 淘宝怎么查关键词的搜索量
- MySQL文件及目录权限设置分析-爱可生
- 从异常堆栈信息丢失,探究jvm的性能优化
- 从 SQL 到 MongoDB,这一篇就够了
- 是什么使Apache Druid非常适合实时分析?
- 宽带|一图科普:光纤是怎么从运营商机房到你家的?