WireShark发现局域网中的ARP病毒
2015-06-24 11:11
169 查看
WireShark发现局域网中的ARP病毒
ARP(Address Resolution Protocol)是TCP/IP协议中用来解析网络节点地址的底层协议。网络中流传的ARP病毒或恶意软件利用ARP机制进行地址欺骗。最常见的ARP问题可以分为如下三种类型:1) 网关或服务器IP欺骗:利用ARP机制,冒用局域网中的网关或其他服务器IP地址,把正常应该传给网关或服务器的数据流引向进行ARP欺骗的计算机,从而造成网络中断或时断时续,或数据丢失。
2) 隐蔽盗用IP:利用ARP机制,在对方不知情的情况下盗用他人IP,进行恶意网络活动,由此可进行各种侵权操作。
3) 强行占用IP:利用ARP机制,攻击他人IP,最终达到占用他人IP,由此进行各种恶意或侵权操作。网络故障诊断:根据用户反应,网络时断时续。工程师使用WireShark进行抓包发现局域网中的数据包有百分之九十是ARP报文。有一台MAC地址为001F-29DC-F4B1的主机,它作为源地址向本网段内其他电脑不断地发送ARP报文,并且告诉他们网关的MAC地址为001F-29DC-F4B1。但实际上用户的网关为一台交大捷普的防火墙,并且MAC地址也不是001F-29DC-F4B1。由此可以判断001F-29DC-F4B1这台主机在发送ARP地址欺骗,类型是网关欺骗。注:X.31.74.254(这是PC机的默认网关)但是到目前为止,内网用户的网络依然是时断时通。我们继续用WireShark抓包,发现了下面的问题经过抓包观察后,我们发现IP地址为X。31.74.37,MAC地址为5CFF.3501.9DAF的主机也在局域网内发送大量的ARP数据包。它通过ARP广播包扫描了网段内所有主机的IP和MAC地址。一般来说,网络中出现大量ARP请求广播包,几乎都是对网段内的所有主机进行扫描。大量的ARP请求广播可能会占用网络带宽资源;ARP扫描一般为ARP攻击的前奏。解决办法:解决办法也很简单,就是把这两台的上联端口shutdown
相关文章推荐
- 小心服务器内存居高不下的元凶--WebAPI服务
- 运维入门
- [原创]java局域网聊天系统
- 使用 Libki 来管理公共用户访问计算机
- 微型计算机的始祖:Altair 8800
- dns。dhcp,ftp
- Linux5.9无人值守安装
- 数据中心和云未来的十二大趋势
- 用vsftp快速搭建ftp服务器
- Linux快速构建apache web服务器
- 服务器监控策略浅谈
- 通过手机、电脑远程开关机,Windows和linux机手机,电脑相互控制
- 如何降低服务器采购成本 原理分析
- 建议的服务器分区办法
- 一个注册表搞定“打开局域网机器文件提示”
- 服务器托管六大优势分析
- Erlang实现的一个Web服务器代码实例
- 服务器技术全面解析
- 保护DNS服务器的几点方法小结