什么是arp攻擊?
ARP攻擊就是通過偽造IP地址和mac地址實現ARP欺騙,能夠在網絡中產生大量的ARP通信量使網絡阻塞,攻擊者只要持續不斷的發出偽造的ARP響應包就能更改目標主機ARP緩存中的IP-MAC條目,造成網絡中斷或中間人攻擊。所以要判斷網絡中是否有arp攻擊,一個重要的判斷依據是:內網是否有大量的異常arp響應包
ARP攻擊數據包分析過程
1.檢查內網是否有大量異常的arp響應包
網絡越大arp響應包就有可能越多,如果僅從arp響應包的數量來看,并不能準確判斷內網是否存在arp異常響應。要準確判斷內網是否存在arp欺騙,需要看arp響應包數量是否遠遠大于arp請求包的數量,arp響應包遠遠大于arp請求包的情況見下圖:
2.找出發送大量arp回應包的MAC地址
對arp協議包進行分析,發現MAC地址 00:0B:2F:00:AD:80大量發送arp響應包的情況,并且響應的內容是:00:0B:2F:00:AD:80 的 IP是192.168.1.254,如下圖所示:
3.確認對應MAC地址是否存在偽裝其他IP的情況
從其他非arp協議的通信看,192.168.1.254對應的MAC地址是:00:0E:A0:00:81:BB ,可以判斷00:0B:2F:00:AD:80 有偽裝成192.168.1.254的情況,如下圖所示:
4.確認問題MAC地址的真實IP
從其他非arp協議(netbIOS協議)的通信看,MAC地址:00:0B:2F:00:AD:80 使用的IP是192.168.1.22,判斷00:0B:2F:00:AD:80正在使用的IP就是192.168.1.22,如下圖所示:
5.分析結論
MAC地址:00:0B:2F:00:AD:80 使用的IP是192.168.1.22,偽裝成192.168.1.254
