网络嗅探 使用Sniffer Pro监控ARP协议欺骗

转载 2012年03月28日 20:36:03

多试试:多试试-计算机技术与软件


http://security.ctocio.com.cn/tips/291/8141291.shtml

介绍如何使用sniffer pro来监控ARP欺骗行为。文中会介绍一些更为简便和直接的snffer程序,它们都属于snffer程序的一种,只是在功能上更有针对性。

  banker将向网友介绍如何使用sniffer pro来监控ARP欺骗行为。文中会介绍一些更为简便和直接的snffer程序,它们都属于snffer程序的一种,只是在功能上更有针对性。

  一、使用sniffer pro监控ARP

  实际上,使用sniffer pro程序的监控功能可以更方便、更为迅速的帮助我们定位问题。

  步骤一:首先,我们在已经做了端口镜像的机器上启动snffer pro程序。选择菜单栏中Monitor→Define Filter 来定义我们需要的过滤器。在弹出的define Filter对话框中选择Profiles→New 来新建一个过滤器,我们这里取名为ARP。

  

  图1

  步骤二:点击Advanced高级标签,我们这里选中ARP协议。单击OK后完成过滤器的新建。

  

  图2

步骤三:系统默认过滤器为Default,我们来选择刚才新建过滤器ARP。首先,选择Monitor→Select Filter。

  

  图3

  步骤四:在弹出的对话框中点击ARP。在这里要注意的是:一定要把Apply monitor勾选。点击确定后,过滤器定义和选择工作准备完毕。

  

  图4

步骤五:鼠标点击工具栏中Host Table按钮(联网图标),在弹出的子窗口中选择Detail工具(放大镜图标)。注意观察本图同之前程序使用默认Default Filter过滤器的不同之处。现在,按照我们的定义,监视器内Protocol(协议类型)仅包括IP_ARP.这对于我们查找问题,层次上更加分明。这里需要注意的是:

  ①这里的Address(地址)以IP或者机器名的形式显示,如果显示MAC,请先使用Tools→Address book进行扫描,IP-MAC的显示转换后,将有利于我们快速定位节点。

  ②网内终端中所有ARP广播包的和,合计后等于Broadcast数据包(广播包)。

  

  图5

  步骤六:我们先来观察,在正常网络状况下,ARP协议的TOP流量分布图,这将方便我们的区分、判断。鼠标点击左边工具栏中的Bar(柱形图标),我们知道Bar会将目前数据包流量排行前10位,通过动态柱型图的方式显示出来。同上图的Detail(详细显示方式)一样,只不过Bar在界面上对于观察者来讲更为直观。需要注意的是:

  ①Broadcast(网内所有节点的广播)占TOP排行第一位。

  ②其它节点依次排开。但是,流量差距不大。

  

  图6

步骤七:我们再来观察,网内存在ARP欺骗情况时流量排行图。请仔细对比上述两图。

  我们会发现问题的所在:

  ①TOP1 节点219.238.*.111占据网内最大ARP流量。

  ②TOP2中的流量急速增大且与TOP3差距悬殊。

  ③我们知道,在网络常的情况下,不同节点的ARP流量会有差距,但应该相差不大。同时我们对比在网络正常情况下ARP流量TOP图,并以它做为基准,问题就显而易见了。

  ④这里需要解释的是,Broadcast在下图中排行第二,为什么呢?因为Broadcast是网内广播总计,但ARP分为请求(广播)、和回应(单播)两种,当219.238.*.111的回应(也就是单播数量)大于ARP请求(广播的数量)将可能出现ARP总流量大于Broadcast的情况,这也印证我们在开场所说的:当节点出现ARP欺骗时,它会向网内ARP reply。

  

  图7

  步骤八:再来看看节点219.238.*.111的traffic map (通信图),几乎与网内所有节点都有ARP通信。同时与节点wangguan(网关)通信数据量最大。至于它为什么最大?在文章开始介绍ARP时提过,这里不在赘述。

  

  图8

通过专用sniffer程序监视异常ARP

  除了NAI Sniffer pro 以外,网络上还提供有很多专用的ARP监视工具,这些工具也是sniffer的一种,只是在功能上更有针对性,大多数界面也很简单、友好。

  这里我们简单介绍由国内欣全向公司开发,颇为流行的免费ARP检测工具:“欣向巡路之ARP工具1.1Beta” ,大家可以从http://www.nuqx.com/downcenter.asp直接下载。

  和很多数据包捕获工具一样,在程序安装运行前,需要提前安装WinPcap驱动。

  使用方法:

  步骤一:使用方法很简单。首先选择网卡,程序会根据网卡扫描出相应网段IP-MAC清单。

  但需要注意,IP-MAC清单的扫描务必在网络内正常的情况下。

  步骤二:添加ARP检测范围,一般将网关或者路由的IP填入即可。

  步骤三:启动 ARP检测。这个时候,如果网络内出现ARP欺骗,程序则会报警,并用红色字体在“ARP欺骗纪录”上标注。如下图所示:

  

  图9

  步骤四:如果发现ARP欺骗纪录后,应该如何处理,防止断线呢?这个时候可以使用软件中“主动维护”功能来修复网络。这个功能的含义是:定义好网关正确IP-MAC,在网内以一定频率广播,来修复网络。

注意:使用了本功能后,网内被欺骗的机器,受正确ARP广播的影响,ARP缓存表暂时恢复正常,请尽快处理出现故障机器。

  

  图10

  总结:

  在网络出现故障时,有经验的网络管理员通常都能够迅速发现故障并加以排除,这是基于网络管理员自身技能素养、对环境的了解、和经验。但是在网络日益发展的今天,网络应用、规模、手段都在急速膨胀,仅仅依靠对环境的了解和经验显然是不够的。因此,使用sniffer pro程序来处理ARP,本文不矢为一种快速有效的手段。由于本文不涉及sniffer的高级应用,如抓取数据包分析ARP问题等,所以比较适合初级用户阅读参考。



移步至个人小站:www.very321.com





真正的小榕arpsniffer

  • 2010年06月21日 15:46
  • 713KB
  • 下载

一个简单的抓ARP包程序分析

########################################################################## 2014-02-10 参考网上找到的实例编译一个简...
  • u011214306
  • u011214306
  • 2014年02月11日 17:52
  • 1176

ARPSniffer局域网嗅探器 完整版

  • 2017年12月01日 22:07
  • 124KB
  • 下载

ARP数据包讲解

一. 关于ARP协议的基础知识 1.ARP的工作原理 我们都知道以太网设备比如网卡都有自己全球唯一的MAC地址,它们是以MAC地址来传输以太网数...
  • commandow
  • commandow
  • 2010年08月31日 10:43
  • 15132

网络嗅探教程:使用Sniffer Pro监控网络流量 2

步骤二:Sniffer Pro 安装、启动、配置Sniffer Pro 安装过程与其它应用软件没有什么太大的区别,在安装过程中需要注意的是:①Sniffer Pro 安装大约占用70M左右的硬盘空间。...
  • hlzhs
  • hlzhs
  • 2007年11月04日 12:56
  • 1038

如何用ARP欺骗来嗅探主机流量

发现这个是第四节的,囧,改改名字~ ARP攻击,其实原理非常简单。 根据局域网内地址寻址的弱点,我们伪造一个错误地址映射的ARP包,就可以诱导被攻击者将数据包先发送给攻击者,攻击者再转发出去,发给被...
  • liujiayu2
  • liujiayu2
  • 2015年01月25日 20:45
  • 1171

基于ARP的监听

.             关于ARP协议的基础知识 1.ARP的工作原理             我们都知道以太网设备比如网卡都有自己全球唯一的MAC地址,它们是以MAC地址来传输以太网数据...
  • xduan23
  • xduan23
  • 2015年08月11日 20:23
  • 228

基于ARP的网络嗅探器

  • 2015年04月05日 13:47
  • 546KB
  • 下载

ARP欺骗,嗅探,DNS欺骗,Session劫持

ARP欺骗使用工具ettercapvim /etc/NetworkManager/NetworkManager.conf #修改配置将manager改为true service network-ma...
  • sinat_25449961
  • sinat_25449961
  • 2016年08月17日 09:18
  • 1306

嗅探,arp欺骗,会话劫持与重放攻击

http://blog.chinaunix.net/uid-26349264-id-3251986.html 前言   嗅探,arp欺骗,会话劫持与重放攻击之间的关系可谓相辅相成,这次针对...
  • wjy397
  • wjy397
  • 2015年12月03日 16:08
  • 1385
内容举报
返回顶部
收藏助手
不良信息举报
您举报文章:网络嗅探 使用Sniffer Pro监控ARP协议欺骗
举报原因:
原因补充:

(最多只允许输入30个字)