ARP病毒分析.docVIP

ARP病毒分析 摘要: ARP病毒是一种进行ARP欺骗的网络攻击，通过ARP欺骗以达到截获他人通信数据的目的，一般分为对网关和网络中的主机进行ARP欺骗。 ?? ? 内容: ARP欺骗的原理： 正常情况下，网关和各主机PC都能缓存正确的IP-MAC对应表，PC和网关之间都能正常通信，如下图： 如果PC_C感染ARP病毒后，会对整个网段进行MAC地址欺骗，使PC_A和PC_B中网关的MAC地址变为PC_C的MAC地址，同时网关中 PC_A的IP地址对应MAC地址也变为PC_C的MAC地址，这样主机PC_A向网关发送的数据会发送到PC_C上，而网关也将本来发送给PC_A的数 据发送到PC_C上，这样PC_C能够得到网段中所有的流量信息。如下图： ARP病毒通过MAC地址欺骗能够获取其他主机通信的数据信息，影响数据传输安全，同时也会造成整个网段内的主机无法访问外网。 ARP病毒流量分析： 分析哪些主机感染了ARP病毒，可以通过流量分析工具对主机是否大量发送ARP请求以及伪造大量的ARP回应来定位，同时可以通过分析网络中捕获的 向外网发送数据包的MAC是否是本网段网关的MAC地址相同来确认是否存在ARP病毒以及感染ARP病毒主机的MAC地址，具体分析可参考以下的说明： 1、捕获大量发送ARP请求报文：源地址都是一样，目的地址是广播地址，且查询的是整个网段IP地址的MAC地址； 2、捕获大量ARP回应报文：回应报文中存在大量的同一个IP和MAC地址 3、在网关上查看IP-MAC对应表，是否存在有多个IP对应一个MAC的情况，如果存在则说明内网中可能存在ARP欺骗，此时从网关上ping这几个IP地址，如果能ping通ip，则该ip地址即可定位为发起ARP欺骗的PC。 4、在PC上执行ping 网关IP操作，同时执行arp -d（删除IP-MAC缓存），看通信是否会时断时续，如果存在则说明存在ARP欺骗，且ping不通的时候学习到的网关MAC地址为发起ARP欺骗的PC。