使用SnifferPro监控ARP欺骗.docVIP

使用Sniffer Pro监控ARP欺骗 (1) 2007-10-28 15:47:17??作者： HYPERLINK /member/member.php?username=lsmx ??来源： HYPERLINK /special/2007/1028/article_3827.html \l # \t _blank 互联网??浏览次数：19??文字大小：【 HYPERLINK javascript:fontZoom(16) 大】【 HYPERLINK javascript:fontZoom(14) 中】【 HYPERLINK javascript:fontZoom(12) 小】 简介：一、使用sniffer pro监控ARP 实际上，使用sniffer pro程序的监控功能可以更方便、更为迅速的帮助我们定位问题。步骤一：首先，我们在已经做了端口镜像的机器上启动snffer pro程序。选择菜单栏中Monitor→De ... 关键字： HYPERLINK /special/search.php?searchtype=keywordskeywords=sniffersearch=1 \t _blank sniffer HYPERLINK /special/search.php?searchtype=keywordskeywords=prosearch=1 \t _blank pro HYPERLINK /special/search.php?searchtype=keywordskeywords=arpsearch=1 \t _blank arp HYPERLINK /special/search.php?searchtype=keywordskeywords=%C6%DB%C6%ADsearch=1 \t _blank 欺骗 一、使用sniffer pro监控ARP 实际上，使用sniffer pro程序的监控功能可以更方便、更为迅速的帮助我们定位问题。 步骤一：首先，我们在已经做了端口镜像的机器上启动snffer pro程序。选择菜单栏中Monitor→Define Filter 来定义我们需要的过滤器。在弹出的define Filter对话框中选择Profiles→New 来新建一个过滤器，我们这里取名为ARP。 图1（点击查看大图） 步骤二：点击Advanced高级标签，我们这里选中ARP协议。单击OK后完成过滤器的新建。 图2（点击查看大图） 步骤三：系统默认过滤器为Default，我们来选择刚才新建过滤器ARP。首先，选择Monitor→Select Filter。 图3（点击查看大图） 步骤四：在弹出的对话框中点击ARP。在这里要注意的是：一定要把Apply monitor勾选。点击确定后，过滤器定义和选择工作准备完毕。 图4（点击查看大图） ?步骤五：鼠标点击工具栏中Host Table按钮（联网图标），在弹出的子窗口中选择Detail工具（放大镜图标）。注意观察本图同之前程序使用默认Default Filter过滤器的不同之处。现在，按照我们的定义，监视器内Protocol(协议类型)仅包括IP_ARP.这对于我们查找问题，层次上更加分明。这里需要注意的是： ①这里的Address（地址）以IP或者机器名的形式显示，如果显示MAC，请先使用Tools→Address book进行扫描，IP-MAC的显示转换后，将有利于我们快速定位节点。②网内终端中所有ARP广播包的和，合计后等于Broadcast数据包（广播包）。 图5（点击查看大图） ? 步骤六：我们先来观察，在正常网络状况下，ARP协议的TOP流量分布图，这将方便我们的区分、判断。鼠标点击左边工具栏中的Bar（柱形图标），我们知道Bar会将目前数据包流量排行前10位，通过动态柱型图的方式显示出来。同上图的Detail（详细显示方式）一样，只不过Bar在界面上对于观察者来讲更为直观。需要注意的是： ①Broadcast（网内所有节点的广播）占TOP排行第一位。②其它节点依次排开。但是，流量差距不大。 图6（点击查看大图） ?步骤七：我们再来观察，网内存在ARP欺骗情况时流量排行图。请仔细对比上述两图。 我们会发现问题的所在：①TOP1 节点219.238.*.111占据网内最大ARP流量。②TOP2中的流量急速增大且与TOP3差距悬殊。③我们知道，在网络常的情况下，不同节点的ARP流量会有差距，但应该相差不大。同时我们对比在网络正常情况下ARP流量TOP图，并以它做为基准，问题就显而易见了。④这里需要解释的是，Broadcast在下图中排行第二，为什么呢？因为Broadcast是网内广播总计，但ARP分为请求（广播）、和回应（