原创：对比“Sniffer Pro、EtherPeek、科来网络分析系统”之ARP攻击分析！

菜鸟人飞 · 发表于 2006-7-6 13:50:20

关键字：Sniffer Pro EtherPeek 科来网络分析系统　ARP攻击

我们知道，Sniffer Pro、EtherPeek、科来网络分析系统是当前最流行的三大网络分析软件，它们都通过捕获网络中传输的数据包，对网络进行分析并快速定位网络故障，从而帮助网络管理人员解决问题。
Sniffer Pro和EtherPeek相对科来网络分析系统而言，起步较早，支持的协议也更多，但它们都是国外的产品，在产品界面及技术支持方面都没有本地化服务，国内网络爱好者使用起来，有一定的难度。科来网络分析系统是国内企业自主研发的产品，界面及技术支持均是本地化服务，同时，产品的功能设计更针对国内用户的具体情况，更适用于国内网络。
ARP攻击是当前最常见的攻击之一，该攻击不要求攻击者具备高深的技术水平，且病毒也可能引起ARP攻击，所以在大中小型网络中，这种攻击都非常普遍。同时，我们知道，ARP攻击对网络的影响非常大，轻微时可以对数据通讯进行窃听，严重时将导致整个网络瘫痪。所以，快速定位排查ARP攻击，对保障网络的安全，具有非常重要的作用。
正巧，前两天有个客户说他的抓包时发现网络中有大量ARP数据包，猜测可能存在ARP攻击，并抓了一个数据包发给我。借此机会，我们就同时使用Sniffer Pro、EtherPeek、科来网络分析系统来查找该网络中的ARP攻击，。。。。。。

菜鸟人飞 · 发表于 2006-7-6 13:53:09

全文如下：

对比“Sniffer Pro、EtherPeek、科来网络分析系统”之ARP攻击分析
我们知道，Sniffer Pro、EtherPeek、科来网络分析系统是当前最流行的三大网络分析软件，它们都通过捕获网络中传输的数据包，对网络进行分析并快速定位网络故障，从而帮助网络管理人员解决问题。
Sniffer Pro和EtherPeek相对科来网络分析系统而言，起步较早，支持的协议也更多，但它们都是国外的产品，在产品界面及技术支持方面都没有本地化服务，国内网络爱好者使用起来，有一定的难度。科来网络分析系统是国内企业自主研发的产品，界面及技术支持均是本地化服务，同时，产品的功能设计更针对国内用户的具体情况，更适用于国内网络。
ARP攻击是当前最常见的攻击之一，该攻击不要求攻击者具备高深的技术水平，且病毒也可能引起ARP攻击，所以在大中小型网络中，这种攻击都非常普遍。同时，我们知道，ARP攻击对网络的影响非常大，轻微时可以对数据通讯进行窃听，严重时将导致整个网络瘫痪。所以，快速定位排查ARP攻击，对保障网络的安全，具有非常重要的作用。
正巧，前两天有个客户说他的抓包时发现网络中有大量ARP数据包，猜测可能存在ARP攻击，并抓了一个数据包发给我。借此机会，我们就同时使用Sniffer Pro、EtherPeek、科来网络分析系统来查找该网络中的ARP攻击，并对比这三大网络分析软件的ARP分析功能。
在三个软件中分别打开该数据包，发现其数据包如图1，2，3所示。
三个软件的数据包列表中，都列出了3991个数据包，且从图中可知，这些数据包都是ARP数据包。
从图1即Sniffer Pro的数据包窗口中，可以看到全是ARP请求数据包，且这些数据包全是由00:0F:FE:01:22:7C主机发起。
从图2即EtherPeek的数据包窗口中，看到数据包也全是ARP请求数据包，也可以看到数据包全是由00:0F:FE:01:22:7C发起。
从图3即科来网络分析系统的数据包窗口中，看到数据包也全是ARP请求数据包，也可以看到数据包全是由00:0F:FE:01:22:7C发起。

（图1　Sniffer Pro的数据包窗口）

（图2　EtherPeek的数据包窗口）
科来-packets.gif

（图3　科来网络分析系统的数据包窗口）

根据这一项，我们可以看到，00:0F:FE:01:22:7C主机在大量发送ARP请求数据包，但这些数据包是否正常我们却不可知，因为主机在正常通讯时都会发送ARP数据包的。所以，下面我们查看这三个软件的专家智能诊断功能，即从软件中是否可以直接看出这些ARP请求数据包是否正常。

菜鸟人飞 · 发表于 2006-7-6 13:55:11

根据上面的情况，我们可以看出，这三个软件在捕获ARP攻击数据包方面，表现的不相上下。
下面我们查看这三个软件的专家智能诊断，其结果分别如图4，5，6。
图4是Sniffer Pro的专家诊断窗口，指出网络中存在广播/组播风暴。
图5是EtherPeek的专家诊断窗口，指出网络中存在以太网广播风暴，且能根据源MAC快速定位到故障主机。
图6是科来网络分析系统的专家诊断窗口，指出网络中存在ARP请求风暴和ARP太多无请求应答，即ARP欺骗，并根据源MAC快速定位到攻击主机。

（图4　Sniffer Pro的专家诊断窗口）

（图5　EtherPeek的专家诊断窗口）

科来-expert.gif

（图6　科来网络分析系统的专家诊断窗口）

根据上面的分析我们可知，在Sniffer Pro和EtherPeek中，虽然指明了有广播风暴，但没有具体指明广播风暴的类型，这样让用户很难确切找到故障的原因。而在科来网络分析系统中，直接定出了ARP请求风暴（ARP扫描）和ARP太多无请求应答（ARP欺骗），且定位出了ARP扫描和ARP欺骗的源主机（MAC地址），根据这个结果，我们即可明确知道网络中的存在ARP攻击，且能快速定位并排查该故障。
试用后的综合评定：
在ARP攻击分析方面，科来网络分析系统领先一步，而Sniffer Pro和EtherPeek还有待提高。

CSNA网络分析论坛
菜鸟人飞
2006-7-6

土豆 · 发表于 2006-7-6 17:16:37

现在网吧中ARP攻击很多的啊，下载下来好好学习学习。。。

jiesen · 发表于 2006-7-6 20:22:50

ARP请求风暴（指ARP扫描）
ARP太多无请求应答（指ARP欺骗），其它类似的各种这种条目的解释都有整理出来的吗？

快乐3幸福4 · 发表于 2006-7-7 09:23:03

看起来，科来的界面及使用更简单哦。
顺便问一下，有些情况下，抓到的包中也有这种情况，但是源却是网关，是怎么回事呢？
网关是一台三层设备，会发这种数据包吗？

菜鸟人飞 · 发表于 2006-7-7 10:24:03

在科来的目前版本中，ARP的诊断项目有以下三条，如下图

cwym29 · 发表于 2006-7-10 09:33:34

ARP攻击，太多了，让人烦。
能不能大家一起来总结出查找ARP攻击的通用方法呢？

jingshne · 发表于 2006-7-10 12:50:21

国产软件思维上确实更合国人的口味,而且比较容易跟据国内的一些情况对软件进行设计~~
这点不可不谓是国产软件的优势!

jingshne · 发表于 2006-7-10 12:51:59

原帖由 快乐3幸福4 于 2006-7-7 09:23 发表
看起来，科来的界面及使用更简单哦。
顺便问一下，有些情况下，抓到的包中也有这种情况，但是源却是网关，是怎么回事呢？
网关是一台三层设备，会发这种数据包吗？

网关发这样的ARP请求包多半都是正常的~

jingshne · 发表于 2006-7-10 12:55:00

原帖由 cwym29 于 2006-7-10 09:33 发表
ARP攻击，太多了，让人烦。
能不能大家一起来总结出查找ARP攻击的通用方法呢？

二个方法比较有效:

1,通过可网管交换机去查看源MAC的对应端口,无论它是真的还是假的源MAC都可以找出来.
2,通过发现ARP扫描和处在混杂模式下的网卡来发现这种攻击.但这种方法会有不准确的因素存在.

土豆 · 发表于 2006-7-10 13:35:29

原帖由 jingshne 于 2006-7-10 12:55 发表

二个方法比较有效:

1,通过可网管交换机去查看源MAC的对应端口,无论它是真的还是假的源MAC都可以找出来.
2,通过发现ARP扫描和处在混杂模式下的网卡来发现这种攻击.但这种方法会有不准确的因素存在.

1.如果是伪造的MAC，也能这样查吗？但这样工作量挺大吧，需要接触到最底层交换机，不然找不到具体是哪一个主机在作怪？另外，在现实网络中，大多数的最底层交换机都是二层的，不好看到吧？
2.不准确因素体现在哪些方面？急迫地想知道答案，谢谢！

jingshne · 发表于 2006-7-10 14:28:03

1,伪造MAC通过交换机后也同样会被交换机记录下来,以构建自己的MAC地址表.如果网络大,这个工作量确实挺大的.二层交换机跟可网管交换机是两个概念,俺想你的意思是:大多数低层交换机都是非网管交换机,不好看吧?是的,非网管交换机这招就不灵了.然而,可网管交换机不仅可以看,而且有的还有比较有效的方法解决这个问题.

2,这个方法仅是对这种攻击的常态来进行发现的,所以存在不准确,比如,进行ARP攻击也不定非得先扫描,就算有ARP扫描,也不一定它就是在想进行ARP攻击,而且,进行ARP攻击也不一定非得进入混杂模式.

zszhw · 发表于 2006-8-6 00:11:49

http://down1.sz1001.net/up/小型软件2_0810/capsa.rar

sundyuan · 发表于 2006-8-6 00:32:29

ARP攻击太多了，现在又学一招

keping · 发表于 2006-8-18 13:45:19

学习，学习，再学习！

lintoy · 发表于 2006-8-18 14:20:43

看看,学习一下,有什么不同..

fadu · 发表于 2006-8-25 19:09:43

科来不错支持下希望继续努力赶超国外的软件

wwwang · 发表于 2006-8-26 11:47:28

科来系统好,国人的骄傲!

kevinmigang · 发表于 2006-8-26 13:11:59

感谢...收藏先..努力学习

tianbox · 发表于 2006-9-15 02:54:38

看看,学习一下,有什么不同..

caidaowang · 发表于 2006-9-15 10:38:29

科来，我一直在用，就是不知道价格多少，一直用的是演示版本的

lyabull · 发表于 2006-9-15 10:56:48

有没有免费的可以用用.

wwwang · 发表于 2006-9-15 11:29:09

有技术交流版下载啊!免费的哦！

Exipt · 发表于 2006-9-18 00:16:12

very good 着下方便了```

aszz0718419 · 发表于 2006-9-19 01:29:04

谢谢！顺便支持一下！

gezi1234 · 发表于 2006-9-22 13:25:35

感谢楼主，收藏学习中……

jzyfshwan · 发表于 2006-10-29 11:34:59

我是新来的，有一个问题请教一下225.16.16.17 是一个什么样的广播，主要的作用是什么

1311 · 发表于 2006-12-2 10:49:13

国情不一样，应用上也一定是国产的好！科来只管简洁！最主要是CHINES 哈哈

llscuta · 发表于 2006-12-4 17:15:23

不错，我们公司也天天遇到如此事件，不过我都是去查看交换机日志。然后对一下计算机MAC地址就知道了。

其实可以MAC地址绑定，不过偶尔也得让网络有点事情嘛。嘿嘿。

原创：对比“Sniffer Pro、EtherPeek、科来网络分析系统”之ARP攻击分析！

评分

这个真好用

我是新来的，有一个问题请教一下225.16.16.17 是一个什么样的广播，主要的作用是什么

浏览过的版块