CSNA网络分析论坛»首页 流量分析产品区 科来产品 原创:对比“Sniffer Pro、EtherPeek、科来网络分析系统 ...
123下一页
返回列表 发帖
查看: 72168|回复: 89

原创:对比“Sniffer Pro、EtherPeek、科来网络分析系统”之ARP攻击分析!

[复制链接]
菜鸟人飞
发表于 2006-7-6 13:50:20 | 显示全部楼层 |阅读模式
关键字:Sniffer Pro   EtherPeek  科来网络分析系统 ARP攻击

我们知道,Sniffer Pro、EtherPeek、科来网络分析系统是当前最流行的三大网络分析软件,它们都通过捕获网络中传输的数据包,对网络进行分析并快速定位网络故障,从而帮助网络管理人员解决问题。
Sniffer Pro和EtherPeek相对科来网络分析系统而言,起步较早,支持的协议也更多,但它们都是国外的产品,在产品界面及技术支持方面都没有本地化服务,国内网络爱好者使用起来,有一定的难度。科来网络分析系统是国内企业自主研发的产品,界面及技术支持均是本地化服务,同时,产品的功能设计更针对国内用户的具体情况,更适用于国内网络。
ARP攻击是当前最常见的攻击之一,该攻击不要求攻击者具备高深的技术水平,且病毒也可能引起ARP攻击,所以在大中小型网络中,这种攻击都非常普遍。同时,我们知道,ARP攻击对网络的影响非常大,轻微时可以对数据通讯进行窃听,严重时将导致整个网络瘫痪。所以,快速定位排查ARP攻击,对保障网络的安全,具有非常重要的作用。
正巧,前两天有个客户说他的抓包时发现网络中有大量ARP数据包,猜测可能存在ARP攻击,并抓了一个数据包发给我。借此机会,我们就同时使用Sniffer Pro、EtherPeek、科来网络分析系统来查找该网络中的ARP攻击,。。。。。。

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有账号?CSNA会员注册

×
回复

使用道具 举报

菜鸟人飞
 楼主| 发表于 2006-7-6 13:53:09 | 显示全部楼层
全文如下:

对比“Sniffer Pro、EtherPeek、科来网络分析系统”之ARP攻击分析
我们知道,Sniffer Pro、EtherPeek、科来网络分析系统是当前最流行的三大网络分析软件,它们都通过捕获网络中传输的数据包,对网络进行分析并快速定位网络故障,从而帮助网络管理人员解决问题。
Sniffer Pro和EtherPeek相对科来网络分析系统而言,起步较早,支持的协议也更多,但它们都是国外的产品,在产品界面及技术支持方面都没有本地化服务,国内网络爱好者使用起来,有一定的难度。科来网络分析系统是国内企业自主研发的产品,界面及技术支持均是本地化服务,同时,产品的功能设计更针对国内用户的具体情况,更适用于国内网络。
ARP攻击是当前最常见的攻击之一,该攻击不要求攻击者具备高深的技术水平,且病毒也可能引起ARP攻击,所以在大中小型网络中,这种攻击都非常普遍。同时,我们知道,ARP攻击对网络的影响非常大,轻微时可以对数据通讯进行窃听,严重时将导致整个网络瘫痪。所以,快速定位排查ARP攻击,对保障网络的安全,具有非常重要的作用。
正巧,前两天有个客户说他的抓包时发现网络中有大量ARP数据包,猜测可能存在ARP攻击,并抓了一个数据包发给我。借此机会,我们就同时使用Sniffer Pro、EtherPeek、科来网络分析系统来查找该网络中的ARP攻击,并对比这三大网络分析软件的ARP分析功能。
在三个软件中分别打开该数据包,发现其数据包如图1,2,3所示。
三个软件的数据包列表中,都列出了3991个数据包,且从图中可知,这些数据包都是ARP数据包。
从图1即Sniffer Pro的数据包窗口中,可以看到全是ARP请求数据包,且这些数据包全是由00:0F:FE:01:22:7C主机发起。
从图2即EtherPeek的数据包窗口中,看到数据包也全是ARP请求数据包,也可以看到数据包全是由00:0F:FE:01:22:7C发起。
从图3即科来网络分析系统的数据包窗口中,看到数据包也全是ARP请求数据包,也可以看到数据包全是由00:0F:FE:01:22:7C发起。


(图1 Sniffer Pro的数据包窗口)


(图2 EtherPeek的数据包窗口)


(图3 科来网络分析系统的数据包窗口)

根据这一项,我们可以看到,00:0F:FE:01:22:7C主机在大量发送ARP请求数据包,但这些数据包是否正常我们却不可知,因为主机在正常通讯时都会发送ARP数据包的。所以,下面我们查看这三个软件的专家智能诊断功能,即从软件中是否可以直接看出这些ARP请求数据包是否正常。

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有账号?CSNA会员注册

×
回复

使用道具 举报

菜鸟人飞
 楼主| 发表于 2006-7-6 13:55:11 | 显示全部楼层
根据上面的情况,我们可以看出,这三个软件在捕获ARP攻击数据包方面,表现的不相上下。
下面我们查看这三个软件的专家智能诊断,其结果分别如图4,5,6。
图4是Sniffer Pro的专家诊断窗口,指出网络中存在广播/组播风暴。
图5是EtherPeek的专家诊断窗口,指出网络中存在以太网广播风暴,且能根据源MAC快速定位到故障主机。
图6是科来网络分析系统的专家诊断窗口,指出网络中存在ARP请求风暴和ARP太多无请求应答,即ARP欺骗,并根据源MAC快速定位到攻击主机。


(图4 Sniffer Pro的专家诊断窗口)



(图5 EtherPeek的专家诊断窗口)



(图6 科来网络分析系统的专家诊断窗口)

根据上面的分析我们可知,在Sniffer Pro和EtherPeek中,虽然指明了有广播风暴,但没有具体指明广播风暴的类型,这样让用户很难确切找到故障的原因。而在科来网络分析系统中,直接定出了ARP请求风暴(ARP扫描)和ARP太多无请求应答(ARP欺骗),且定位出了ARP扫描和ARP欺骗的源主机(MAC地址),根据这个结果,我们即可明确知道网络中的存在ARP攻击,且能快速定位并排查该故障。
试用后的综合评定:
在ARP攻击分析方面,科来网络分析系统领先一步,而Sniffer Pro和EtherPeek还有待提高。

CSNA网络分析论坛
菜鸟人飞
2006-7-6

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有账号?CSNA会员注册

×
回复

使用道具 举报

土豆
发表于 2006-7-6 17:16:37 | 显示全部楼层
现在网吧中ARP攻击很多的啊,下载下来好好学习学习。。。
回复

使用道具 举报

jiesen
发表于 2006-7-6 20:22:50 | 显示全部楼层
ARP请求风暴(指ARP扫描)
ARP太多无请求应答(指ARP欺骗),其它类似的各种这种条目的解释都有整理出来的吗?
回复

使用道具 举报

快乐3幸福4
发表于 2006-7-7 09:23:03 | 显示全部楼层
看起来,科来的界面及使用更简单哦。
顺便问一下,有些情况下,抓到的包中也有这种情况,但是源却是网关,是怎么回事呢?
网关是一台三层设备,会发这种数据包吗?
回复

使用道具 举报

菜鸟人飞
 楼主| 发表于 2006-7-7 10:24:03 | 显示全部楼层
在科来的目前版本中,ARP的诊断项目有以下三条,如下图

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有账号?CSNA会员注册

×
回复

使用道具 举报

cwym29
发表于 2006-7-10 09:33:34 | 显示全部楼层
ARP攻击,太多了,让人烦。
能不能大家一起来总结出查找ARP攻击的通用方法呢?
回复

使用道具 举报

jingshne
发表于 2006-7-10 12:50:21 | 显示全部楼层
国产软件思维上确实更合国人的口味,而且比较容易跟据国内的一些情况对软件进行设计~~
这点不可不谓是国产软件的优势!
回复

使用道具 举报

jingshne
发表于 2006-7-10 12:51:59 | 显示全部楼层
原帖由 快乐3幸福4 于 2006-7-7 09:23 发表
看起来,科来的界面及使用更简单哦。
顺便问一下,有些情况下,抓到的包中也有这种情况,但是源却是网关,是怎么回事呢?
网关是一台三层设备,会发这种数据包吗?


网关发这样的ARP请求包多半都是正常的~
回复

使用道具 举报

jingshne
发表于 2006-7-10 12:55:00 | 显示全部楼层
原帖由 cwym29 于 2006-7-10 09:33 发表
ARP攻击,太多了,让人烦。
能不能大家一起来总结出查找ARP攻击的通用方法呢?


二个方法比较有效:

1,通过可网管交换机去查看源MAC的对应端口,无论它是真的还是假的源MAC都可以找出来.
2,通过发现ARP扫描和处在混杂模式下的网卡来发现这种攻击.但这种方法会有不准确的因素存在.

评分

1

查看全部评分

回复

使用道具 举报

土豆
发表于 2006-7-10 13:35:29 | 显示全部楼层
原帖由 jingshne 于 2006-7-10 12:55 发表


二个方法比较有效:

1,通过可网管交换机去查看源MAC的对应端口,无论它是真的还是假的源MAC都可以找出来.
2,通过发现ARP扫描和处在混杂模式下的网卡来发现这种攻击.但这种方法会有不准确的因素存在.

1.如果是伪造的MAC,也能这样查吗?但这样工作量挺大吧,需要接触到最底层交换机,不然找不到具体是哪一个主机在作怪?另外,在现实网络中,大多数的最底层交换机都是二层的,不好看到吧?
2.不准确因素体现在哪些方面?急迫地想知道答案,谢谢!
回复

使用道具 举报

jingshne
发表于 2006-7-10 14:28:03 | 显示全部楼层
1,伪造MAC通过交换机后也同样会被交换机记录下来,以构建自己的MAC地址表.如果网络大,这个工作量确实挺大的.二层交换机跟可网管交换机是两个概念,俺 想你的意思是:大多数低层交换机都是非网管交换机,不好看吧?是的,非网管交换机这招就不灵了.然而,可网管交换机不仅可以看,而且有的还有比较有效的方法解决这个问题.

2,这个方法仅是对这种攻击的常态来进行发现的,所以存在不准确,比如,进行ARP攻击也不定非得先扫描,就算有ARP扫描,也不一定它就是在想进行ARP攻击,而且,进行ARP攻击也不一定非得进入混杂模式.
回复

使用道具 举报

zszhw
发表于 2006-8-6 00:11:49 | 显示全部楼层
http://down1.sz1001.net/up/小型软件2_0810/capsa.rar
回复

使用道具 举报

sundyuan
发表于 2006-8-6 00:32:29 | 显示全部楼层
ARP攻击太多了,现在又学一招
回复

使用道具 举报

keping
发表于 2006-8-18 13:45:19 | 显示全部楼层
学习,学习,再学习!
回复

使用道具 举报

lintoy
发表于 2006-8-18 14:20:43 | 显示全部楼层
看看,学习一下,有什么不同..
回复

使用道具 举报

fadu
发表于 2006-8-25 19:09:43 | 显示全部楼层
科来不错 支持下 希望继续努力 赶超国外的软件
回复

使用道具 举报

wwwang
发表于 2006-8-26 11:47:28 | 显示全部楼层
科来系统好,国人的骄傲!
回复

使用道具 举报

kevinmigang
发表于 2006-8-26 13:11:59 | 显示全部楼层
感谢...收藏先..努力学习
回复

使用道具 举报

tianbox
发表于 2006-9-15 02:54:38 | 显示全部楼层
看看,学习一下,有什么不同..
回复

使用道具 举报

caidaowang
发表于 2006-9-15 10:38:29 | 显示全部楼层

这个真好用

科来,我一直在用,就是不知道价格多少,一直用的是演示版本的
回复

使用道具 举报

lyabull
发表于 2006-9-15 10:56:48 | 显示全部楼层
有没有免费的可以用用.
回复

使用道具 举报

wwwang
发表于 2006-9-15 11:29:09 | 显示全部楼层
有技术交流版下载啊!免费的哦!
回复

使用道具 举报

Exipt
发表于 2006-9-18 00:16:12 | 显示全部楼层
very good 着下方便了```
回复

使用道具 举报

aszz0718419
发表于 2006-9-19 01:29:04 | 显示全部楼层
谢谢!顺便支持一下!
回复

使用道具 举报

gezi1234
发表于 2006-9-22 13:25:35 | 显示全部楼层
感谢楼主,收藏学习中……
回复

使用道具 举报

jzyfshwan
发表于 2006-10-29 11:34:59 | 显示全部楼层

我是新来的,有一个问题请教一下225.16.16.17 是一个什么样的广播,主要的作用是什么

我是新来的,有一个问题请教一下225.16.16.17 是一个什么样的广播,主要的作用是什么
回复

使用道具 举报

1311
发表于 2006-12-2 10:49:13 | 显示全部楼层
国情不一样,应用上也一定是国产的好!科来只管简洁!最主要是CHINES 哈哈
回复

使用道具 举报

llscuta
发表于 2006-12-4 17:15:23 | 显示全部楼层
不错,我们公司也天天遇到如此事件,不过我都是去查看交换机日志。然后对一下计算机MAC地址就知道了。

其实可以MAC地址绑定,不过偶尔也得让网络有点事情嘛。嘿嘿。
回复

使用道具 举报

下一页 »
123下一页
返回列表 发帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | CSNA会员注册

本版积分规则

快速回复 返回顶部 返回列表