ARP病毒在科来中的典型表现

pwolf

局域网中有机器中ARP病毒后，（ARP病毒，不是ARP欺骗阻断攻击），病毒实施分几步走，首先病毒会对局域网进行扫描，在软件中可以看到该机器在进行ARP扫描，随后会对扫描到的计算机发送请求包，表现为大量ARP请求风暴，如果只有这2条，不能确认就是ARP病毒，但可以考虑该MAC 地址的计算机可能有问题（MAC可能会被伪造），多数是有其他病毒或木马程序在做SHARE扫描，如果随后出现大量“太多ARP无请求应答”，基本可以确定是ARP病毒，随后在抓下的包中可以看到该MAC地址在伪造网关IP，而且根据前2条的MAC和IP的对应关系可以很容易的找到该MAC的IP地址。当然，监听的机器的一定要使用静态ARP缓存表。

监听的机器可以在任何位置，不一定要在HUB上 或者镜像端口上，病毒发送的大部分是广播包，在同一网段内很容易就能看到

对付ARP攻击其实也可以这样分析，只不过把失败响应换成IP冲突，一般来说，在做攻击前的扫描包的MAC地址对应的IP 都是真实的，可以在时间线上做对应分析找出攻击的真正的机器来。


这个是我工作中实际发现的情况，错误的地方请指正。

[ 本帖最后由 pwolf 于 2006-9-5 01:25 编辑 ]

artico

长见识。。。
确实是，如果只是扫描、发送些请求数据还不能知道是不是病毒，也许是人为的呢。如果是无请求应答，那就得留意，可能是伪造数据。。。

iMayday

leinin

没完没了扫描，即使不是病毒，也该干掉

天蓝

LZ的思路还是对的，科来网络分析系统 6.2 的技术交流版，有CMAC工具，可以先对网内的MAC地址先扫一遍，可以导出列表，这样做好记录，以备后面对照查看。

KelvinFu

对于分析ARP有时是可以不考虑软件部署的，但是有时如果不考虑部署的话，直接接入交换机的话，只能抓到本机的通讯和广播包，这广播包中应该有其他端口的ARP广播请求！有时会对分析起到干扰！

[ 本帖最后由 KelvinFu 于 2006-9-6 12:13 编辑 ]

yuwenguxin

.......................

czf1720

arp 病毒的确很烦人

40888899

确实是存在,我的网络就是直连交换机的,抓包时,只能显示出本地流量,而其他机器的看到的却少.

但ARP查询还是相当不错的,一抓一个准!这点是我最佩服科来分析系统的地方!

网络之大,无奇不有,还在于大家常看,多学,才可以掌握到网络的奥秘所在....

认真学习ing....

kaibiao

太好了,学习中..................

learning

看一下焉
look

rainy2004

学习了～～
不是有个AntiArpSniffer软件，那里似乎会直接提示受到ARP攻击，
请问那里查出来的准确率有多大啊，有没有人用过？

jie172

AntiArpSniffer 还行吧 我们学校早就提倡使用了 不过我没用

rainy2004

可是我好像用的时候开着照样给人攻击到上不了网，哈哈～～

hz123

痛恨ARP这个鬼东西啊

roxhaiy

原帖由 hz123 于 2007-5-2 00:06 发表
痛恨ARP这个鬼东西啊

ARP并没错，错的是人。

WFSYZF

我是一个菜鸟，我想问一下科来的用法，想知道具体的步骤！

SCAN

思路是对的,,,要有大量的ARP请求,才可以判定

笨鸟学的慢

大家好啊.我是一只小笨鸟,管理一个酒店400来台电脑如何绑定路游器,我不会,因为学的不是这方面的,希望各位大侠帮帮忙.

hudeg632

老大,是网关大量发的arp包请求怎么办？你能看一下这个吗？谢谢
http://www.csna.cn/forum.php?mod=viewthread&tid=4672

oar

嗯，arp病毒的防范确实需要费点体力活的，其中收集mac地址与电脑的对应是一个苦活

1386500

蓝色梦园

很好的经验分享，值得学习和借鉴！

lcylcyll

现在我们用的是天衣防火还不错的哦！！

abb0076

那确实.例如我们用科来进行的MAC-IP的扫描就可能出现那种ARP扫描,我觉得应该看那ARP请求风暴增加的量和速度.呵呵

seagoing

那要如何才能确定呢？
没有arp，但网络依旧很慢，会是什么原因呢