如何查找网吧中，ARP的攻击或扫描的机器？

天蓝 · 发表于 2006-5-11 15:54:48

最近很多网吧朋友都遇到人为的ARP攻击或扫描，导致大量的机器不能上网或中断，如何来查找这些攻击的主机？

[ 本帖最后由菜鸟人飞于 2006-5-11 16:23 编辑 ]

菜青虫 · 发表于 2006-5-11 16:19:08

现在一些比较好的网络分析软件都有专家诊断功能啊

Sniffer pro Etherpeek,这些都有专家诊断功能，最简单的方法就看这个了，

我用过科来的演示版本，专家诊断也不错啊，直接就能看出ARP攻击扫描的

如果要准确一点的话，就从真正的分析入手了。

菜鸟人飞 · 发表于 2006-5-11 17:09:39

当前的ARP攻击，大多是ARP扫描和ARP欺骗。
ARP扫描会大量增加网络中的ARP广播数据包，大大耗费网络资源。
ARP欺骗则会使网络中其它主机的通讯内容被窃听。

查找ARP攻击的方法不难，直接使用网络分析软件抓包即可，如楼上兄弟所言，当前比较典型的网络分析软件有Sniffer Pro、Etherpeek/Omnipeek、科来网络分析系统。
这些网络分析软件可以捕获网络中传输的所有数据包，当然包括ARP扫描和ARP欺骗的数据包。通过对捕获到的数据包的分析，即可确定ARP的攻击源，即找出凶手。

不过由于我们捕获下来的是原始数据包，而必须对这些数据包进行分析后，才能找出真凶，所以，如果网络分析软件可以直接告诉我们是哪台主机在进行ARP欺骗，则会更加直观，更加实用。

我们对上述提到的三种软件进行了查看，发现其包含的诊断信息分别如下面的三个图。

Sniffer Pro和Etherpeek的都没有ARP的诊断信息，科来的直接列出了ARP的诊断信息，我们用科来在一个典型的网络中抓包如下，直接看出了网络中存在ARP攻击的情况。

菜青虫 · 发表于 2006-5-12 09:07:33

晕，我还弄错了！悔过

sniffer pro ,Etherpeek诊断中还没有直接找出ARP攻击的，

土豆 · 发表于 2006-5-12 09:11:07

闲时也参照上面的方法，去看看我网吧中是否有ARP攻击。
上面看来，科来的比Sniffer和Etherpeek还要强啊？
应该不是这样的吧，虽然这三个软件都不怎么会用，但Sniffer和Etherpeek的名气比科来大多了啊，那为什么它们不提供ARP的专家诊断呢，这是很常见的问题啊？

快乐3幸福4 · 发表于 2006-5-12 10:52:59

SNIFFER>ETHERPEEK>科来

菜青虫 · 发表于 2006-5-12 11:45:57

原帖由 快乐3幸福4 于 2006-5-12 10:52 发表
SNIFFER>ETHERPEEK>科来

你是什么意思喃，不懂

天蓝 · 发表于 2006-5-15 09:24:25

谢谢大家上面的讨论，我研究了一下，查看物理矩阵图可能更方便一些。如果有ARP扫描，会看到大量的物理连接。

libin125_0 · 发表于 2006-5-15 11:50:12

看来科来的东西在这个方面还比较好用哈。

还是国产的哈。不错！

enick · 发表于 2006-6-2 09:04:43

顶！！！！！！！！！！！！！！

ValorZ · 发表于 2006-6-2 09:39:17

个人觉得，用工具只不过是治标啦。
其实只要指定了静态MAC地址和IP的对应，任何ARP欺骗的工具都没有用了。
这样才是治本之道

菜青虫 · 发表于 2006-6-2 10:08:52

windows下做静态的 IP和 MAC地址绑定，好像有些麻烦

关机和重启了，有变成动态了

ValorZ · 发表于 2006-6-2 10:21:02

放个批命令在windows启动的时候运行就OK了。
主要是网关MAC地址和IP的绑定。

cwym29 · 发表于 2006-6-2 11:10:59

在当前的网络中，同时在客户端和网关上做ARP绑定的比较少，所以ARP攻击盛行啊。

天蓝 · 发表于 2006-6-2 11:41:14

主要是网络大了之后，网络的管理就越来越乱了，而且一些大企业下面的部门也有权采购电脑，对MAC地址的管理，很难做到疏而不漏。

bli888 · 发表于 2006-8-16 07:13:06

我刚注册号了哈哈

maomao88812 · 发表于 2006-8-16 10:26:47

我现在用的是科来6.0的，感觉很不错哦~~！真的谢谢科来给我带来的帮助~~！我支持正版~~！

lipman · 发表于 2006-8-17 09:13:22

你也可以用欣向arp工具查一下，而且可以看具体攻击了多少次，不错的工具

hao123 · 发表于 2006-8-18 00:38:25

以前用过arp欺骗，不过俺早从善了，呵呵，要不早晚会被发现的

天蓝 · 发表于 2006-8-18 23:59:30

ARP数据包不能都认为是ARP攻击哈，有些工具，如上网控制，也是用ARP原理来实现的，所以，对于ARP攻击的查找要具体分析。

如何查找ARP扫描或ARP风暴，用科来网络分析系统还是非常好用的。

iMayday · 发表于 2006-8-19 00:19:02

我没有权限在中心交换机上做mac绑定
单向绑定是没有多大效果的

在这样的情况下，取得源主机的admin权限，直接毁了他的硬盘，这样最有效果

天蓝 · 发表于 2006-9-26 16:30:30

现在又有很多网吧遇到这样的问题，所以把这个帖子顶一下。

ilike · 发表于 2006-9-27 08:48:25

我公司网络也出现了arp欺骗,用科来是可以查到发出广播的ip地址和mac地址,但是网络中根本就没有这个ip地址.该怎么办?

KelvinFu · 发表于 2006-9-27 09:35:53

原帖由 ilike 于 2006-9-27 08:48 发表
我公司网络也出现了arp欺骗,用科来是可以查到发出广播的ip地址和mac地址,但是网络中根本就没有这个ip地址.该怎么办?

从你描述的情况，也判断不出什么状况呢！
可能是伪造地址，也可能其他的。

要不你抓个包上看看，

需要参照置顶的
http://www.csna.cn/forum.php?mod ... &extra=page%3D1

天蓝 · 发表于 2006-9-27 10:20:06

对抓包上来看看，不然只是说，也说不清楚，有时候还要配合其它手段来解决问题。

ah1283328 · 发表于 2006-9-28 11:07:31

正在下载技术交流版，试用一下。
谢谢。

sxp3468 · 发表于 2007-3-9 09:45:21

原帖由天蓝于 2006-5-15 09:24 发表
谢谢大家上面的讨论，我研究了一下，查看物理矩阵图可能更方便一些。如果有ARP扫描，会看到大量的物理连接。

这个很不错的思路，受教了！

273900614 · 发表于 2008-4-29 21:41:13

顶下顶下顶下顶下顶下顶下顶下顶下顶下顶下

yuanye002 · 发表于 2008-4-30 01:50:08

这几天，企业内网出现ARP病毒，半瘫痪状态。
科来解决是首选。

顶一下，希望有更多的人参与讨论。

如何查找网吧中，ARP的攻击或扫描的机器？

本帖子中包含更多资源

如果用ARP物理矩阵图，是不是更直观一点呢？

本帖子中包含更多资源

我喜欢科来的

dddd