CSNA网络分析论坛»首页 流量分析产品区 科来产品 ARP病毒在科来中的典型表现
返回列表 发帖
查看: 16295|回复: 26

ARP病毒在科来中的典型表现

[复制链接]
pwolf
发表于 2006-9-5 01:21:14 | 显示全部楼层 |阅读模式
局域网中有机器中ARP病毒后,(ARP病毒,不是ARP欺骗阻断攻击),病毒实施分几步走,首先病毒会对局域网进行扫描,在软件中可以看到该机器在进行ARP扫描,随后会对扫描到的计算机发送请求包,表现为大量ARP请求风暴,如果只有这2条,不能确认就是ARP病毒,但可以考虑该MAC 地址的计算机可能有问题(MAC可能会被伪造),多数是有其他病毒或木马程序在做SHARE扫描,如果随后出现大量“太多ARP无请求应答”,基本可以确定是ARP病毒,随后在抓下的包中可以看到该MAC地址在伪造网关IP,而且根据前2条的MAC和IP的对应关系可以很容易的找到该MAC的IP地址。当然,监听的机器的一定要使用静态ARP缓存表。

监听的机器可以在任何位置,不一定要在HUB上 或者镜像端口上,病毒发送的大部分是广播包,在同一网段内很容易就能看到

对付ARP攻击其实也可以这样分析,只不过把失败响应换成IP冲突,一般来说,在做攻击前的扫描包的MAC地址对应的IP 都是真实的,可以在时间线上做对应分析找出攻击的真正的机器来。


这个是我工作中实际发现的情况,错误的地方请指正。

[ 本帖最后由 pwolf 于 2006-9-5 01:25 编辑 ]

评分

1

查看全部评分

回复

使用道具 举报

artico
发表于 2006-9-5 08:59:48 | 显示全部楼层
长见识。。。
确实是,如果只是扫描、发送些请求数据还不能知道是不是病毒,也许是人为的呢。如果是无请求应答,那就得留意,可能是伪造数据。。。
回复

使用道具 举报

iMayday
发表于 2006-9-5 23:39:45 | 显示全部楼层
回复

使用道具 举报

leinin
发表于 2006-9-5 23:49:56 | 显示全部楼层

没完没了扫描,即使不是病毒,也该干掉

没完没了扫描,即使不是病毒,也该干掉
回复

使用道具 举报

天蓝
发表于 2006-9-5 23:56:05 | 显示全部楼层
LZ的思路还是对的,科来网络分析系统 6.2 的技术交流版,有CMAC工具,可以先对网内的MAC地址先扫一遍,可以导出列表,这样做好记录,以备后面对照查看。
回复

使用道具 举报

KelvinFu
发表于 2006-9-6 11:16:59 | 显示全部楼层
对于分析ARP有时是可以不考虑软件部署的,但是有时如果不考虑部署的话,直接接入交换机的话,只能抓到本机的通讯和广播包,这广播包中应该有其他端口的ARP广播请求!有时会对分析起到干扰!

[ 本帖最后由 KelvinFu 于 2006-9-6 12:13 编辑 ]
回复

使用道具 举报

yuwenguxin
发表于 2006-9-8 08:20:15 | 显示全部楼层
.......................
回复

使用道具 举报

czf1720
发表于 2007-4-18 10:15:26 | 显示全部楼层
arp 病毒的确很烦人
回复

使用道具 举报

40888899
发表于 2007-4-18 17:11:57 | 显示全部楼层
确实是存在,我的网络就是直连交换机的,抓包时,只能显示出本地流量,而其他机器的看到的却少.

但ARP查询还是相当不错的,一抓一个准!这点是我最佩服科来分析系统的地方!

网络之大,无奇不有,还在于大家常看,多学,才可以掌握到网络的奥秘所在....

认真学习ing....
回复

使用道具 举报

kaibiao
发表于 2007-4-23 10:48:45 | 显示全部楼层
太好了,学习中..................
回复

使用道具 举报

learning
发表于 2007-4-23 13:42:11 | 显示全部楼层
看一下焉
look
回复

使用道具 举报

rainy2004
发表于 2007-4-23 13:54:31 | 显示全部楼层
学习了~~
不是有个AntiArpSniffer软件,那里似乎会直接提示受到ARP攻击,
请问那里查出来的准确率有多大啊,有没有人用过?
回复

使用道具 举报

jie172
发表于 2007-4-23 20:43:38 | 显示全部楼层
AntiArpSniffer 还行吧 我们学校早就提倡使用了 不过我没用
回复

使用道具 举报

rainy2004
发表于 2007-4-24 00:47:52 | 显示全部楼层
可是我好像用的时候开着照样给人攻击到上不了网,哈哈~~
回复

使用道具 举报

hz123
发表于 2007-5-2 00:06:35 | 显示全部楼层
痛恨ARP这个鬼东西啊
回复

使用道具 举报

roxhaiy
发表于 2007-5-2 09:45:14 | 显示全部楼层
原帖由 hz123 于 2007-5-2 00:06 发表
痛恨ARP这个鬼东西啊

ARP并没错,错的是人。
回复

使用道具 举报

WFSYZF
发表于 2007-5-6 09:41:22 | 显示全部楼层
我是一个菜鸟,我想问一下科来的用法,想知道具体的步骤!
回复

使用道具 举报

SCAN
发表于 2007-5-9 14:35:09 | 显示全部楼层
思路是对的,,,要有大量的ARP请求,才可以判定
回复

使用道具 举报

笨鸟学的慢
发表于 2007-7-16 19:13:32 | 显示全部楼层

arp真的好难处理

大家好啊.我是一只小笨鸟,管理一个酒店400来台电脑如何绑定路游器,我不会,因为学的不是这方面的,希望各位大侠帮帮忙.
回复

使用道具 举报

hudeg632
发表于 2007-7-19 21:52:21 | 显示全部楼层
老大,是网关大量发的arp包请求怎么办?你能看一下这个吗?谢谢
http://www.csna.cn/forum.php?mod=viewthread&tid=4672
回复

使用道具 举报

oar
发表于 2007-7-20 10:39:42 | 显示全部楼层
嗯,arp病毒的防范确实需要费点体力活的,其中收集mac地址与电脑的对应是一个苦活
回复

使用道具 举报

1386500
发表于 2007-7-21 13:18:35 | 显示全部楼层
回复

使用道具 举报

蓝色梦园
发表于 2007-7-23 16:07:15 | 显示全部楼层
很好的经验分享,值得学习和借鉴!
回复

使用道具 举报

lcylcyll
发表于 2007-7-23 19:09:57 | 显示全部楼层
现在我们用的是天衣防火还不错的哦!!
回复

使用道具 举报

abb0076
发表于 2007-8-3 10:05:40 | 显示全部楼层
那确实.例如我们用科来进行的MAC-IP的扫描就可能出现那种ARP扫描,我觉得应该看那ARP请求风暴增加的量和速度.呵呵
回复

使用道具 举报

seagoing
发表于 2007-8-28 13:54:08 | 显示全部楼层
那要如何才能确定呢?
没有arp,但网络依旧很慢,会是什么原因呢
回复

使用道具 举报

返回列表 发帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | CSNA会员注册

本版积分规则

快速回复 返回顶部 返回列表