WireShark发现局域网中的ARP病毒-阿里云开发者社区

开发者社区> 技术小甜> 正文

WireShark发现局域网中的ARP病毒

简介:
+关注继续查看

WireShark发现局域网中的ARP病毒

ARP(Address Resolution Protocol)是TCP/IP协议中用来解析网络节点地址的底层协议。网络中流传的ARP病毒或恶意软件利用ARP机制进行地址欺骗。最常见的ARP问题可以分为如下三种类型:
1) 网关或服务器IP欺骗:利用ARP机制,冒用局域网中的网关或其他服务器IP地址,把正常应该传给网关或服务器的数据流引向进行ARP欺骗的计算机,从而造成网络中断或时断时续,或数据丢失。
2) 隐蔽盗用IP:利用ARP机制,在对方不知情的情况下盗用他人IP,进行恶意网络活动,由此可进行各种侵权操作。
3) 强行占用IP:利用ARP机制,攻击他人IP,最终达到占用他人IP,由此进行各种恶意或侵权操作。

网络故障诊断:

根据用户反应,网络时断时续。工程师使用WireShark进行抓包发现局域网中的数据包有百分之九十是ARP报文。

有一台MAC地址为001F-29DC-F4B1的主机,它作为源地址向本网段内其他电脑不断地发送ARP报文,并且告诉他们网关的MAC地址为001F-29DC-F4B1。但实际上用户的网关为一台交大捷普的防火墙,并且MAC地址也不是001F-29DC-F4B1。由此可以判断001F-29DC-F4B1这台主机在发送ARP地址欺骗,类型是网关欺骗。

注:X.31.74.254(这是PC机的默认网关)

但是到目前为止,内网用户的网络依然是时断时通。我们继续用WireShark抓包,发现了下面的问题


经过抓包观察后,我们发现IP地址为X。31.74.37,MAC地址为5CFF.3501.9DAF的主机也在局域网内发送大量的ARP数据包。它通过ARP广播包扫描了网段内所有主机的IP和MAC地址。一般来说,网络中出现大量ARP请求广播包,几乎都是对网段内的所有主机进行扫描。大量的ARP请求广播可能会占用网络带宽资源;ARP扫描一般为ARP攻击的前奏。

解决办法:

解决办法也很简单,就是把这两台的上联端口shutdown














本文转自东方之子736651CTO博客,原文链接: http://blog.51cto.com/ecloud/1664955,如需转载请自行联系原作者


版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。

相关文章
Win7电脑开启局域网连接和共享过程中出现的"您可能没有权限使用网络资源"的解决办法
Win7电脑开启局域网连接和共享 http://bbs.ithome.com/thread-334567-1-1.html http://jingyan.baidu.com/article/6dad5075103e07a123e36ec1.html 重点来了,如果以上方法都不行的话,下面这个绝对有效,本人屡试不爽。
972 0
阿里云服务器端口号设置
阿里云服务器初级使用者可能面临的问题之一. 使用tomcat或者其他服务器软件设置端口号后,比如 一些不是默认的, mysql的 3306, mssql的1433,有时候打不开网页, 原因是没有在ecs安全组去设置这个端口号. 解决: 点击ecs下网络和安全下的安全组 在弹出的安全组中,如果没有就新建安全组,然后点击配置规则 最后如上图点击添加...或快速创建.   have fun!  将编程看作是一门艺术,而不单单是个技术。
4477 0
阿里云服务器远程登录用户名和密码的查询方法
阿里云服务器远程连接登录用户名和密码在哪查看?阿里云服务器默认密码是什么?云服务器系统不同默认用户名不同
443 0
+关注
6323
文章
0
问答
文章排行榜
最热
最新
相关电子书
更多
文娱运维技术
立即下载
《SaaS模式云原生数据仓库应用场景实践》
立即下载
《看见新力量:二》电子书
立即下载