WireShark发现局域网中的ARP病毒

简介:

WireShark发现局域网中的ARP病毒

ARP(Address Resolution Protocol)是TCP/IP协议中用来解析网络节点地址的底层协议。网络中流传的ARP病毒或恶意软件利用ARP机制进行地址欺骗。最常见的ARP问题可以分为如下三种类型:
1) 网关或服务器IP欺骗:利用ARP机制,冒用局域网中的网关或其他服务器IP地址,把正常应该传给网关或服务器的数据流引向进行ARP欺骗的计算机,从而造成网络中断或时断时续,或数据丢失。
2) 隐蔽盗用IP:利用ARP机制,在对方不知情的情况下盗用他人IP,进行恶意网络活动,由此可进行各种侵权操作。
3) 强行占用IP:利用ARP机制,攻击他人IP,最终达到占用他人IP,由此进行各种恶意或侵权操作。

网络故障诊断:

根据用户反应,网络时断时续。工程师使用WireShark进行抓包发现局域网中的数据包有百分之九十是ARP报文。

有一台MAC地址为001F-29DC-F4B1的主机,它作为源地址向本网段内其他电脑不断地发送ARP报文,并且告诉他们网关的MAC地址为001F-29DC-F4B1。但实际上用户的网关为一台交大捷普的防火墙,并且MAC地址也不是001F-29DC-F4B1。由此可以判断001F-29DC-F4B1这台主机在发送ARP地址欺骗,类型是网关欺骗。

注:X.31.74.254(这是PC机的默认网关)

但是到目前为止,内网用户的网络依然是时断时通。我们继续用WireShark抓包,发现了下面的问题


经过抓包观察后,我们发现IP地址为X。31.74.37,MAC地址为5CFF.3501.9DAF的主机也在局域网内发送大量的ARP数据包。它通过ARP广播包扫描了网段内所有主机的IP和MAC地址。一般来说,网络中出现大量ARP请求广播包,几乎都是对网段内的所有主机进行扫描。大量的ARP请求广播可能会占用网络带宽资源;ARP扫描一般为ARP攻击的前奏。

解决办法:

解决办法也很简单,就是把这两台的上联端口shutdown














本文转自东方之子736651CTO博客,原文链接: http://blog.51cto.com/ecloud/1664955,如需转载请自行联系原作者


相关文章
|
缓存 网络协议 Linux
计算机网络——Wireshark软件使用与协议分析(ARP协议、IP与ICMP分析)
Wireshark软件使用与协议分析 ARP协议分析 使用 Wireshark 抓取局域网的数据包并进行分析: 1. 学习 Wireshark 基本操作:重点掌握捕获过滤器和显示过滤器。 2. 观察 MAC 地址:了解 MAC 地址的组成,辨识 MAC 地址类型。 3. 分析以太网帧结构:观察以太网帧的首部和尾部,了解数据封装成帧的原理。 4. 分析 ARP 协议:抓取 ARP 请求和应答报文,分析其工作过程。 IP与ICMP分析 启动 Wireshark,捕捉网络命令执行过程中本机接受和发送的数据报。
2038 0
计算机网络——Wireshark软件使用与协议分析(ARP协议、IP与ICMP分析)
|
3月前
|
安全 网络协议
ARP病毒自动加入传播Trojan.PSW.Win32.OnlineGames的代码
ARP病毒自动加入传播Trojan.PSW.Win32.OnlineGames的代码
|
3月前
|
安全 网络协议
ARP病毒加的网址传播Trojan.PSW.Win32.OnlineGames.GEN等
ARP病毒加的网址传播Trojan.PSW.Win32.OnlineGames.GEN等
|
3月前
|
安全 网络协议 JavaScript
ARP病毒自动添加的网址利用ms07004EXP和MS0614EXP传播Worm.Win32.Delf.cc等
ARP病毒自动添加的网址利用ms07004EXP和MS0614EXP传播Worm.Win32.Delf.cc等
|
7月前
|
缓存 监控 网络协议
使用 Wireshark 实现 ARP 嗅探监听网络
使用 Wireshark 实现 ARP 嗅探监听网络
|
7月前
|
存储 缓存 运维
基于 Wireshark 分析 ARP 协议
基于 Wireshark 分析 ARP 协议
|
7月前
|
缓存 网络协议
Wireshark中的ARP协议包分析
Wireshark可以跟踪网络协议的通讯过程,本节通过ARP协议,在了解Wireshark使用的基础上,重温ARP协议的通讯过程。 ARP(Address Resolution Protocol)地址解析协议,是根据IP地址获取物理地址的一个TCP/IP协议。 主机发送信息时将包含目标IP地址的ARP请求广播到局域网络上的所有主机,并接收返回消息,以此确定目标的物理地址;收到返回消息后将该IP地址和物理地址存入本机ARP缓存中并保留一定时间,下次请求时直接查询ARP缓存以节约资源。 在Wireshark界面,我们可以看到19、20号数据包,就是一对标准的ARP请求和响应包。
|
网络协议 Linux 开发工具
kali arp-scan网络扫描工具 扫描局域网ip地址
作者主页:https://www.couragesteak.com/
kali arp-scan网络扫描工具 扫描局域网ip地址
|
网络协议 安全 网络架构