返回
基于科来网络分析技术的ARP欺骗分析

基于科来网络分析技术的ARP欺骗分析

ID:43963209

大小:115.17 KB

页数:3页

时间:2019-10-17

基于科来网络分析技术的ARP欺骗分析_第1页
基于科来网络分析技术的ARP欺骗分析_第2页
基于科来网络分析技术的ARP欺骗分析_第3页
资源描述:

《基于科来网络分析技术的ARP欺骗分析》由会员上传分享,免费在线阅读,更多相关内容在工程资料-天天文库

1、基于科来网络分析技术的ARP欺骗分析在局域网中,IP地址转换为笫二层物理地址(即MAC地址)是通过ARP协议来完成的,ARP协议对网络安全具有极其重要的意义。主机通过伪造IP地址和MAC地址实现ARP欺骗,能够在网络中产生大量的ARP通信量使网络阻塞。本文通过一次经典的分析案例,让大家对这种攻击方式有一个清晰的了解。案例背景办公机的网段是192.168.200.X/24的,办公机的网关地址是192.168.200.254在Cisco3560上,服务器的地址段为10.139.144.X/24。在办公区访问

2、服务器区时,会出现时通时断的现象。办公机是通过DHCP來获取IP地址,当访问出现不通时,重新获取一下IP地址,就可以连通,但是用一会又会出现访问中断的情况。该局的网络环境比较简单,如下图所示:Cisco7503服务器区Cisco3560普通二层交换机363办公机案例分析出现故障时,通过Ping服务器地址发现无法Ping通,然后通过Ping办公机的网关地址,发现网关地址也无法Ping通。查看办公机的ARP表发现网关地址对应的MAC地址为全0的MAC地址。通过上面的分析测试我们可以了解到,当主机无法访问服务

3、器时,主机连网关都无法Ping通,而且主机中网关的MAC地址全0,即主机没有学习到网关的MAC地址,所以主机无法跟网关进行通信,从而导致主机无法连通服务器。正常连接时主机应该有网关的IP地址和MAC地址的ARP映射表的,但是在访问服务器不成功时并没有学习到网关的MAC地址,造成这种故障的原因很大可能性是网络屮ARP欺骗。为了验证网络是否有ARP欺骗,我们在交换机3560上做端口镜像來抓取交互的数据包。办公机连到3560的端口是f0/46,所以我们只镜像f0/46,将该端口镜像到端口f0/25,然后把科来

4、网络分析系统接到f0/25端口上捕获通信的数据包。数据包分析我们在分析数据包时发现,网络中存在大量的IP冲突。通过诊断视图中的诊断提示,发现产生IP地址冲突的源IP地址是故障网段的网关地址,如下图所示:]加世址.憑物理地址目标ip地址目标物理地址192.168.200.25400:25:64:A8:74:AD192.168.200.2200:00:00:00:00:00192.168.200.25400:25:64:A8:74:AD192.168.200.3500:00:00:00:00:00192.1

5、68.200.25400:25:64:A8:74:AD192.168.200.3700:00:00:00:00:00192.168.200.25400:2S:64:A8:74:AD192.168200.2200:00:00:00:00:00192.168.200.254OO:1A:A2:87:D1:5A192.168.200.87FF:FF:FF:FF:FF:FF192.168.200.25400:25:64:A8:74:AD192.168.200.3500:00:00:00:00:00192.168.

6、200.2S400:25:64:A8:74:AD192.168.200.3700:00:00:00:00:00192.168.200.254OO:1A:A2:87:D1:5A192.168.20096FF:FF:FF:FF:FF:FF192.168.200.25400:25:64:A8:74:AD192.168200.3500:00:00:00:00:00192.168.200.25400:25:64:A8:74:AD192.168.200.2200:00:00:00:00:00192.168.200.

7、254OO:1A:A2:87:D1:5A192.168.200.104FF:FF:FF:FF:FF:FF192.168.200.25400:25:64:A8:74:AD192.168.200.2200:00:00:00:00:0000:25:64:A8:74:AD192.168.200.3500:00:00:00:00:00通过观察上图,我们可以发现192.168.200.254对应的MAC地址有两个,一个是00:25:64:A8:74:AD,一个是00:1A:A2:87:D1:5A,通过具体的分析我们

8、发现MAC地址为00:25:64:A8:74:AD的主机对应的IP地址为192.168.200.33,00:1A:A2:87:D1:5A才是192.168.200.254真实的MAC地址。所以当办公区访问服务器不通时,我们Ping网关地址不通,是因为办公区机器在向网关发送请求时请求的是错误的网关地址,网关没有响应主机的请求,从而导致主机学习不到正确网关的MAC地址。导致网络不通的原因就是由于192.168.200.33这台主机进行ARP欺骗

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。