IP伪造mac的ARP攻击查找

ARP攻击方法简单，快速，通过在过去1年中，有越来越多的人恶作剧，攻击效果好，导致很多时候，网络ARP攻击无处不在，论坛从来没有停止过ARP攻击的讨论，遭遇ARP攻击的一些用户甚至到了谈；ARP变色水平。

根据攻击者的真实性，ARP攻击可以分为三类：

1。攻击者的IP和Mac是真实的；

2。攻击者的IP更改，MAC是真的；

3的ip和mac。攻击者已被更改甚至伪造。

对于前两种情况，我们利用COE网络分析系统的智能诊断功能，可以很容易地找到攻击源，但在第三种情况下，该方法不能有效地定位攻击源，ARP攻击也在增加。因此，对IP和mac同时进行ARP攻击的研究已经成为ARP攻击调查的首要任务。

接下来，我们讨论了同时改变IP和mac的ARP攻击。（第一类和第二类ARP攻击不在讨论范围内），并给出解决方案。

我们可以用一个例子来分析它。首先，看一下图1所示的网络拓扑结构。

简单网络拓扑图

图1所示的网络非常简单。A、B、C和D四机器同时连接到交换机，然后通过路由器连接到因特网。同时，安装部的分析用笔记本连接到开关的镜端口。

在图1中所示的网络，它是假定发起ARP攻击，但源MAC和攻击数据包的源IP改为机在这种情况下，如果我们直接使用图1的方式捕捉，然后分析，会认为有机D的ARP攻击，其结果将使用D和不公正的惩罚。接下来，我们将看看如何找到元凶

在这种情况下，我们的解决方案是：COE网络分析系统+分流。

在该方案中，利用COE网络分析系统捕获数据，并将抽头用于物理单向图像数据，两者的结合可以实现单向数据捕获，以以前的网络拓扑为例，以单端口分流为例，所部署的拓扑如图2所示。
从图2中，我们可以看到4台机器被分成两部分，其中两个是A和B。首先，一个两电平开关被应用到分配器上，然后连接到中央开关，安装部的笔记本电脑连接到分路装置来捕获数据。

让我们分析一下刚才提到的示例，也就是说，发起了ARP攻击，但是攻击包的源MAC和源IP被更改为机器D。在部署分配器之后，我们只捕获和分析网络分析系统中A和B两台机器发送的数据包。我们将抓住源MAC和源IP数据，获得这些数据，我们可以判断，A、B两机之间的真正的罪魁祸首，然后独自在A和B的单向捕捉，可以确定最终的罪魁祸首。相应的，如果我们抓住了在这种情况下，数据包都是正常的（源IP和源MAC是A或B），主要原因不是A和B，所以我们需要用同样的方法来检测和分析C和D.

同样，当攻击者将IP和MAC都改为不存在的假地址，我们可以使用上述方法找到凶手。这种方法在上述例子不仅适用于多台机器的小型网络，而且是可行的大型网络，及排除故障不仅是ARP攻击，而且IP和MAC的任意攻击。

该方法的步骤概述如下：

1。所有的客户端分为两部分，一部分的访问位置保持不变，而另一部分是连接到分压器。

2。安装部分的便携式计算机连接到除法器，只有发送的数据包被捕获。

三.如果数据包捕获，IP或MAC源MAC或IP不是这部分数据，表示攻击是这个地址伪造机的一部分；如果捕获的数据包中没有数据，则称攻击者在机器的另一部分；

4，我们将问题的已识别部分分成两部分，使用相同的方法捕获并分析它们，然后在较小的范围内找到攻击者。

5。逐步减少上述方法的范围，直到攻击者最终发现（具体步骤的数量与网络有关）。

在当今日益重要的网络安全中，通过这种方法在网络中找到恶意攻击者，虽然步骤有些繁琐，但个人认为它是一种有效的方法。

这篇文章只提供了一种思路，请指出错误的地方，欢迎大家一起讨论。