ARP攻击
方法简单,快速,通过在过去1年中,有越来越多的人恶作剧,攻击效果好,导致很多时候,
网络ARP攻击无处不在,论坛从来没有停止过ARP攻击的讨论,遭遇ARP攻击的一些
用户甚至到了谈;ARP变色水平。
根据攻击者的真实性,ARP攻击可以分为三类:
1。攻击者的IP和Mac是真实的;
2。攻击者的IP更改,MAC是真的;
3的ip和mac。攻击者已被更改甚至伪造。
对于前两种
情况,我们利用COE网络分析
系统的
智能诊断
功能,可以很容易地找到攻击源,但在第三种情况下,该方法不能有效地定位攻击源,ARP攻击也在增加。因此,对IP和mac同时进行ARP攻击的研究已经成为ARP攻击调查的首要
任务。
接下来,我们讨论了同时改变IP和mac的ARP攻击。(第一类和第二类ARP攻击不在讨论范围内),并给出
解决方案。
我们可以用一个例子来分析它。首先,看一下图1所示的网络拓扑结构。
简单网络拓扑图
图1所示的网络非常简单。A、B、C和D四机器同时
连接到交换机,然后通过
路由器连接到因特网。同时,
安装部的分析用
笔记本连接到开关的镜端口。
在图1中所示的网络,它是假定发起ARP攻击,但源MAC和攻击数据包的源IP改为机在这种情况下,如果我们直接使用图1的方式捕捉,然后分析,会认为有机D的ARP攻击,其结果将使用D和不公正的惩罚。接下来,我们将看看如何找到元凶
在这种情况下,我们的解决方案是:COE网络分析系统+分流。
在该方案中,利用COE网络分析系统捕获数据,并将抽头用于物理单向图像数据,两者的结合可以实现单向数据捕获,以以前的网络拓扑为例,以单端口分流为例,所部署的拓扑如图2所示。
从图2中,我们可以看到4台机器被分成两部分,其中两个是A和B。首先,一个两电平开关被应用到分配器上,然后连接到中央开关,安装部的笔记本
电脑连接到分路装置来捕获数据。
让我们分析一下刚才提到的示例,也就是说,发起了ARP攻击,但是攻击包的源MAC和源IP被更改为机器D。在部署分配器之后,我们只捕获和分析网络分析系统中A和B两台机器发送的数据包。我们将抓住源MAC和源IP数据,获得这些数据,我们可以判断,A、B两机之间的真正的罪魁祸首,然后独自在A和B的单向捕捉,可以确定最终的罪魁祸首。相应的,如果我们抓住了在这种情况下,数据包
都是正常的(源IP和源MAC是A或B),主要
原因不是A和B,所以我们需要用同样的方法来
检测和分析C和D.
同样,当攻击者将IP和MAC都改为不存在的假
地址,我们可以使用上述方法找到凶手。这种方法在上述例子不仅适用于多台机器的小型网络,而且是可行的大型网络,及排除
故障不仅是ARP攻击,而且IP和MAC的任意攻击。
该方法的
步骤概述如下:
1。所有的客户端分为两部分,一部分的访问
位置保持不变,而另一部分是连接到分压器。
2。安装部分的便携式
计算机连接到除法器,只有发送的数据包被捕获。
三.如果数据包捕获,IP或MAC源MAC或IP不是这部分数据,表示攻击是这个地址伪造机的一部分;如果捕获的数据包中没有数据,则称攻击者在机器的另一部分;
4,我们将问题的已
识别部分分成两部分,使用相同的方法捕获并分析它们,然后在较小的范围内找到攻击者。
5。逐步减少上述方法的范围,直到攻击者最终
发现(具体步骤的数量与网络有关)。
在当今日益重要的网络安全中,通过这种方法在网络中找到恶意攻击者,虽然步骤有些繁琐,但个人认为它是一种有效的方法。
这篇文章只提供了一种思路,请指出
错误的地方,欢迎大家一起讨论。