捕获ARP欺骗攻击的解决方案

最近，网络中经常有断开连接的主机，但它们刚刚开始正常。但经过一段时间，有一个断开连接。有时它会很快恢复，但有时会花上几分钟，这会对工作产生很大的影响。最初怀疑它是否是身体上的错误，从最容易开始的事情开始检查，检查后发现没有异常！认为当前比较流行的在线ARP攻击突然出现，故障ARP攻击发生，这与ARP攻击非常相似！常规方法很难识别和确定需要。捕获分析。

1。原理知识

在我们解决这个问题之前，我们首先要了解ARP的相关原理。

ARP原理：

首先，每个主机都会在自己的ARP缓冲区设置一个ARP表（arpcache）为代表的IP地址和MAC地址之间的对应关系。当源主机需要一个数据包要发送到目的主机时，会首先检查IP地址和MAC地址，如果有你的ARP名单，只是将数据包发送到MAC地址；如果没有，它推出了一个ARP请求的广播包，本地网络查询MAC地址对应到目的主机的ARP请求包，包括源主机的IP地址，硬件地址和目的主机的IP地址。

当网络中所有主机收到这个ARP请求，它会检查是否在数据包的目的IP是自己的IP地址一致，如果不一样，这个包被忽略；如果相同，主机首先将发送端的MAC地址和IP地址添加到自己的ARP表，如果在ARP表信息已经存在的IP将被覆盖，然后给源主机发送一个ARP响应数据包，告诉对方自己需要找到MAC地址；源主机收到ARP响应数据包，目标主机的IP地址和MAC地址添加到您的ARP列表，并使用这个信息数据传输。如果源主机一直没有收到ARP响应包，它表明ARP查询失败。

欺骗原理：

让我们首先模拟环境：

网关：192.168.1.1的MAC地址：00:11:22:33:44:55

欺骗：192.168.1.100主机MAC地址：00:11:22:33:44:66

B：对欺骗的主机MAC地址：00:11:22:33:44:77 192.168.1.50

发送欺骗主机ARP响应一直包到网关，网关是192.168.1.50主机B告诉他，所以在ARP缓存表的网关主机欺骗网关，并有相应的192.168.1.50 MAC MAC 00:11:22:33:44:66地址欺骗主机，到真正的主机B通信网关转发到另一个主机；同时不停主机主机B主机B发送ARP请求，相信主人在网关缓存，主机B有192.168.1.1对应00:11:22:33:44:66记录，所以主机B发送到真正的数据流将被转发到网关主机；意味着主机和主机之间的通信网关，主机作为一个中间人，彼此之间的转发，这是ARP欺骗。

2。解决方案

看来，只有捕获，首先，我会做交换机端口镜像设置，然后安装计算机接入网络分析端口镜像系统，对所有数据捕获网络进行分析。通过几点我得到的分析结果：诊断视图提示有太多ARP不响应；

在诊断中，我发现几乎所有的ARP响应由00:20：艾德：AA：0d：04.it还建议，有可能是在参考信息ARP欺骗。看来我的方向是正确的，但进一步的决心，我要结合其他信息。看看协议视图了解了ARP协议的细节，

ARPResponse和ARPRequest之间的差别太大了。这不正常。接下来，看看包的细节。

我已经从数据包信息的问题，看到00:20：艾德：AA：0d：04在这段192.168.17.0欺骗网络主机，应该告诉你，它是网关，作为身份的一个中介，交通被欺骗主机跟他走了。核；。

现在确定基本的ARP欺骗攻击，现在我需要检查主机的MAC地址是00:20：艾德：AA：0d：04主机，幸运的是我在一个记录所有常见的主机的MAC地址和主机表，终于找到了主人的凶手。可在ARP病毒，立即破净杀下毒。网络的正常运行，唉！整个世界和安静！

三.总结（失败的原则）

让我们回顾一下上面的ARP攻击的主机的MAC地址：艾德：00:20 AA：0d：04，所有主机扫描攻击192.168.17.0这段，并认为它是网关被欺骗主机的数据发送到MAC地址的主机00:20：艾德：AA：0d：04，但从包我爬，MAC为00:20：艾德：AA：0d：04主机不欺骗真正的网关，所以我们将网络断网。

4。补充内容

我们仍然可以防范ARP攻击的失败，以下三种方法是常用的方法：

方法1：每次对每个主机进行MAC地址记录时，当出现这种情况时，可以使用MAC地址扫描工具扫描当前网络中主机的相应MAC地址。参考以前的记录，我们也可以找出问题所在。

方法二：arpndash；可以MS-DOS窗口下运行以下命令：arpndash；手工绑定的网关IP和网关MAC的静态绑定，你可以尽可能地减少攻击。需要说明的是，手动绑定将失败在计算机重新启动后，需要再次绑定。但是我们可以制作一个批处理文件，这样可以减少一些繁琐的手工绑定。

方法三：使用软件（antiarp）使用AntiARPSniffer可以防止数据截取利用ARP技术防止ARP技术发送地址冲突的数据包的使用。