任务5.4 监控ARP攻击.pptx

项目5网络攻击和安全防御;;最近一段时间，网络管理员小明发现单位网络，访问速度缓慢，通过Wireshark工具捕获数据包发现，网络中有大量ARP广播包，判断可能有ARP病毒在单位内网传播。小明希望通过Wireshark工具分析ARP包，找到病毒源头，彻底杜绝。;ARP攻击主要在以太网（如机房、学校网络）进行攻击。ARP攻击通过伪造IP地址和MAC地址，实现ARP欺骗，在网络中产生大量ARP广播通信量，使网络阻塞。攻击者持续不断伪造的ARP响应包，更改目标主机ARP缓存IP-MAC条目，造成网络速度变慢或中断。;5.4.1什么是ARP

1.什么是ARP协议

ARP（AddressResolutionProtocol）地址解析协议是TCP/IP协议中子协议。ARP通过建立设备MAC地址二层映射三层，实现网络中主机之间通信正常进行。;5.4.1什么是ARP

2.ARP协议工作原理

如图所示计算机A（192.168.1.1/24）向计算机B（192.168.1.2/24）发信息，知道IP地址，同一个局域网中设备之间使用物理地址通信（即MAC地址，刻录在网卡48位地址，称硬件地址）。;5.4.1什么是ARP

2.ARP协议工作原理

根据IP地址，如何查找到对应计算机MAC地址？

计算机A启动ARP协议，查询本机ARP缓存表，查找到B的IP地址对应MAC地址（00-70-ab-01-01-02），使用该MAC地址封装通信。;5.4.1什么是ARP

2.ARP协议工作原理

如果计算机A没有找到计算机B物理地址，在局域网内通过广播方式（255.255.255.255）发ARP报文：请求IP地址为192.168.1.2计算机，请回答对应物理地址（MAC）。

;5.4.2认识ARP欺骗

1.主机欺骗

如果网络中存在ARP欺骗（备注：计算机D感染ARP病毒），由于计算机B没有及时应答。中毒计算机D及时应答，立即发送一个伪造ARP应答报文，也即冒充自己是计算机B的伪造应答包：使用计算机B的IP，使用计算机D的MAC地址。;5.4.2认识ARP欺骗

1.主机欺骗

ARP是个开放协议，基于可信任的网络，没有校验机制，也为黑客开了方便之门。计算机A收到伪造ARP报文，更新ARP缓存，建立错误ARP缓存关系表。;5.4.2认识ARP欺骗

2.网关欺骗

ARP病毒还伪造网关MAC地址，广播假网关MAC地址（备注：使用自己MAC或伪造虚假MAC）。导致被欺骗计算机更新ARP缓存表，不能通过正常网关转发，内部不能上网。;5.4.2认识ARP欺骗

3.泛???欺骗

ARP病毒还在局域网发送ARP广播报文，实施泛洪攻击，导致交换机周期刷新MAC-address-table时，消耗存储空间，不能学习MAC地址，交换机依据MAC地址表转发功能丧失，变成广播通信集线器，通信变慢。;5.4.3防范ARP攻击

局域网有一台计算机感染ARP病毒或木马病毒，病毒都通过“ARP欺骗”手段，截获网内其它计算机通信，造成网内通信故障，如图所示360防火墙监控到ARP攻击。;5.4.3防范ARP攻击

当局域网内计算机遭到ARP病毒欺骗攻击，只有找到感染病毒计算机，将ARP病毒或ARP木马删除，保障局域网内计算机恢复正常。

如何才能快速定位到攻击源头机器？;5.4.3防范ARP攻击

（1）使用“arp-d”命令，清除本机ARP缓存表

当发现计算机上网明显变慢，或突然掉线，在计算机上，转到DOS环境，

使用“arp-a”命令查看缓存表；

通过“arp-d”命令，清除本机上ARP缓存表，让计算机重新学习正确信息。

;5.4.3防范ARP攻击

（2）利用杀毒软件

利用防范ARP病毒杀毒软件、或软件防火墙工具进行杀病毒处理。;任务5.4.4使用Wireshark监控ARP攻击

1.了解Wireshark工具

Wireshark（或Ethereal）是一个网络数据包分析软件，主要功能抓取网络传输数据包，详细显示捕获到数据包信息（如使用的协议，IP地址，物理地址，数据包内容）。;任务5.4.4使用Wireshark监控ARP攻击

2.使用Wireshark检测、监控ARP攻击

（1）测试攻击双方网络连通

首先，在本机上使用“Ping”命令，测试“攻击方”和“被攻击方”网络连通。

打开【开始】-【运行】，在“运行”框输入“CMD”命令，转到DOS状态。

使用Ping命令网络连通：ping10.238.2.254。;任务5.4.4使用Wireshark监控ARP攻击

2.使用Wireshark检测、监控ARP攻击

（2）使用Wireshark捕获数据包

启动Wireshark软件，选择【抓