【51CTO.com 独家特稿】在51CTO安全频道策划的“网络嗅探教程”的上一篇文章《使用Sniffer Pro监控网络流量》中,banker向大家介绍了如何使用sniffer pro监控网络中网关流量。在这一节,banker将向51CTO网友介绍如何使用sniffer pro来监控ARP欺骗行为。文中会介绍一些更为简便和直接的snffer程序,它们都属于snffer程序的一种,只是在功能上更有针对性。本文不再过多叙述ARP欺骗原理等相关知识,有兴趣的网友可以参阅《ARP攻击防御与解决方案专题》
一、使用sniffer pro监控ARP
实际上,使用sniffer pro程序的监控功能可以更方便、更为迅速的帮助我们定位问题。
步骤一:首先,我们在已经做了端口镜像的机器上启动snffer pro程序。选择菜单栏中Monitor→Define Filter 来定义我们需要的过滤器。在弹出的define Filter对话框中选择Profiles→New 来新建一个过滤器,我们这里取名为ARP。
 |
| 图1(点击查看大图) |
步骤二:点击Advanced高级标签,我们这里选中ARP协议。单击OK后完成过滤器的新建。
 |
| 图2(点击查看大图) |
步骤三:系统默认过滤器为Default,我们来选择刚才新建过滤器ARP。首先,选择Monitor→Select Filter。
 |
| 图3(点击查看大图) |
步骤四:在弹出的对话框中点击ARP。在这里要注意的是:一定要把Apply monitor勾选。点击确定后,过滤器定义和选择工作准备完毕。
 |
| 图4(点击查看大图) |
①这里的Address(地址)以IP或者机器名的形式显示,如果显示MAC,请先使用Tools→Address book进行扫描,IP-MAC的显示转换后,将有利于我们快速定位节点。
②网内终端中所有ARP广播包的和,合计后等于Broadcast数据包(广播包)。
 |
| 图5(点击查看大图) |
步骤六:我们先来观察,在正常网络状况下,ARP协议的TOP流量分布图,这将方便我们的区分、判断。鼠标点击左边工具栏中的Bar(柱形图标),我们知道Bar会将目前数据包流量排行前10位,通过动态柱型图的方式显示出来。同上图的Detail(详细显示方式)一样,只不过Bar在界面上对于观察者来讲更为直观。需要注意的是:
①Broadcast(网内所有节点的广播)占TOP排行第一位。
②其它节点依次排开。但是,流量差距不大。
 |
| 图6(点击查看大图) |
我们会发现问题的所在:
①TOP1 节点219.238.*.111占据网内最大ARP流量。
②TOP2中的流量急速增大且与TOP3差距悬殊。
③我们知道,在网络常的情况下,不同节点的ARP流量会有差距,但应该相差不大。同时我们对比在网络正常情况下ARP流量TOP图,并以它做为基准,问题就显而易见了。
④这里需要解释的是,Broadcast在下图中排行第二,为什么呢?因为Broadcast是网内广播总计,但ARP分为请求(广播)、和回应(单播)两种,当219.238.*.111的回应(也就是单播数量)大于ARP请求(广播的数量)将可能出现ARP总流量大于Broadcast的情况,这也印证我们在开场所说的:当节点出现ARP欺骗时,它会向网内ARP reply。
 |
| 图7(点击查看大图) |
步骤八:再来看看节点219.238.*.111的traffic map (通信图),几乎与网内所有节点都有ARP通信。同时与节点wangguan(网关)通信数据量最大。至于它为什么最大?在文章开始介绍ARP时提过,这里不在赘述。
 |
| 图8(点击查看大图) |
| 共2页: 1 [2] 下一页 | ||||
|
|
· 几款黑客常用小工具的.. · 防范脚本入侵攻击,你.. · SQL Server SA空口令的.. · ISA Server、虚拟机、.. · Windows年底再现图片漏.. · MBSA本地审核策略建议 |
· 入侵系统秘籍:伪装“.. · 国家广电总局应用启明.. · 美国10大流氓软件排行.. · 新手学ISA教程 · Sniffer Infinistream.. · 视频教程:如何查找感.. |
|
|||
| 名称:网络安全精品应用黄皮书 简介:《2007精品网络安全黄皮书》包括了9个大类24个小类, 800余篇文章,内容包含了熊猫烧香病毒、DDOS攻击、ARP病等热点问题的介绍及解决方案。从病毒查杀、防范、系统、数据等各方面的安全设置到黑客技术的了解、防范,涉及到了安全应用的全部领域, 由浅至深内容全面。 |
|||
| 名称:Vista精品应用黄皮书 简介:《Vista精品应用黄皮书》囊括了Vista的各方面内容。此次的精简版,是将里面的内容做了提取,便于用户下载和使用。内容包含了各种Vista的安装与实施、技巧与解析以及各种Vista相关学习文档和相关软件的安全下载。该电子书是了解和应用Vista人员必备的工具手册,并且也是第一本 |
|||
| 名称:2006中国IT论坛精品集合 简介:本书由“51CTO论坛推广联盟”制作完成。书中所有内容均来自各联盟成员的论坛(网站)。制作本书的目的是为了集中大家的优势资源,将更多更精彩的内容带给广大技术爱好者。本书是联盟成立以来制作的第一本书。 |
|
|||
| · Java基础教程 · VPN技术 · ARP攻击防范与解决方案 · SQL Server 2005全解 · SOA 面向服务架构 · SQL Server 2005全解 · Java编程开发手册 · RAID——磁盘阵列基础 |
· 三层交换技术专题 · SQL Server入门到精通 · 刀片服务器基础 · Windows Server 2003企.. · Windows远程桌面应用 · C#技术开发指南 · VPN技术 · Solaris 10 配置管理 |
||
|
|||
| · ARP攻击防范与解决方案 · VPN技术 · SQL Server 2005全解 · Java基础教程 · SQL Server入门到精通 · SQL Server 2005全解 · SOA 面向服务架构 · Java编程开发手册 |
· C#技术开发指南 · 刀片服务器基础 · 三层交换技术专题 · C#技术开发指南 · Windows远程桌面应用 · RAID——磁盘阵列基础 · Windows Server 2003企.. · 邮件服务器专题 |
||
 DB2 9技术资源中.. 推荐阅读 |
|
| ·DB2 Viper快速入门 ·DB2 9数据库的镜像分割与.. |
·将XML应用程序从DB2 8.x.. ·DB2 9中的pureXML:如何.. |
| 51CTO.com编辑部.. 推荐阅读 |
|
| ·服务器中的“傻瓜机”在.. ·盖茨也喜欢登录Youtube看.. |
· · |
| 杨文飞 的博客 |
|
| ·10月第3周回顾:微软挤入.. ·10月第2周回顾:SAP“被.. |
·强烈质疑“步行1公里就能.. ·国庆期间新闻回顾:微软.. |
| 梁林 的博客 |
|
| ·10月第3周安全回顾 中小.. ·10月第2周安全回顾 Web安.. |
·J0ker的CISSP之路:复习-I.. ·10月第1周安全回顾 微软.. |
| 组网建网 |
安全频道 |
| · 华为、贝恩资本22亿美元.. · NGN:下一代网络 · 网络访问中断大排查 |
· 防范脚本入侵攻击,你做.. · Microsoft SQL Server S.. · 如何利用隔离交换技术搭.. |
| 编程频道 |
前沿技术 |
| · 程序员如何成长? · Groovy开发技术 · C++是垃圾语言?! |
· 解析Ajax开发框架 走进A.. · 基于Google Maps与Ajax.. · 基于Google Maps与Ajax.. |
| 操作系统 |
服务器 |
| · 微软在欧盟反垄断中输掉.. · 热门 IT 培训认证官方资.. · Ubuntu 中文开源频道 |
· 微软在欧盟反垄断中输掉.. · 龙芯2F主板曝光 可满足D.. · Google推出唯一硬件——.. |
| 数据库 |
存储频道 |
| · 甲骨文Oracle 11g正式发.. · Oracle数据库开发之PL/S.. · Oracle数据库开发基础教.. |
· 硬盘之父获得诺贝尔物理.. · 存储2006,一个并购的大.. · IDC宣布浪潮蝉联存储市.. |
相关 
