寫在前面的話:因爲局域網的特性,所以瞭解和判斷網絡內ARP通信情況很有必要。因爲對於可以在網絡內傳播的病毒,都有一個特性,就是他們都得去發現網內其他的機器,不然***從何談起。當然,要發現整個局域網內的機器是很容易的,只要經過一次ARP掃描就可以發現了。對於這個問題,那麼就有人會問了,那樣的話,你還能抓到病毒機器發的數據包麼 ?是的,這確實是個問題,但事實表明,現在的網絡病毒都不得不頻繁的發起ARP掃描,原因如下 :
1、病毒本身技術原因或ARP還有其他某些特性或利用價值。
2、電腦重新啓動後,如校園局域網等,病毒將展開新一輪的*** 。
3、其他原因。
歸結爲一句話大多數網絡病毒都具有ARP掃描或ARP欺騙的特性。正因如此我們就可以通過網絡分析軟件抓住ARP病毒狐狸的尾巴。
問題一:怎麼判斷內網的ARP是否正常?
網絡管理員或者使用電腦有一定時間的人對於網絡速度都會比較敏感。當我們發現或懷疑網絡出現問題之時,我們先打開網絡分析軟件(本文以科來網絡分析軟件爲例)捕獲ARP數據包,然後對所所捕獲的ARP數據包進行分析,可以發現有好多的機器都發起過ARP請求,流量相對大的也有很多,但怎麼區分正常的請求和異常的請求呢 ?
正常ARP請求:如(圖1)所示,我們打開MAC地址爲00:14:85:EE:6A:14的主機的數據包,發現其有兩個特點 :第一個是其數據包出現斷層,並沒有連續下去,看來其所要的目的已經達成 。第二個是所請求的機器都是爲其提供服務和與之有工作關係的機器。由以上兩點,可以基本判斷,其ARP請求爲正常。也就是其電腦可以先放在一邊,以後再做考慮。
圖1
非正常ARP請求:如(圖2)所示,當我們打開 Realtek Semi:d1:ae:d9的時候,發現其特點正好和圖2所示的相反,特點也爲兩個:第一個是其ARP掃描一直不斷,而且頻率比較高,當我們查看數據包的時候,其ARP數據還在不斷更新當中。第二個是其對所有或大部分的機器都進行ARP請求,連局域網內沒用的IP它也不放過 (夠狠,聽說繼承“三光‘政策 !)基於此,我們就可以得出其爲很不正常的ARP請求現象。趕緊去看看它在做什麼,或針對性的對其數據包進行分析 。特別強調一點,如果你在單位的局域網中發現了這樣的主機,立馬把它列爲“犯罪嫌疑人”隔離起來,對其進行進一步的徵詢,蒐集更多的“罪證”,直至把它“繩之以法”。
圖2
問題二:如何找出ARP***者的IP或MAC地址呢?
局域網中的ARP***一般由於個別主機感染ARP病毒發起的,但有時是個別不懷好意者人爲發起的。那我們如何找到這個“內奸”,還局域網一個安全穩定的環境呢?我就以一個在發生ARP***時捕獲的數據包來進行“無極追蹤”。
用“科來網絡分析軟件”打開數據包,然後點擊“診斷”,打開“診斷視圖”,可以看到“數據鏈路層”有兩種ARP故障:“ARP請求風暴”(圖3)、“ARP太多無請求應答”(圖4)。
圖3
圖4
情況一:“ARP請求風暴”
從圖3中可以看出其中有問題的主機分別是:“192.168.14.156”和“21.36.238.176”。如果想要進一步證實診斷出的結果,可以查看這個主機發送的“數據包”。下一步要做的是找到這個主機的“源地址”。點擊“定位瀏覽器節點”選擇“定位:源地址”,馬上定位到“21.36.238.176”的物理地址爲00:13:8F6B:7D:99。(圖5)接下來,查看這個地址發出的全部數據包。單擊“數據包”按鈕可以看到正常的ARP數據包發送頻率並不高。一般,每分鐘不應該超過20個請求,請求包和應答包,數量應該差不多。從這裏,我們可以看到“21.36.238.176”發送了大量ARP請求包,而並無收到應答包,並且請求的地址是連續的。另外ARP請求包都是在1秒鐘發出來的。至此,證據在握,主機:21.36.238.176確實存在對網絡的***。(圖6)
圖5
圖6
情況二:“ARP太多無請求應答”(圖7)
圖7
從圖7中可以看出MAC地址爲00:20:ED:AA:00:04的主機比較可疑,同上定位“源地址”,點擊“數據包”按鈕,同樣的方法,我們可以看到數據包,看出這些數據包在欺騙路由器,讓路由器將發送給其它主機的數據,發送給MAC地址爲00:20:ED:AA:0D:04的主機和MAC地址爲00:20:ED:AA:0D:05的主機,從而獲取別人的通訊信息。(圖8)
圖8
總結:ARP病毒給局域網帶來的危害可以說是毀滅性的,如何判斷正常ARP和非正常ARP,並找出病毒源,找到“搗亂者”是網絡管理員必須要掌握的一門技術。學習和利用網絡分析軟件,對於診斷網絡故障,解決網絡無疑起到事半功倍的效果。