在讲ARP攻击之前,要先对国产的“科来网络分析系统”提出赞扬!很不错的国产软件,严重支持!当Toad正在为大量的实例而苦恼时,豁然发现网络分析论坛(CSNA)有大量的实例!这些实例都是遇到网络故障的朋友Sniffer的内容。这种实例最大的优点,就是千变万化!很多故障Toad短时内也无法得出答案,这才有意思,老是讲些皮毛和概念没意思,SE一搜,一大堆!以后,Toad会逐渐从CSNA随机选取实例来做讲解!分析的工具有两个:
1、科来网络分析系统
2、Sniffer Pro 4.75
废话不多说了,开始这一讲的正题!什么是ARP攻击,这个问题大家去问SE吧,网上这种文章多如牛毛(哈哈,抱歉,文章取了这么一个题目)!ARP攻击原理,待,我们以后分析完ARP协议后,自然知晓!这里,我们要做到如何判断一个网络中,是否发生了ARP攻击。要做到这一点,只需要Sniffer一下就很直观了,一般情况下,一个网段内,ARP包是非常少的,为什么少呢?如果一个正常的网段内实时的ARP包都很多,那么MAC缓冲池设计就失去意义了!网关上有MAC缓冲池,主机上也有MAC缓冲池。一台主机进入网络,一般情况下只产生两个ARP包:
1)、第一个ARP请求包用于查询同网段内是否有跟自己IP相同的主机
2)、第二个ARP请求用于获得网关的MAC,网关返回一个ARP回应,正是网关的这个ARP回应,促使主机在自己的MAC缓冲池中建立了一条“网关IP——网关MAC”的记录。
经过以上两步后,主机短时内是不会再产生ARP请求的,除非有其他进程促使ARP请求包的生成,或者网关MAC变化,网络不通等等!正是因为MAC缓冲池机制,导致了ARP攻击的可能!通过上面的叙述,我们很容易发现ARP协议的一个重大弊端——那就是ARP协议无验证机制!人人都可以改写其他主机MAC缓冲池中的“IP—–MAC”记录。只要会网络编程,做到这一点很简单!今天就到这里了。。。。下一讲继续!
文章来源于>>TCP/IP协议分析博客 转载请注明:Toad的博客
