伪造IP与MAC的攻击查找
自2005年以来,ARP攻击就以攻击方法简单、攻击速度快、攻击效果好而深受越来越多恶作剧者的青睐,从而导致在近1年多的时间里,网络中的ARP攻击无处不在,各大论坛从未停止过ARP攻击的讨论,一些遭受过ARP攻击的用户甚至到了谈“ARP”色变的程度。根据攻击者的真实性,ARP攻击可以分为三类:
1.攻击者的IP和MAC都是真实的;
2.攻击者的IP更改,MAC是真实的;
3.攻击者的IP和MAC均更改,甚至伪造。
对于前两种情况,我们知道借助科来网络分析系统的智能诊断功能,可以轻松地定位攻击源。但第3种情况,这种方法则不能有效定位攻击源,而这种情况的ARP攻击,正日渐增多,所以对这种同时更改IP和MAC的ARP攻击的排查,成为了目前ARP攻击排查工作的重中之重。
下面我们对同时更改IP和MAC的ARP攻击进行讨论(第1种和第2种ARP攻击不此讨论范围之内),并给出这种情况下的解决方案。 如果对交换机有管理权限,且交换机支持网管,可以show mac-add table来查看每个端口下的mac地址情况,对照前面的sh arp现实的mac和ip对应关系
就可以比较快速的定位故障范围和源头,尽快断开后再进行详细分析
如果下连的交换机也是可网管的,那就更快了,迅速定位故障PC的端口 谢谢 下载来学习,学习。谢谢! 下载来学习,学习。谢谢 1楼说的很正确,我查找ARP攻击都是通过交换机来看的,这样快速方便的多,当然交换机是可网管的.:loveliness: 不实用
如果在一个大点的网络采用分路器来检测伪装arp攻击的机器
那岂不累死 arp数据报的二层源mac地址会在交换机上留下mac纪录
可以设置此交换机上mac纪录的保存时间尽量长点
然后配合sniffer抓报察看二层源mac的方法,来找到伪造地址进行arp攻击的物理端口 这得好好学习学习一下,支持:victory:
页:
[1]