《arp病毒分析》word版

《《arp病毒分析》word版》由会员上传分享，免费在线阅读，更多相关内容在应用文档-天天文库。

1、ARP病毒分析摘要:ARP病毒是一种进行ARP欺骗的网络攻击，通过ARP欺骗以达到截获他人通信数据的目的，一般分为对网关和网络中的主机进行ARP欺骗。   内容:ARP欺骗的原理：正常情况下，网关和各主机PC都能缓存正确的IP-MAC对应表，PC和网关之间都能正常通信，如下图：如果PC_C感染ARP病毒后，会对整个网段进行MAC地址欺骗，使PC_A和PC_B中网关的MAC地址变为PC_C的MAC地址，同时网关中PC_A的IP地址对应MAC地址也变为PC_C的MAC地址，这样主机PC_A向网关发送的数据会发送到PC_

2、C上，而网关也将本来发送给PC_A的数据发送到PC_C上，这样PC_C能够得到网段中所有的流量信息。如下图：ARP病毒通过MAC地址欺骗能够获取其他主机通信的数据信息，影响数据传输安全，同时也会造成整个网段内的主机无法访问外网。ARP病毒流量分析：分析哪些主机感染了ARP病毒，可以通过流量分析工具对主机是否大量发送ARP请求以及伪造大量的ARP回应来定位，同时可以通过分析网络中捕获的向外网发送数据包的MAC是否是本网段网关的MAC地址相同来确认是否存在ARP病毒以及感染ARP病毒主机的MAC地址，具体分析可参考以下

3、的说明：1、捕获大量发送ARP请求报文：源地址都是一样，目的地址是广播地址，且查询的是整个网段IP地址的MAC地址；2、捕获大量ARP回应报文：回应报文中存在大量的同一个IP和MAC地址3、在网关上查看IP-MAC对应表，是否存在有多个IP对应一个MAC的情况，如果存在则说明内网中可能存在ARP欺骗，此时从网关上ping这几个IP地址，如果能ping通ip，则该ip地址即可定位为发起ARP欺骗的PC。4、在PC上执行ping网关IP操作，同时执行arp-d（删除IP-MAC缓存），看通信是否会时断时续，如果存在则说

4、明存在ARP欺骗，且ping不通的时候学习到的网关MAC地址为发起ARP欺骗的PC。