Sniffer案例分析－ARP欺骗

《Sniffer案例分析－ARP欺骗》由会员上传分享，免费在线阅读，更多相关内容在学术论文-天天文库。

1、SnifferSniffer案例分析－Sniffer案例分析－ARPARP欺骗ARP欺骗最近从论坛上下载了SnifferNetworkOptimizationandTroubleshootingHandbook，正在学习。上个星期，一个客户网络出现故障，于是试着用Sniffer抓包进行分析，最终查明了故障原因，解决了问题。故障现象：客户三层交换机上划分了多个vlan，vlan10里所有电脑无法访问业务系统服务器，但是可以上网。Ping测试，到DNS服务器可以通，到网关10.206.137.1不通。Trace

2、rt到DNS服务器没问题，Tracert到业务系统服务器第一跳就不通。但是，其他vlan的电脑都正常。故障排除：因为上次接到同样的故障电话赶到客户那里后，故障现象没有重现，于是在客户电脑上安装了Sniffer软件并在交换机上做好镜像端口。这次接到电话后，让客户将电脑接到镜像端口上，用Sniffer抓包发给我分析。图1通过图1可以看到10.206.137.170流量异常。1图2查看MAC流量，发现0013d326e883比较可疑。图32注意看IP_ARP协议，0013d326e883发出的ARP数据包为498

3、个。图4过滤出所有MAC地址发出的ARP协议进行分析。图5这是过滤后的结果，可以看到全部是由0013d326e883发出的。3图6首先分析序号为26的条目，可以看到是ARPreply数据包，被发送了两次。源MAC地址：0013d326e883（欺骗主机）源IP地址：10.206.137.1（网关IP）目的MAC地址：000d60c2b2ca目的IP地址：10.206.137.102图74再看序号28的条目，也是ARPreply数据包，发送一次。源MAC地址：0013d326e883（欺骗主机）源IP地址：1

4、0.206.137.102目的MAC地址：00131913e644（网关MAC）目的IP地址：10.206.137.1（网关IP）比较一下序号26和序号28的数据包的源地址和目的地址就会发现有问题。所有的源MAC地址是相同的，但是IP地址却不同，明显属于ARP欺骗。我们来分析一下整个ARP欺骗的过程：1、0013d326e883（欺骗主机）首先发送两个ARPreply数据包给10.206.137.102，宣告自己是网关IP地址为10.206.137.1。这样10.206.137.102所有的数据被发送到00

5、13d326e883（欺骗主机），欺骗主机再将数据转发到真正的网关。2、0013d326e883（欺骗主机）再发送一个ARPreply数据包给10.206.137.1网关（MAC地址00131913e644），告诉网关自己IP地址为10.206.137.102。这样网关会将到10.206.137.102的返回数据包发给欺骗主机，欺骗主机最后将数据转发到10.206.137.102。故障原因找到后，将故障电脑断掉，网络恢复正常。因为刚开始学习Sniffer，水平有限，有些问题理解分析得还不够深入，欢迎大家提出

6、问题，共同讨论提高。garychengary.hb.cn@gmail.com2006-3-285