arp病毒应急演练

2024年3月20日发(作者：)

arp病毒应急演练

ARP攻击的两种情况ARP欺骗存在两种情况：一种是欺骗主机作

为“中间人”：被欺骗主机的数据都经过它中转次，这样欺骗主机可

以窃取到被它欺骗的主机之间的通讯数据：另一种让被欺骗主机直接

断网。

第一种：窃取数据（嗅探）这种情况就属于我们上面所说的典型

的ARP欺骗，欺骗主机向被欺骗主机发送大量伪造的ARP应答包进行

欺骗，当通讯双方被欺骗成功后，自己作为了一个“中间人“的身份。

此时被欺骗的主机双方还能正常通讯，只不过在通讯过程中被欺骗者

“窃听”了。

出现原因（可能）：木马病毒、嗅探、人为欺骗。

第二种：导致断网这类情况就是在ARP欺骗过程中，欺骗者只欺

骗了其中一方，如B欺骗了A,但是同时B没有对C进行欺骗，这样A

实质上是在和B通讯，所以A就不能和C通讯了，另外一种情况还可

能就是欺骗者伪造一个不存在地址进行欺骗。

对于伪造地址进行的欺骗，在排查上比较有难度，这里最好是借

用TAP设备（呵呵，这个东东好像有点贵勒)，分别捕获单向数据流

进行分析！

出现原因（可能）：木马病毒、人为破坏、一些网管软件的控制

功能。

检测方法的相关软件，Sniffer Pro该软件是NAI公司推出的功

能强大的协议分析软件。

Wireshark网络数据流的分析工具，具有强大的网络封包分析能

力。

检测方法(1)、通在登陆接入交换机查看告警日志(disp

logbuffer),查找可疑攻击源IP。(2)、在受影响设备上查看ARP信

息(arpa),查看网关MAC地址是否正确。

(3)、通过端口镜像命令(port-mirroring),将该端口流量镜像至

与装有sniffer工具的笔记本电脑相连的端口上，通过sniffer抓取

可疑攻击者发报文内容，确定是否为正常ARP请求，若该可疑P发送

包大部分为ARP报文，即可判断为该P地址在进行ARP攻击。通过抓

包我们发现局域网内broadcast包数量比较大，正常情况下网内

broadcast包的数量应该比较低。

通过分析我们发现网内某台主机发送的broadcast包非常大，其

中ARP包所占的比例也非常高。

对这台主机发出的ARP广播包进行分析，发现些ARP包都在宣称

自己是本网段的网关。

因此我们可以断定这台主机正在进行ARP攻击。

抑制方法，本阶段的工作就是封堵异常流量，确保网络安全。1、

登陆接入交换机将已确定为ARP攻击端口的采用shutdown命令关闭

该端口与攻击者的连接，使网络恢复正常。2、在发起攻击的主机上

使用杀毒软件进行全盘杀毒。