WireShark发现局域网中的ARP病毒

WireShark发现局域网中的ARP病毒

ARP(Address Resolution Protocol)是TCP/IP协议中用来解析网络节点地址的底层协议。网络中流传的ARP病毒或恶意软件利用ARP机制进行地址欺骗。最常见的ARP问题可以分为如下三种类型:
1) 网关或服务器IP欺骗:利用ARP机制,冒用局域网中的网关或其他服务器IP地址,把正常应该传给网关或服务器的数据流引向进行ARP欺骗的计算机,从而造成网络中断或时断时续,或数据丢失。
2) 隐蔽盗用IP:利用ARP机制,在对方不知情的情况下盗用他人IP,进行恶意网络活动,由此可进行各种侵权操作。
3) 强行占用IP:利用ARP机制,攻击他人IP,最终达到占用他人IP,由此进行各种恶意或侵权操作。

网络故障诊断:

根据用户反应,网络时断时续。工程师使用WireShark进行抓包发现局域网中的数据包有百分之九十是ARP报文。

有一台MAC地址为001F-29DC-F4B1的主机,它作为源地址向本网段内其他电脑不断地发送ARP报文,并且告诉他们网关的MAC地址为001F-29DC-F4B1。但实际上用户的网关为一台交大捷普的防火墙,并且MAC地址也不是001F-29DC-F4B1。由此可以判断001F-29DC-F4B1这台主机在发送ARP地址欺骗,类型是网关欺骗。

注:X.31.74.254(这是PC机的默认网关)

但是到目前为止,内网用户的网络依然是时断时通。我们继续用WireShark抓包,发现了下面的问题


经过抓包观察后,我们发现IP地址为X。31.74.37,MAC地址为5CFF.3501.9DAF的主机也在局域网内发送大量的ARP数据包。它通过ARP广播包扫描了网段内所有主机的IP和MAC地址。一般来说,网络中出现大量ARP请求广播包,几乎都是对网段内的所有主机进行扫描。大量的ARP请求广播可能会占用网络带宽资源;ARP扫描一般为ARP攻击的前奏。

解决办法:

解决办法也很简单,就是把这两台的上联端口shutdown

时间: 2024-10-09 03:52:37

WireShark发现局域网中的ARP病毒的相关文章

Win10系统清除arp病毒的方法

arp病毒并不是某一种病毒的名称,而是对利用arp协议的漏洞进行传播的一类病毒的总称.如果你在使用电脑的时候,经常遇到网络断开或者无法使用的情况,那么很有可能就是中了arp病毒了.在Win10系统下,要如何查杀arp病毒呢?下面小编将给大家讲解Win10系统清除arp病毒的具体操作方法. 操作方法如下: 1.同时按下Windows标志键及R键,打开运行;在运行窗口中输入"cmd",然后回车或者单击确定按钮,进入命令提示符界面; 2.在命令提示符下输入:ipconfig /all,查看本

编程实现识别内网中进行ARP欺骗的主机

 这个程序来源于我一个专业选修课程的实验之一,用来检测一个内网网段中,网卡开了混合模式的主机.要做到这个功能,有以下几种方法: (一)识别恶意主机的原理 使用"广播地址"进行判断 原理是:正常情况下,网卡检测接收到的数据包是不是广播数据包,要看收到的数据帧的目的MAC地址是否等于ff.ff.ff.ff.ff.ff,如果是则认为是广播地址,但当网卡的工作模式为"混杂模式"时,网卡检测是不是广播包只看收到的数据帧的目的MAC地址的第一个八位组值,是0xf则认为是广播

网络转载:局域网安全:解决ARP攻击的方法和原理

局域网安全:解决ARP攻击的方法和原理 IT世界网2006-01-26 10:17 [故障原因] 局域网内有人使用ARP欺骗的木马程序(比如:传奇盗号的软件,某些传奇外挂中也被恶意加载了此程序). [故障原理] 要了解故障原理,我们先来了解一下ARP协议. 在局域网中,通过ARP协议来完成IP地址转换为第二层物理地址(即MAC地址)的.ARP协议对网络安全具有重要的意义.通过伪造IP地址和MAC地址实现ARP欺骗,能够在网络中产生大量的ARP通信量使网络阻塞. ARP协议是“Address Re

ARP病毒查找与防范

笔者是一名大学生,学的是网络project. 自然接触的网络就多了.当然免不了做些坏事,嘿嘿. 比如我经经常使用在网上学习的知识去測验一下我自己的电脑或者同学啥的,都是一些小打小闹. 无伤大雅,知道有一天. .. 突然我发现我的电脑好像莫名其妙的没有网速了,由于我们是局域网,而同学的网速还行. 于是我推断是我电脑的问题.但是我搞了半天没发现啥问题(恕我愚钝哈),同学提醒我你安装个杀软啊.处于无奈,我就装了个"臭名昭著"的360,事实上我对360一直没啥好感不知道为什么,这一装不要紧,3

Window应急响应(五):ARP病毒

0x00 前言 ARP病毒并不是某一种病毒的名称,而是对利用arp协议的漏洞进行传播的一类病毒的总称,目前在局域网中较为常见.发作的时候会向全网发送伪造的ARP数据包,严重干扰全网的正常运行,其危害甚至比一些蠕虫病毒还要严重得多. 0x01 应急场景 某天早上,小伙伴给我发了一个微信,说192.168.64.76 CPU现在负载很高,在日志分析平台查看了一下这台服务器的相关日志,流量在某个时间点暴涨,发现大量137端口的UDP攻击. 0x02 分析过程 登录服务器,首先查看137端口对应的进程,

ARP病毒网络防控实战手册

根据用户实际网络环境,我们把ARP病毒网络防控方案分为以二层交换机为主和以三层交换机为主的两种环境分别进行描述.      对于在网络中以旁路形式安装在PC上的内网管理软件,如果其采用ARP欺骗的形式进行管理,那就和真正的ARP病毒发作时情况类似,这类软件包括公安一机两用监控系统.XX内网信任管理系统.网路岗.聚生网管.百络网警.P2P终结者.网络执法官等,如果是正常使用,请事先登记各PC的MAC地址,再接入网络,以下防控措施主要针对ARP病毒.私设IP引起的IP冲突等异常情况. 第一部分 二层

局域网中路由器&网卡

网卡 唯一的标志 MAC地址:14:21:S8:8B:44:89 昵称:TP-Link-4489 如何获取局域网IP? DHCP(动态主机配置协议) DHCP 服务器可以动态的分配地址. 1)网卡(TP-Link-4489)向局域网发送一个报文以获取自己在局域网中的IP地址. 网卡工作在数据链路层, 必须得知道对方的MAC地址才能发信,如果不知道就对外广播, 那就是所有局域网内的电脑都会收到. 报文包括: 应用层的DHCP发现报文, 然后被一个UDP的报文封装,然后再被一个IP的数据报封装,然后

如何查找局域网中设备的IP

---恢复内容开始--- 在玩转Raspberry Pi以及以后自己搭建平台的过程中,难免要查找局域网中的设备的IP地址,现在就为大家梳理一下常用的几种方法: 1.通过360路由器卫士等路由器监控设备可以很方便的查找到连接到同一路由器的设备的IP地址 2.使用猎豹免费wifi.360免费wifi等开启电脑热点的软件,可以在这些软件的管理页面上看到连接wifi设备的IP地址 3.除了通过一些软件可以比较方便的查找出局域网中设备的IP地址,如果所有设备都是连接到路由器,可以通过浏览器查找IP地址 在

java 获取局域网中的所有主机名和IP地址

DOS命令 命令 意义 net view 获取局域网中的所有主机名 ipconfig -all 获取本地IP,主机名,MAC地址 arp -a 获取本局域网中的所有IP地址和物理地址 ping -a x.x.x.x 获取x.x.x.x的主机名 nbtstat -a 主机名 获取MAC地址 java exec 执行外部命令 String command = "net view" Runtime r = Runtime.getRuntime(); Process p = r.exec(co