网络嗅探教程：使用Sniffer Pro监视ARP协议欺骗(1)

《网络嗅探教程：使用Sniffer Pro监视ARP协议欺骗(1)》由会员上传分享，免费在线阅读，更多相关内容在应用文档-天天文库。

1、·在51CTO安全频道策划的“网络嗅探教程”的上一篇文章《使用SnifferPro监视网络流量》中，banker向大家介绍了怎么使用snifferpro监视网络中网关流量。在这一节，banker将向51CTO网友介绍怎么使用snifferpro来监视ARP欺骗行为。文中会介绍一些更为简便和直接的snffer程式，他们都属于snffer程式的一种，只是在功能上更有针对性。本文不再过多叙述ARP欺骗原理等相关知识，有兴趣的网友能参阅《ARP攻击防御和解决方案专题》一、使用snifferpro监视ARP实际上，使用snifferpro程式的监视功能能更方便、更为

2、迅速的帮助我们定位问题。步骤一：首先，我们在已做了端口映像的机器上启动snfferpro程式。选择菜单栏中Monitor→DefineFilter来定义我们需要的过滤器。在弹出的defineFilter对话框中选择Profiles→New来新建一个过滤器，我们这里取名为ARP。图1（点击查看大图）步骤二：点击Advanced高级标签，我们这里选中ARP协议。单击OK后完成过滤器的新建。图2（点击查看大图）步骤三：系统默认过滤器为Default，我们来选择刚才新建过滤器ARP。首先，选择Monitor→SelectFilter。图3（点击查看大图）步骤四：在

3、弹出的对话框中点击ARP。在这里要注意的是：一定要把Applymonitor勾选。点击确定后，过滤器定义和选择工作准备完毕。图4（点击查看大图） 步骤五：鼠标点击工具栏中HostTable按钮（连网图标），在弹出的子窗口中选择Detail工具（放大镜图标）。注意观察本图同之前程式使用默认DefaultFilter过滤器的不同之处。目前，按照我们的定义，监视器内Protocol(协议类型)仅包括IP_ARP.这对于我们查找问题，层次上更加分明。这里需要注意的是：①这里的Address（地址）以IP或机器名的形式显示，如果显示MAC，请先使用Tools→Add

4、ressbook进行扫描，IP-MAC的显示转换后，将有利于我们快速定位节点。②网内终端中所有ARP广播包的和，合计后等于Broadcast数据包（广播包）。图5（点击查看大图） 步骤六：我们先来观察，在正常网络状况下，ARP协议的TOP流量分布图，这将方便我们的区分、判断。鼠标点击左边工具栏中的Bar（柱形图标），我们知道Bar会将目前数据包流量排行前10位，通过动态柱型图的方式显示出来。同上图的Detail（周详显示方式）相同，只不过Bar在界面上对于观察者来讲更为直观。需要注意的是：①Broadcast（网内所有节点的广播）占TOP排行第一位。②其他

5、节点依次排开。不过，流量差距不大。图6（点击查看大图） 步骤七：我们再来观察，网内存在ARP欺骗情况时流量排行图。请仔细对比上述两图。我们会发现问题的所在：①TOP1节点219.238.*.111占据网内最大ARP流量。②TOP2中的流量急速增大且和TOP3差距悬殊。③我们知道，在网络常的情况下，不同节点的ARP流量会有差距，但应该相差不大。同时我们对比在网络正常情况下ARP流量TOP图，并以他做为基准，问题就显而易见了。④这里需要解释的是，Broadcast在下图中排行第二，为什么呢？因为Broadcast是网内广播总计，但ARP分为请求（广播）、和回应

6、（单播）两种，当219.238.*.111的回应（也就是单播数量）大于ARP请求（广播的数量）将可能出现ARP总流量大于Broadcast的情况，这也印证我们在开场所说的：当节点出现ARP欺骗时，他会向网内ARPreply。图7（点击查看大图）步骤八：再来看看节点219.238.*.111的trafficmap（通信图），几乎和网内所有节点都有ARP通信。同时和节点wangguan(网关)通信数据量最大。至于他为什么最大？在文章开始介绍ARP时提过，这里不在赘述。图8（点击查看大图）·以上内容由华夏名网搜集整理，如转载请注明原文出处，并保留这一部分内容。