IT人员在做局域网运维时,会用到一些运维技巧及运维工具来对局域网中的主机进行检测。上一期的《构建·回放·闭环:数据包生成器和数据包播放器的妙用》我们介绍了科来的数据包生成器和数据包播放器,今天我们将结合运维测试环境和科来MAC地址扫描器,分享一个比较常用的局域网ARP病毒快速检测技巧。
本期互动问题,欢迎大家评论区一起聊聊:
ARP病毒通过伪造ARP响应包实现攻击,为什么这种方式会导致局域网主机“上网慢”或“断网”?
科来MAC地址扫描器简介
科来MAC地址扫描器是科来网络分析系统免费提供的扫描工具。它能自动检测网络中IP与MAC地址对应关系,能够帮助用户重现网络的通讯情况。
科来MAC地址扫描器已经整合到了最新版的科来网络分析系统(技术交流版)中,安装同时就可以获得7个免费的网络分析工具。包括:科来编解码转换工具、IP地址归属地查询工具、解码脚本编辑器、科来ping工具、科来数据包播放器、科来数据包生成器、科来MAC地址扫描器。
启动方式
可通过以下几种方式启动科来MAC地址扫描器:
1、开始-> 科来网络分析系统 技术交流版 -> 科来MAC地址扫描器;
图1
2、开始 -> 运行 -> 输入csmac -> 点击确定;
图2
3、点击科来网络分析系统顶部的工具菜单-> 选择“MAC地址扫描器”。
图3
科来MAC地址扫描器打开后如下图4。
图4
测试背景介绍
需要检测局域网10.35.8.0/24网段是否存在ARP病毒。现将安装有科来MAC地址扫描器的运维主机接入到10.35.8.0/24网段所在局域网。
ARP病毒简述
目前ARP病毒是采用伪造ARP响应消息篡改局域网内主机ARP记录而达到攻击目的。造成局域网主机上网慢、断网等影响。
ARP病毒经典防护手段
在接入层网络安全建设中,针对ARP病毒的防护通常采用动态ARP监测技术实现。在网络中建立主机MAC地址与IP地址的对应关系数据库,由接入层交换机结合该数据库检测主机发出的每个ARP响应包是否是真实的,一旦检测到伪造的ARP响应包,则将该包直接丢弃,从而避免ARP病毒产生影响。
在实际应用中,出于接入层网络安全建设成本,有相当一部分网络的接入层交换机是不支持动态ARP监测能力的,对于ARP病毒的防护仅限于主机安装免费防病毒软件。而这样无法对整个局域网起到有效防护作用,对于网络打印机、网络摄像头、手机等对ARP病毒无防护能力的设备依然有威胁。
科来MAC地址扫描器安装简单,使用便捷,支持建立MAC-IP对应关系数据库,使用科来MAC地址扫描器可以快速检测局域网是否存在ARP病毒。
检测操作
在上述运维主机上打开科来MAC地址扫描器并获取局域网MAC-IP对应关系。
图5
如图5所示,点击下拉菜单选择要检测的子网“①”,点击开始按钮“②”。
图6
稍后数秒,扫描结果将在如图6所示的列表中显示出来。
将扫描结果添加到数据库。
图7
如图7所示,使用快捷键“ctrl+a”或者编辑菜单->“全选”选中所有记录“①”,点击添加到数据库“②”,首次添加将提示添加到数据库成功“③”。同时可以看到字体颜色由蓝色转变为黑色。
点击“开始“,再次执行扫描。
图8
稍后数秒,如图8所示,再次扫描完成后,产生了一条红色的记录,表示与数据库记录不匹配。
图9
如图9所示,双击该条记录,弹出详细比较结果窗口。
关于“比较结果”的解释:
黑色:表示扫描的结果与数据库的记录相匹配;
蓝色:表示扫描到的结果在数据库中没有找到相匹配的记录, 即新扫描到的IP和MAC;
红色:表示IP或地址与数据库的记录不匹配,双击该行,系统会显示出详细的比较结果。
经过肉眼仔细甄别,两条记录的MAC地址不一致。这也是ARP病毒常见的情况,真假MAC极为相似,肉眼很难分辨出来。
检测结论
根据上述检测结果,该网络中存在ARP病毒,存在伪造ARP响应包的情况,应根据MAC地址定位对应主机物理位置,进而上机进行病毒查杀等后续操作。
总结
常言道:“工欲善其事,必先利其器”。科来网络分析系统和科来网络分析小工具是IT人员的必备神器。敬请大家关注本系列内容,我们下期继续分享。
还记得开篇的互动问题吗?
你曾经遇到过哪些和时间戳有关的问题?最后是如何解决的?
看了这篇文章,你有什么新的想法?欢迎在公众号评论区留言和我们交流~
ARP病毒通过伪造ARP响应包实现攻击,为什么这种方式会导致局域网主机“上网慢”或“断网”?