網(wǎng)絡(luò)嗅探使用SnifferPro監(jiān)控ARP協(xié)議

1、banker將向網(wǎng)友介紹如何使用sniffer pro來監(jiān)控ARP欺騙行為。文中會介紹一些更為簡便和直接的snffer程序，它們都屬于 snffer程序的一種，只是在功能上更有針對性。一、使用 sniffer pro 監(jiān)控 ARP實際上，使用sniffer pro程序的監(jiān)控功能可以更方便、更為迅速的幫助我們定位問題。步驟一：首先，我們在已經(jīng)做了端口鏡像的機(jī)器上啟動snffer pro程序。選擇菜單欄中 Monitor f Define Filter 來定義我們需要的過濾器。在彈出的defi ne Filter對話框中選擇Profiles f New來新建一個過濾器，我們這里取名為ARPIflc

2、xrLi torFilter.Uioni卩話皿Fil Ur.DashboardKost T alle吟3昭鬲感貳芒.代Apili(24tLonTin 直Ki story EaniplezJrDi9iGlchil StktisticsFhysi c ol Layer 5+&tzSoiiet Statisti匸eSwitchU ap tur e D1 e jl ay To ol sLog bit sCN. gm步驟二：點擊 Advaneed咼級標(biāo)簽，我們這里選中 ARP 協(xié)議。單擊OK后完成過濾器的新建。Filter - loiLitor2J2d' Ulr hi | Dttu la

3、lttja! Buffer |7 秒OtOEdl-5；廠"ST Xm Tcr-ir/inorXca XN33BEF ATFIZTALE tfFLET.hLK MJ LPCLLQATM廠廠廠廠廠p廠LzJFkdc4t3* NormalpXB£ ErrcrV Jtbb«rAll si. re s即定 |取 IH|圖2步驟三：系統(tǒng)默認(rèn)過濾器為Default，我們來選擇剛才新建過濾器 ARP 首先，選擇 Monitor f Select Filter 。步驟四：在彈出的對話框中點擊 ARP在這里要注意的是：一定要把Apply monitor勾選。點擊確定后，過濾器定義和選

4、擇工作準(zhǔn)備完畢。圖4步驟五：鼠標(biāo)點擊工具欄中Host Table按鈕（聯(lián)網(wǎng)圖標(biāo)）,在彈出的子窗口中選擇 Detail工具（放大鏡圖標(biāo)）。注意觀察本 圖同之前程序使用默認(rèn) Default Filter過濾器的不同之處?，F(xiàn)在，按照我們的定義，監(jiān)視器內(nèi)Protocol協(xié)議類型）僅包括IP_ARP.這對于我們查找問題，層次上更加分明。這里需要注意 的是： 這里的Address（地址）以IP或者機(jī)器名的形式顯示，如果顯示 MAC請先使用Tools f Address book進(jìn)行掃描，IP-MAC的顯示轉(zhuǎn)換后，將有利于我們快速定位節(jié)點 網(wǎng)內(nèi)終端中所有ARP廣播包的和，合計后等于Broadcast數(shù)據(jù)包（

5、廣播包）。u OLI孚邑I二©哩IQI創(chuàng)理團(tuán)ftMmi IMAemI !< Fafcii IjitfeiiHTIki! RmiW I fltf BjImlisiw.o <r219ZBTimI92£.Z13ZE.?S2JB. 坤 21913.2IS2M me ?92»E在I 譏鬲 21S2S 占SI細(xì) w 砒細(xì)102 n12 BilWIS 910n iw152B115 ? IK F 91 T71 t a m i 1Z3 5roiric219738AJO 2tS2Ml ?13ZISTl® JIHP DDC Daana111292 W12107 M

6、OVMM-4步驟六：我們先來觀察，在正常網(wǎng)絡(luò)狀況下，ARP協(xié)議的TOP流量分布圖，這將方便我們的區(qū)分、判斷。鼠標(biāo)點擊左邊 工具欄中的Bar（柱形圖標(biāo)），我們知道Bar會將目前數(shù)據(jù)包流量 排行前10位，通過動態(tài)柱型圖的方式顯示出來。同上圖的 Detail（詳細(xì)顯示方式）一樣，只不過Bar在界面上對于觀察者來 講更為直觀。需要注意的是：Broadcast網(wǎng)內(nèi)所有節(jié)點的廣播）占TOP排行第一位。其它節(jié)點依次排開。但是，流量差距不大。步驟七：我們再來觀察，網(wǎng)內(nèi)存在ARP欺騙情況時流量排行圖。請仔細(xì)對比上述兩圖。我們會發(fā)現(xiàn)問題的所在： TOP1節(jié)點占據(jù)網(wǎng)內(nèi)最大 ARP流量。 TOP2中的流量急速增大且與

7、 TOP3差距懸殊。 我們知道，在網(wǎng)絡(luò)常的情況下，不同節(jié)點的ARP流量 會有差距，但應(yīng)該相差不大。同時我們對比在網(wǎng)絡(luò)正常情況下ARP流量TOP圖，并以它做為基準(zhǔn)，問題就顯而易見了。 這里需要解釋的是， Broadcast 在下圖中排行第二，為什么呢？因為Broadcast是網(wǎng)內(nèi)廣播總計，但ARP分為請求（廣 播） 、和回應(yīng) （單播）兩種， 當(dāng) 的回應(yīng) （也就是單播 數(shù)量）大于ARP請求（廣播的數(shù)量）將可能出現(xiàn) ARP總流量大于 Broadcast 的情況，這也印證我們在開場所說的： 當(dāng)節(jié)點出現(xiàn) ARP 欺騙時，它會向網(wǎng)內(nèi) ARP reply 。圖7步驟八：再來看看節(jié)點 的traffic map（通信圖），幾乎與網(wǎng)內(nèi)所有節(jié)點都有ARP通信。同時與節(jié)點wangguan（網(wǎng)關(guān)）通信數(shù)據(jù)量最大。至于