EtherPeek、科来网络分析系统”之ARP攻击分析.pdf
-
资源ID:70342231
资源大小:146KB
全文页数:5页
- 资源格式: PDF
下载积分:15金币
快捷下载
会员登录下载
微信登录下载
三方登录下载:
微信扫一扫登录
|
友情提示
2、PDF文件下载后,可能会被浏览器默认打开,此种情况可以点击浏览器菜单,保存网页到桌面,就可以正常下载了。
3、本站不支持迅雷下载,请使用电脑自带的IE浏览器,或者360浏览器、谷歌浏览器下载即可。
4、本站资源下载后的文档和图纸-无水印,预览文档经过压缩,下载后原文更清晰。
5、试题试卷类文档,如果标题没有明确说明有答案则都视为没有答案,请知晓。
|
EtherPeek、科来网络分析系统”之ARP攻击分析.pdf
对比“S n i f f e r P r o、E t h e r P e e k、科来网络分析系统”之 A R P 攻击分析 CSNA 网络分析论坛 http:/ Page 1 of 5 对比“S n i f f e r P r o、E t h e r P e e k、科来网络分析系统”之 A R P 攻击分析 我们知道,S n i f f e r P r o、E t h e r P e e k、科来网络分析系统是当前最流行的三大网络分析软件,它们都通过捕获网络中传输的数据包,对网络进行分析并快速定位网络故障,从而帮助网络管理人员解决问题。S n i f f e r P r o 和 E t h e r P e e k 相对科来网络分析系统而言,起步较早,支持的协议也更多,但它们都是国外的产品,在产品界面及技术支持方面都没有本地化服务,国内网络爱好者使用起来,有一定的难度。科来网络分析系统是国内企业自主研发的产品,界面及技术支持均是本地化服务,同时,产品的功能设计更针对国内用户的具体情况,更适用于国内网络。A R P 攻击是当前最常见的攻击之一,该攻击不要求攻击者具备高深的技术水平,且病毒也可能引起 A R P 攻击,所以在大中小型网络中,这种攻击都非常普遍。同时,我们知道,A R P 攻击对网络的影响非常大,轻微时可以对数据通讯进行窃听,严重时将导致整个网络瘫痪。所以,快速定位排查 A R P 攻击,对保障网络的安全,具有非常重要的作用。正巧,前两天有个客户说他的抓包时发现网络中有大量 A R P 数据包,猜测可能存在 A R P 攻击,并抓了一个数据包发给我。借此机会,我们就同时使用 S n i f f e r P r o、E t h e r P e e k、科来网络分析系统来查找该网络中的 A R P 攻击,并对比这三大网络分析软件的 A R P分析功能。在三个软件中分别打开该数据包,发现其数据包如图 1,2,3 所示。三个软件的数据包列表中,都列出了 3 9 9 1个数据包,且从图中可知,这些数据包都是 A R P数据包。从图 1 即 S n i f f e r P r o 的数据包窗口中,可以看到全是 A R P请求数据包,且这些数据包全是由 0 0:0 F:F E:0 1:2 2:7 C 主机发起。从图 2 即 E t h e r P e e k的数据包窗口中,看到数据包也全是 A R P请求数据包,也可以看到数据包全是由 0 0:0 F:F E:0 1:2 2:7 C 发起。从图 3 即科来网络分析系统的数据包窗口中,看到数据包也全是 A R P请求数据包,也可以看到数据包全是由 0 0:0 F:F E:0 1:2 2:7 C 发起。对比“S n i f f e r P r o、E t h e r P e e k、科来网络分析系统”之 A R P 攻击分析 CSNA 网络分析论坛 http:/ Page 2 of 5 (图 1 S n i f f e r P r o 的数据包窗口)对比“S n i f f e r P r o、E t h e r P e e k、科来网络分析系统”之 A R P 攻击分析 CSNA 网络分析论坛 http:/ Page 3 of 5(图 2 E t h e r P e e k 的数据包窗口)(图 3 科来网络分析系统的数据包窗口)根据这一项,我们可以看到,0 0:0 F:F E:0 1:2 2:7 C 主机在大量发送 A R P 请求数据包,但这些数据包是否正常我们却不可知,因为主机在正常通讯时都会发送 A R P 数据包的。所以,下面我们查看这三个软件的专家智能诊断功能,即从软件中是否可以直接看出这些 A R P 请求数据包是否正常。根据上面的情况,我们可以看出,这三个软件在捕获 A R P攻击数据包方面,表现的不相上下。下面我们查看这三个软件的专家智能诊断,其结果分别如图 4,5,6。图 4 是 S n i f f e r P r o的专家诊断窗口,指出网络中存在广播/组播风暴。图 5 是 E t h e r P e e k的专家诊断窗口,指出网络中存在以太网广播风暴,且能根据源 M A C 快速定位到故障主机。图 6 是科来网络分析系统的专家诊断窗口,指出网络中存在 A R P 请求风暴和 A R P 太多无请求应答,即 A R P 欺骗,并根据源 M A C快速定位到攻击主机。对比“S n i f f e r P r o、E t h e r P e e k、科来网络分析系统”之 A R P 攻击分析 CSNA 网络分析论坛 http:/ Page 4 of 5(图 4 S n i f f e r P r o 的专家诊断窗口)对比“S n i f f e r P r o、E t h e r P e e k、科来网络分析系统”之 A R P 攻击分析 CSNA 网络分析论坛 http:/ Page 5 of 5(图 5 E t h e r P e e k 的专家诊断窗口)(图 6 科来网络分析系统的专家诊断窗口)根据上面的分析我们可知,在 S n i f f e r P r o 和 E t h e r P e e k 中,虽然指明了有广播风暴,但没有具体指明广播风暴的类型,这样让用户很难确切找到故障的原因。而在科来网络分析系统中,直接定出了 A R P 请求风暴(A R P扫描)和 A R P 太多无请求应答(A R P欺骗),且定位出了A R P 扫描和 A R P 欺骗的源主机(M A C地址),根据这个结果,我们即可明确知道网络中的存在A R P 攻击,且能快速定位并排查该故障。试用后的综合评定:在 A R P 攻击分析方面,科来网络分析系统领先一步,而 S n i f f e r P r o 和 E t h e r P e e k 还有待提高。C S N A 网络分析论坛 菜鸟人飞 2 0 0 6-7-6
