网络故障案例、解决方案

黑客攻防技术入门之ARP篇ARP(AddressResolutionProtocol),即地址解析协议。所谓地址解析，也就是将IP地址转换为MAC地址的过程。在局域网中，任何两台计算机之间进行通信前，都必须知道对方的MAC地址，所以ARP这个协议就非常重要。但如果该协议被恶意用于对网络进行攻击，会对局域网产生重大影响，甚至导致网络瘫痪。下面就将对ARP攻击的原理，类型以及如何用科来对ARP攻击进行定位，排除等。ARP欺骗攻击的类型大致分为两种：一种是对路由器ARP表的欺骗，另一种是对内网电脑的网关进行欺骗。对路由器进行ARP表的欺骗：对路由器发送一系列错误的内网MAC地址，长时间不断发送，冲刷路由器的ARP表，使得路由器ARP表中都是错误信息，转发数据的时候都发向错误的MAC地址，造成正常的电脑无法收取信息，而假冒者可以窃取相关的信息。对内网电脑的网关进行欺骗：主要是通过建立假网关，让被他欺骗的电脑向这个假网管发送数据，而不是通过正常的路由器途径上网，这种欺骗造成的结果就是网络掉线。那么攻击者是如何来进行ARP攻击的呢？在这里向大家介绍一款软件，名称为WinArpAttacker,我们可以用这个来做一下实验。在使用WinArpAttacker之前，首先需要安装Winpcap，用于为应用程序提供访问网络低层的能力的软件。然后我们打开winarpattacker。#甘注如锁3sefl?VfcIMort Imfta |EE|如 |亠嗣|h网If匕|F冷|team|Mi巧JP*Arft+zcGj^liad-kHJC4'«cd-Ui£；-L±5|叫-Zni4M-]LIA2-JiEWL_^3iMi<l_l9!Vi_ArCdCCtiutuv.Lii^jfiaL413EIALiL-anuij.]DD-m-OO-M-CO-..IHLL4M-21IA3L3S3.LU.3JLmu.u1L-3ZJUL-1]DCi-lSM-CC^CB--mi.-<M-2LIA7_3I3.1.4S.IJiL12JK91]]nj-：LL-n-D?-7E-._2U.L44-2L访N睥駅」diW-2iM-a*£jh._1KlEO*OS4I,^M.L44-2l応二1S2.L$».l1a阴融”WM*密 fSaL-fld-21\A2r除*.H脏［J52-LWL]i1W23WWW-ie-2MP<lL-5ZJU.-14]W-ZiW-N：4L-._L12J2C.-1MWf-wa-zi-w-..L-2ZJK91Mnn.jw.-M.H-Er--沖21矗fdijMl26jK.£jC.!E-.|>JI'I-tli|—1 4— 亠niid^ P;LI3J£fi.-LMIllta：HHD-M-ra-MmUtZJmASQ-粘C!其界面如此。在实行攻击之前，我们首先要对整个局域网内的计算机进行扫描，以确定要攻击的主机。

WJW：E1叹Er-"JrpSQ右卞步］九俩_|知声F KdC WJW：E1叹Er-"JrpSQ右卞步］九俩_|知声F KdC 了曲閃□LEulU-ajK-I3-EO-U-O.-LWLLHJ?.L»6f..0T4Z3<aDM□LI]J.4&.-3J]OG-L3-35-DT-7.-:EMMm-..NCfTTdJJB4UaDM□LdJ.i^jS叫Eg・W^_K-MtmWL.Hdt._NwttbIti44iEaCuM□Ulil老阳前W-UEfrCFF-•VKWKFGZeiNcrrd0Q-1$a丽£1诂2・Ld?蜀W-Lfr-JM-W-G.61.0fISajLGJ.l4d.-3U;Hu„hk>muJfrAwamvi|r]LGjA4iL-3£i!-H3Q4CSA-CDLASOn'-KMm-..I44TaDM□LI3J.eO.-3fDGG-X-EE-20-1-PC-ZniIKLHL.Nw—normiJ0□axn"』_i刚蜒陋点碍HzNorr*!0a-a0X0□L921^.9111CM■并H%LULfil^LLLNmi0a-ISaawHlsz-lw-^iizWKWCdZLULH^LL2Ml■-*阳m卍0fthwaw»iniEj.i4a.-a112CE-IU-£j<3->Xl-L_ICLLIIALL1N^..I4=-vwjJ■>a*IQanrtnCE-M.-M-0D-L-K-3D1DPTL4-.Mm-.-»]CaCUMnn].i.s.iajnm-EE^C-M-A..«C!MTrHer..NwttbIf]E□muOQ*摊川G陋曲从曲Narr*l0a-疋aH1321^13300-«-Mr5frl.Nmi0t0-ISa礙□L52LW^J5*W-3P-]0-W-2rWSJLOJflW.世旳我QfO1】*q!MW□LEjJU.-3J：G<■H-L4[Q-24-F..L^LHALHMm-..:'»4acunoa-ir-CB-AJ-a..PC»11D«UL.Mm-.-:-4uaCl»OLI].l.«.i3J^EbC-W-CMD-a.-(MITNdt._Nwmel1«10a(MU□"』_!轴谄QO-lB^.FO^T◎匕诲"區Nonr*l1fg砂a0X0t]1921^175NmiNct^tcJ0t0-leaOL53LW^]Tft厲・n世旳曲■l439Gaw□LE3J4a.-aJC4U-WELD-K-D..LULHALMNdX..D»39acun■few2IU4如说.2Hld^2LljU..2Hj-OiLlMrJKJ4KHTJfid21l]-D4-JLl£J._ZHJ-V-jlUt2_mt说-2H1^2L1U..m=l^rtHcnl|EFrrlHcnlIW辄”.闆M4F43MFH-UL%加2i也尿」苗如血JiXK/WZJW-MJ竹21傅!U血LajjeiALMWw_HaH：L-U.]£1.-?.LMEE-A£-：D-M4>L_Nw”Ha.LUL3M.9.L23CC-5D-1^M-C2.^*F>«F£W鏗倔L爼j辗崗辰M-1BKFDIF-.i鬼幽■>!IS?加丄tID2525f"Xmvb1iHm-5*加列加■■逊LU£LW-li4X>L3i<M--诞14MLL叶旳话卯补1«?.UIGl7500-GC-U-34-££-..W丄141*3M-U-BBrCf-rCk_■»-LE-24-90-ra-._闻■凸•通旺屉-"逊偷咖«-K-E&205?»1IMWI&WUKZ.LHf.LLLW-2C-BC-4C-单击扫描以后，我们可以看到，整个局域网/24内的所有计算机的IP地址、主机名和MAC地址都显示出来了。去主在扫描的时候，打开科来软件……我们瞬间捕捉下来了扫描的过程，见下图:去主谡商饕目跚笈生啦f9]卫协Hj 邮+jl皂宇堆它宇 [PWlfcSS17f&4D：A2：9M$：F7 FOrf&A2:J5:A5:P-1目传編靠2fiFiFFsFFiFRFRFF FRFFiFFiAiffsFF1VTCP看票的淫辟试1护TCPtft翻f1-冋整盘140IP地址尸吴1S[CMP$5口片£1达13数甯蜩思1JiARP肓求幅1歹件域2 理【Pits址ARPtS^®jfii：±>Q^MAC^F0i4DJL2!55:A5-F7.】FWt为192.153.9.... 152.16B.9.I56双击打开诊断事件，我们观察一下数据包的内容

盯BM岳罰L52&aECHRL ElSSLUTBI9裤HIE也肌妬> 曲期aCHKCb fi.53LEIEaECW福 EL^ailKE,aMOI谜 氏餉出牺aEHCSS bLSSZStt附頸凶阳诵F?屉4C期flftA士片他＞££盯BM岳罰L52&aECHRL ElSSLUTBI9裤HIE也肌妬> 曲期aCHKCb fi.53LEIEaECW福 EL^ailKE,aMOI谜 氏餉出牺aEHCSS bLSSZStt附頸凶阳诵F?屉4C期flftA士片他＞££山已FF7fFrrlFTMFUP4eJiKMC嗣觸筋F?4eWMFUPFfcCtAZBE^SfT切FFFF=>TfFFFFTMPItaECHD-L EJ5打EIDRSiEJiji«iJL4jn的L921S1Ji1K?MMU2JAE.IJ.KFMLU1U.1B&L-97?MlUJEE^^fiC也L92iaSlW?MML12JBS.imrMiLU3K.1.HH>flL-3].1iQ.3JKH?KJtI：U：1£E$醛Z的hLS5JJL5-5wL«斯1ULBE.7.2W疋BUUCrt'AtrM?T Xfdj■FhEbat.ILBb*E.■FhEfeBC.Idcgtii.|^CafcccmLuger.:-19tLXlBUM.!亍足吉且_££■IC-15-aCLL'WJtu匸心■（册阴4IFF：n*：rFin：n-：TT|c.<：iKu-WiMiIEil&iKiKu-WiMiIEil&iKiChM-M|XRt.i£L3/J]ChM-M»MITTrrrrrrTFFTreHO!A25E-W-nIIWMatMiM01HTOOLFl4DiW5S«■ITca11W«ZIIMJW>MIDTOcaU!»C：? T H其中9.66就是我试验用的主机，可以很明显看到，时间差几乎在1微秒，大量持续的扫描-开始发包时间尾后发包时间25425401&2&561&;23;56在一秒不到的时间内，发送了254个ARP包进行扫描，最终得出了整个局域网的情况。在平时，我们在诊断中发现有ARP请求风暴的时候，可能就是黑客正在利用ARP扫描来进行对局域网内主机信息的分析，我们就要当心，及时做好防范措施。在扫描完了之后，我们可以选中其中一台主机，来进行攻击。烏烷i蠶「灌•妙鄴辭倉盅區豁畀ipm|MacWFood1zs...1雄ArpSQ|ArpSP|ArpR...|ArpRP|SS3&&曲町匚L9Z16a?.l8081-0G-13-D.姜止R芫*Nor...Nofnial80弗0O.K匚19/.1615.110G-11-25-D7-7,IRti=主Non-Nornial0005300,0019-3.IBS.5.25Lf216a&J&00-EC-4A-06-4..kNar...Norme0□□53打0.M0O-14-&5-DF-F..Mi諏天NofunNcwmal0005300.00匚L?2.16a&400Q-1B-24-0O-C躍磋＜1Nor...Nofmal0005300.00匚ig.2.i龌彌0O-23-8-B-5E-6..闫捉网咅主Nors-No^rvialc005300.00回6F0-4D-A2-95-i£Nor...Ndbttis125334BD□a.na0&-00-E&-20-5.PC-20100630...,Non..Ncwma1000S3£0.00F19Z14&4^600-24-544J3-SF...192.16&9.&6Nor...Nofnial<J0053£O.M匚19/.1615.1110Q-26-6G-4O9,192,168.9,111Nors-Nornial000530,00□lL9Z.UflL9.11200-26-6C-4C-i192.16S.9.112Nar...Norms10□□5;打a.™在这里，笔者设定flood是1000次，进行攻击后，用科来软件进行分析

攻击时间设畫Arpflood时间Cl-10,000,000)禁止网关时间(1-200)TF冲突时间C1-ZOO)Arp欺骗网关(1-200^Arp前漏主机〔1一如⑴Arp耿骗局域网Q-200)Arp欺骗时间间隔(1-勿口)审当攻击停止时，恢亘笙P表.几乎是在瞬间，完成了攻击，这样的攻击，如果硬件性能不够好，可能会在瞬间崩溃，直至宕机等严重的情况。诊断案目恿最裂吧£▼ 声断号邂所有谨断1,111-传输展11験TCP重复的注尝试11-网酷层91QIP地址^突91-溯噩路层脚金9)ARP格式违期1,000丄ARF＞扫描5史ARF＞衣窑的主动磐斗

US* fcT5Tl?S.IP1和US* fcT5Tl?S.IP1和0也口輯出亦£4优切■>.384567OlOkOtOlUkOiF&4DtA2:95A5cF74b.9ClCt431Z3.124*32flXHHMJiaCl3B45£3aLaLaLOLOLDLFD.4D.AJ.951A^FT-9?垢础為应4649嗣躅通0L0L0L»L41H>L4G-乾OJWKKI?6.384617oioioizoioioiFO:4DtA2:95AxF74ti35lCt43：Z3.124OS2nxwocia盘2B4塚□LaLQLOLOLDLFD.4D.AI.95A^FT1MJ16;43;23,12^6^5嗣346劣OLOLOLOLOLOL北-1011M3i29.1247D7flXKKKia010101D101&1F&4DtA2:95A5cF74ti1D21C^3iZ3.1247L90.3B4CiTOaLaLOLOLOLDLFD.4□血.ggHFT4C10316:43:23.12^733flXHHMJl?OLOLOLOLOl^LFCr4D：A2：95：^F74E[0/M?0j4DjA2j35jX5!F10L；01；71；0LlOl；?1可以看到，攻击用的MAC地址完全是假冒的01:01:01:01:01:01,在科来软件的诊断中，就出现了ARP格式违规。查看源IP地址源］哋^6192.16S.9.&&192.168.9.&61&&192.16S.9.6&1S2.16E.5.&6152,160,5,5&192.16B.9.&&192.16S.9.&&192.16S.9.&66就可以找出攻击来源。再尝试禁止网关的攻击。我们可以在数据包中分析：1S2.16S.9.1在80:81:00:13:04:4-5192.163..5.1在00:1B!24!OD:C&!33由于不断在误导计算机错误的网关，导致了该计算机的数据转发向了一个虚假的地址，最终导致无法正常上网。最后，我们来尝试下IP地址冲突的攻击。从科来软件的诊断功能中，我们可以看到：|i^gi7015.±f箱life生AS址计百|{>1：O1^LO1£ILO1 01：0L01：0LOl：01•9TCP艇弩慟理站吐 |i^gi7015.±f箱life生AS址计百|{>1：O1^LO1£ILO1 01：0L01：0LOl：01•9TCP艇弩慟理站吐 1咙址DO;lB:2fliOD:C§;33OO;IB;24:D&C6:33OOi25:Bfi:24:EA!42'00!25:3l5!24:£A:4aFF：FRFRH=：AF；FFR=：FF：FF：FRFRH=BO；ai:DQ:13-D4:4.5SOiBLOOil3:IM:45FD:4E:A2:9-5:A5