抓包软件使用及交换机配置

1、抓包软件使用及交换机配置在我县完成全部乡镇的统计专网开通后，出现了某些电脑经常掉线的问题。随后一段时间全县统计网络经常处于时通时断的状态。通过对网络进行监测以及询问电信公司，请教市局领导，最后发现问题是由于乡镇的某些电脑存在 arp 病毒。简单介绍一下arp病毒的原理：由于arp协议自身的缺陷，病毒主机可以通过修改IP地址与MAC 地址的对应关系，通过对物理地址的篡改，可以达到ARP 地址欺骗或攻击的目的。第一种ARP欺骗的原理是截获网关数据。它通知路由器一系列错误的内网MAC地址，并按照一定的频率不断进行，使真实的地址信息无法通过更新保存在路由器中，结果路由器的所有数据只能发送给错误的MAC

2、地址，造成正常PC无法收到信息。第二种ARP欺骗的原理是伪造网关。它的原理是建立假网关，让被它欺骗的PC向假网关发数据，而不是通过正常的路由器途径上网。在PC看来，就是上不了网了，“网络掉线了”。 下面我讲两个方面的问题：一是通过使用抓包软件，找到出现问题的电脑主机，进行arp攻击源的查找。抓包软件种类很多，如ethereal 、sniffer pro等，这里我简单介绍一下 ethereal 软件。1、软件下载安装官方主页：/download.html ，也可以从武胜统计网软件下载页中下载。双击安装文件，软件将自动安装，并同时安装 wincap 驱动

3、程序。2、安装完毕后，双击桌面上的 Ethereal 快捷方式即可打开软件界面。 ethereal使用capture选项指定在哪个接口（网卡）上抓包。一般情况下都是单网卡，所以使用缺省的就可以了。 Limit each packet：限制每个包的大小，缺省情况不限制。 Capture packets in promiscuous mode：是否打开混杂模式。如果打开，抓取所有的数据包。一般情况下只需要监听本机收到或者发出的包，因此应该关闭这个选项。 Filter：过滤器。只抓取满足过滤规则的包（可暂时略过）。 File：如果需要将抓到的包写到文件中，在这里输入文件名称。 其他的项选择缺省的就可

4、以了。ethereal的抓包过滤器（可暂时略过） 建议先把本机收到或者发出的包全部抓下来，然后使用下节介绍的显示过滤器，只让Ethereal 显示那些你想要的那些类型的数据包；抓包界面：抓包结果显示界面：etheral的显示过滤器（重点内容） 在抓包完成以后，显示过滤器可以用来找到你感兴趣的包，可以根据协议、是否存在某个域、域值、域值之间的比较来查找你感兴趣的包。举个例子，如果你只想查看使用tcp协议的包，在ethereal窗口的左下角的Filter中输入tcp， 然后回车，ethereal就会只显示tcp 协议的包。表达式组合可以使用下面的逻辑操作符将表达式组合起来自然语言类c 表示举例an

5、d &：逻辑与ip.addr=0&tcp.flag.fin or |：逻辑或ip.addr=0|ip.addr=1 xor ：异或tr.dst0:3 = 0.6.29 xor tr.src0:3 = not !：逻辑非!llc 举例如果在网络中抓到包含如下： is at 00:90:1a:79:16:05如果最后的mac不是您网关的真实mac的话，那就说明有ARP欺骗存在，而这个mac就是那台进行ARP欺骗主机的mac。或者抓到某台机子不停的向外发出询问包，也可以将该主机列为重点怀疑对象。如下图的情况：但是须说明由于m

6、ypower 3024 的无端口镜像功能，可能抓到的包有不全的情况。二是通过在县局或广播局的交换机上进行设置，如端口绑定，ip、mac过滤等功能实现对乡镇的网络管理。配置交换机telnet 管理方式。经过配置，可在局域网中的任意一台电脑访问交换机并进行配置。先介绍如何通过交换机自带的连接线连接交换机的console端口与一台主机的串口配置方式。连线方式为将交换机自带连接线的一头插在交换机的console口，另一头插在电脑的串口上。配置超级终端，在添加删除组件中，按照附件和工具详细信息通讯详细信息的顺序点开，选中超级终端，点击确定，按提示放入window2003安装盘，直到安装完毕。通过开始所有

7、程序附件通讯打开超级终端，弹出新建连接对话框，填入国家号码86 ，端口号不变，根据所连接的串行口，可以选择COM1或COM2。即可连接上交换机。连接交换机上后，输入用户名和初始密码 admin ，再输入 enable 回车，进入 Enable用户模式。再输入 config terminal 回车，可进入全局配置模式。在全局配置模式或者端口配置模式下执行port port_no命令 ，可进入端口配置模式，可具体配置某一个端口。要在局域网其它任意一台电脑上配置交换机，首先要给交换机配置一个IP地址。进入全局配置模式后，键入 interface sw0 , 进入带内接口配置模式 , 再键入 ip a

8、ddress 后回车，即给交换机配置了一个ip 。介绍一配置交换机的软件，SecureCRT。可在互联网上搜索下载或在武胜县统计网上下载 SecureCRT 5.1中文版。安装软件，步骤略过。双击运行软件，点击 new session 按钮，弹出创建连接提示框，选择协议 telnet , 在远程主机的名称及IP中填写 ，其余默认，下一步确认，即创建好了连接，双击打开。就可用SecureCRT 在局域网中的任一台电脑中配置交换机了不管是交换机还是路由器或是一台电脑，其缓存中都有一张动态的IP和MAC

9、地址的对应表。如果这个列表被病毒主机发出的欺骗包篡改，则对应的电脑就会出现无法上网的情况，因此通过在交换机或本身电脑上将网关的MAC 地址和IP 对应关系帮点绑定下来，可以一定程度上避免arp攻击。利用mypower 3024 交换机支持的端口安全功能，能够对使用交换机端口的主机进行限制，允许某些特定的主机访问网络，而其他主机均不能访问网络。也就是通过设置，可以使包含伪造的 MAC IP对应关系的欺骗包无法篡改交换机内的对应表。 Mypower 交换机的端口安全功能将用户的MAC地址、IP地址、VLAN ID以及PORT号四个元素灵活绑定，杜绝非法用户接入网络，从而保证网络数据的安全性，并保证

10、合法用户能够得到足够的带宽。 用户可以通过三种规则来限制可以访问网络的主机，这三种规则分别是MAC规则，IP规则和 MAX规则，MAC规则又分为三种绑定方式：MAC绑定，MAC+IP绑定，MAC+VID绑定；IP规则可以针对某一IP也可以针对一系列IP；MAX规则用以限定端口可以“自由学习”到的（按顺序）最多MAC地址数目，这个地址数目不包括MAC规则和IP规则产生的合法MAC地址。这三种规则的配置如下： （1）MAC规则 MAC绑定： (config-port-0/0/6)#port-security permit mac-address 0050.bac3.bebd (config-por

11、t-0/0/6)#port-security deny mac-address 0050.bac3.bebd MAC+VID绑定： (config-port-0/0/6)#port-security permit mac-address 0050.bac3.bebd vlan-id 100 (config-port-0/0/6)#port-security deny mac-address 0050.bac3.bebd vlan-id 100 MAC+IP绑定： (config-port-0/0/6)#port-security permit mac-address 0050.bac3.beb

12、d ip-address (config-port-0/0/6)#port-security deny mac-address 0050.bac3.bebd ip-address （2）IP规则 (config-port-0/0/6)#port-security permit ip-address to 3 (config-port-0/0/6)#port-security deny ip-address to 3我们可以使用其中的 MAC+IP绑定命令：

13、 进入端口设置模式，并进入到具体的端口，例如以进入到交换机的20号端口为例：(config-port-0/0/20)#port-security permit mac-address 0090.1a40.6e67 ip-address (config-port-0/0/20)#port-security permit mac-address 0019.21A2.BD7A ip-address 3将交换机的每个端口都绑定了网关 MAC 和 IP ，以及端口对应的电脑的ip和MAC 这样就达到了前面说的目的：使包含伪造的 MAC IP对应关系的欺骗包无法改变交换机内IP和MAC地址的对应表。注意：在使用绑定前，首先要启动端口Port-security功能，交换机默认设置为Port-security功能是关闭的。