ARP攻击应急响应流程

一. ARP攻击的两种情况

ARP欺骗存在两种情况：一种是欺骗主机作为“中间人”，被欺骗主机的数据都经过它中转一次，这样欺骗主机可以窃取到被它欺骗的主机之间的通讯数据；另一种让被欺骗主机直接断网。

第一种：窃取数据（嗅探）

这种情况就属于我们上面所说的典型的ARP欺骗，欺骗主机向被欺骗主机发送大量伪造的ARP应答包进行欺骗，当通讯双方被欺骗成功后，自己作为了一个“中间人“的身份。此时被欺骗的主机双方还能正常通讯，只不过在通讯过程中被欺骗者“窃听”了。

出现原因（可能）：

*木马病毒

*嗅探

*人为欺骗

第二种：导致断网

这类情况就是在ARP欺骗过程中，欺骗者只欺骗了其中一方，如B欺骗了A，但是同时B 没有对C进行欺骗，这样A实质上是在和B通讯，所以A就不能和C通讯了，另外一种情况还可能就是欺骗者伪造一个不存在地址进行欺骗。

对于伪造地址进行的欺骗，在排查上比较有难度，这里最好是借用TAP设备（呵呵，这个东东好像有点贵勒），分别捕获单向数据流进行分析！

出现原因（可能）：

* 木马病毒

*人为破坏

*一些网管软件的控制功能

二. 检测方法

相关软件

Sniffer Pro 该软件是NAI公司推出的功能强大的协议分析软件。

Wireshark网络数据流的分析工具，具有强大的网络封包分析能力。

检测方法

(1)、通在登陆接入交换机查看告警日志（disp logbuffer），查找可疑攻击源IP。

(2)、在受影响设备上查看ARP信息（arp -a），查看网关MAC地址是否正确。

(3)、通过端口镜像命令(port-mirroring)，将该端口流量镜像至与装有sniffer工具的笔记本电脑相连的端口上，通过sniffer抓取可疑攻击者发报文内容，确定是否为正常ARP请求，若该可疑IP发送包大部分为ARP报文，即可判断为该IP地址在进行ARP攻击。

通过抓包我们发现局域网内broadcast包数量比较大，正常情况下网内broadcast包的数量应该比较低。

通过分析我们发现网内某台主机发送的broadcast包非常大，其中ARP包所占的比例也非常高。

对这台主机发出的ARP广播包进行分析，发现些ARP包都在宣称自己是本网段的网关。

因此我们可以断定这台主机正在进行ARP攻击。

三. 抑制方法

本阶段的工作就是封堵异常流量，确保网络安全。

1. 登陆接入交换机将已确定为ARP攻击端口的采用shutdown命令关闭该端口与攻击者的

连接，使网络恢复正常。

2. 在发起攻击的主机上使用杀毒软件进行全盘杀毒。