一、使用sniffer pro監(jiān)控ARP
實(shí)際上,使用sniffer pro程序的監(jiān)控功能可以更方便、更為迅速的幫助我們定位問(wèn)題。
步驟一:首先,我們?cè)谝呀?jīng)做了端口鏡像的機(jī)器上啟動(dòng)snffer pro程序。選擇菜單欄中Monitor→Define Filter 來(lái)定義我們需要的過(guò)濾器。在彈出的define Filter對(duì)話(huà)框中選擇Profiles→New 來(lái)新建一個(gè)過(guò)濾器,我們這里取名為ARP。
![""]("http://netsecurity.51cto.com/files/uploadimg/20071024/1204540.gif") 498)this.style.width=498;" border=0> |
| 圖1(點(diǎn)擊查看大圖) |
步驟二:點(diǎn)擊Advanced高級(jí)標(biāo)簽,我們這里選中ARP協(xié)議。單擊OK后完成過(guò)濾器的新建。
![""]("http://netsecurity.51cto.com/files/uploadimg/20071024/1204541.gif") 498)this.style.width=498;" border=0> |
| 圖2(點(diǎn)擊查看大圖) |
步驟三:系統(tǒng)默認(rèn)過(guò)濾器為Default,我們來(lái)選擇剛才新建過(guò)濾器ARP。首先,選擇Monitor→Select Filter。
![""]("http://netsecurity.51cto.com/files/uploadimg/20071024/1204542.gif") 498)this.style.width=498;" border=0> |
| 圖3(點(diǎn)擊查看大圖) |
步驟四:在彈出的對(duì)話(huà)框中點(diǎn)擊ARP。在這里要注意的是:一定要把Apply monitor勾選。點(diǎn)擊確定后,過(guò)濾器定義和選擇工作準(zhǔn)備完畢。
![""]("http://netsecurity.51cto.com/files/uploadimg/20071024/1204543.gif") 498)this.style.width=498;" border=0> |
| 圖4(點(diǎn)擊查看大圖) |
步驟五:鼠標(biāo)點(diǎn)擊工具欄中Host Table按鈕(聯(lián)網(wǎng)圖標(biāo)),在彈出的子窗口中選擇Detail工具(放大鏡圖標(biāo))。注意觀察本圖同之前程序使用默認(rèn)Default Filter過(guò)濾器的不同之處。現(xiàn)在,按照我們的定義,監(jiān)視器內(nèi)Protocol(協(xié)議類(lèi)型)僅包括IP_ARP.這對(duì)于我們查找問(wèn)題,層次上更加分明。這里需要注意的是:
①這里的Address(地址)以IP或者機(jī)器名的形式顯示,如果顯示MAC,請(qǐng)先使用Tools→Address book進(jìn)行掃描,IP-MAC的顯示轉(zhuǎn)換后,將有利于我們快速定位節(jié)點(diǎn)。
②網(wǎng)內(nèi)終端中所有ARP廣播包的和,合計(jì)后等于Broadcast數(shù)據(jù)包(廣播包)。
![""]("http://netsecurity.51cto.com/files/uploadimg/20071024/1204544.gif") 498)this.style.width=498;" border=0> |
| 圖5(點(diǎn)擊查看大圖) |
步驟六:我們先來(lái)觀察,在正常網(wǎng)絡(luò)狀況下,ARP協(xié)議的TOP流量分布圖,這將方便我們的區(qū)分、判斷。鼠標(biāo)點(diǎn)擊左邊工具欄中的Bar(柱形圖標(biāo)),我們知道Bar會(huì)將目前數(shù)據(jù)包流量排行前10位,通過(guò)動(dòng)態(tài)柱型圖的方式顯示出來(lái)。同上圖的Detail(詳細(xì)顯示方式)一樣,只不過(guò)Bar在界面上對(duì)于觀察者來(lái)講更為直觀。需要注意的是:
①Broadcast(網(wǎng)內(nèi)所有節(jié)點(diǎn)的廣播)占TOP排行第一位。
②其它節(jié)點(diǎn)依次排開(kāi)。但是,流量差距不大。
![""]("http://netsecurity.51cto.com/files/uploadimg/20071024/1204545.gif") 498)this.style.width=498;" border=0> |
| 圖6(點(diǎn)擊查看大圖) |
步驟七:我們?cè)賮?lái)觀察,網(wǎng)內(nèi)存在ARP欺騙情況時(shí)流量排行圖。請(qǐng)仔細(xì)對(duì)比上述兩圖。
我們會(huì)發(fā)現(xiàn)問(wèn)題的所在:
①TOP1 節(jié)點(diǎn)219.238.*.111占據(jù)網(wǎng)內(nèi)最大ARP流量。
②TOP2中的流量急速增大且與TOP3差距懸殊。
③我們知道,在網(wǎng)絡(luò)常的情況下,不同節(jié)點(diǎn)的ARP流量會(huì)有差距,但應(yīng)該相差不大。同時(shí)我們對(duì)比在網(wǎng)絡(luò)正常情況下ARP流量TOP圖,并以它做為基準(zhǔn),問(wèn)題就顯而易見(jiàn)了。
④這里需要解釋的是,Broadcast在下圖中排行第二,為什么呢?因?yàn)锽roadcast是網(wǎng)內(nèi)廣播總計(jì),但ARP分為請(qǐng)求(廣播)、和回應(yīng)(單播)兩種,當(dāng)219.238.*.111的回應(yīng)(也就是單播數(shù)量)大于ARP請(qǐng)求(廣播的數(shù)量)將可能出現(xiàn)ARP總流量大于Broadcast的情況,這也印證我們?cè)陂_(kāi)場(chǎng)所說(shuō)的:當(dāng)節(jié)點(diǎn)出現(xiàn)ARP欺騙時(shí),它會(huì)向網(wǎng)內(nèi)ARP reply。
![""]("http://netsecurity.51cto.com/files/uploadimg/20071024/1204546.gif") 498)this.style.width=498;" border=0> |
| 圖7(點(diǎn)擊查看大圖) |
步驟八:再來(lái)看看節(jié)點(diǎn)219.238.*.111的traffic map (通信圖),幾乎與網(wǎng)內(nèi)所有節(jié)點(diǎn)都有ARP通信。同時(shí)與節(jié)點(diǎn)wangguan(網(wǎng)關(guān))通信數(shù)據(jù)量最大。至于它為什么最大?在文章開(kāi)始介紹ARP時(shí)提過(guò),這里不在贅述。
![""]("http://netsecurity.51cto.com/files/uploadimg/20071024/1204547.gif") 498)this.style.width=498;" border=0> |
| 圖8(點(diǎn)擊查看大圖) |
