一個黑客攻擊進行了非常詳細的掩護。這些掩護阻礙了我們找到arp攻擊的源頭的問題。如果您非要找到arp攻擊的源頭。您需要結(jié)合常見電腦黑客攻擊類型與預(yù)防方法。佰佰安全網(wǎng)傳授給了我們arp攻擊怎么查找源頭的方法。

定位ARP攻擊源頭，主動定位方式：因為所有的ARP攻擊源都會有其特征——網(wǎng)卡會處于混雜模式，可以通過ARPKiller這樣的工具掃描網(wǎng)內(nèi)有哪臺機器的網(wǎng)卡是處于混雜模式的，從而判斷這臺機器有可能就是“元兇”。定位好機器后，再做病毒信息收集，提交給趨勢科技做分析處理。

標注：網(wǎng)卡可以置于一種模式叫混雜模式(promiscuous)，在這種模式下工作的網(wǎng)卡能夠收到一切通過它的數(shù)據(jù)，而不管實際上數(shù)據(jù)的目的地址是不是它。這實際就是Sniffer工作的基本原理：讓網(wǎng)卡接收一切它所能接收的數(shù)據(jù)。被動定位方式：在局域網(wǎng)發(fā)生ARP攻擊時，查看交換機的動態(tài)ARP表中的內(nèi)容，確定攻擊源的MAC地址;也可以在局域居于網(wǎng)中部署Sniffer工具，定位ARP攻擊源的MAC。

也可以直接Ping網(wǎng)關(guān)IP，完成Ping后，用ARP –a查看網(wǎng)關(guān)IP對應(yīng)的MAC地址，此MAC地址應(yīng)該為欺騙的MAC。使用NBTSCAN可以取到PC的真實IP地址、機器名和MAC地址，如果有”ARP攻擊”在做怪，可以找到裝有ARP攻擊的PC的IP、機器名和MAC地址。命令：“nbtscan -r 192.168.16.0/24”(搜索整個192.168.16.0/24網(wǎng)段, 即192.168.16.1-192.168.16.254);或“nbtscan 192.168.16.25-137”搜索192.168.16.25-137 網(wǎng)段，即192.168.16.25-192.168.16.137。輸出結(jié)果第一列是IP地址，最后一列是MAC地址。

arp攻擊怎么查找源頭呢?歡迎登錄并查看佰佰安全網(wǎng)的網(wǎng)絡(luò)安全小知識哦。

責(zé)任編輯:慕丹萍