arp攻击追踪：ethereal捕获与分析案例

在IT网络环境中，ARP（Address Resolution Protocol）是一种基本的协议，用于在局域网中解决IP地址与物理地址之间的映射关系。遇到网络问题时，通过抓包工具如Ethereal（现已被Wireshark取代）进行深入分析显得尤为重要。本文讲述了一个具体案例，展示了如何通过Ethereal的高级功能"Follow TCP Flow"来追踪和解决网络问题。 案例背景是某公司内部OA系统和部分网站出现问题，表现为页面空白、框架加载失败，以及IE浏览器左下角出现异常链接。经过初步判断，问题可能与ARP欺骗有关。使用Ethereal，操作员命令妹妹模拟访问目标服务器（IP: 10.55.0.23），同时抓取通信数据。 在抓包后的数据分析中，操作员筛选出与IP地址10.55.0.23相关的TCP通讯数据，利用"Follow TCP Flow"功能跟踪整个会话流程。结果显示，在数据返回过程中，数据被插入了一个指向恶意网站（http://pop.yoyo59.com/so.htm）的iframe元素，这表明有机器在数据传输过程中篡改了内容。 进一步的排查中，发现服务器（IP: 10.55.0.23）发送给妹妹机器（IP: 10.55.3.230）的数据中，MAC地址与预期的网关MAC地址不符。正常情况下，10.55.0.23的MAC应该是网段网关的，即10.55.3.230所在网段的MAC地址，但实际收到的却是00:11:09:0f:72:1c。这表明存在一个伪造的ARP条目，将10.55.0.23的MAC映射到了错误的地址。 这个过程揭示了一种潜在的"下行挂马"攻击手法，攻击者可能在数据流经网关时篡改并重新定向，使目标机器自动连接到指定网站或访问恶意网页。通过MAC地址和ARP表的匹配，操作员成功定位到了问题机器，从而解决了此次网络问题。 案例中的处理过程体现了网络故障排查和安全分析的实战技巧，包括使用抓包工具进行数据采集，分析网络通信模式，识别可能的攻击行为，并利用MAC地址和ARP记录来追踪攻击源头。这对于维护企业网络环境的安全性和稳定性具有重要意义。