【正文】 構、多協議的網絡，極大地簡化了發(fā)現及解決網絡問題的過程。此外， Sniffer 還提供了專家配制功能，用戶可以自已設定專家系統判斷故障發(fā)生的觸發(fā)條件。網絡統計：如當前和平均網絡利用率、總的和當前的幀數及字節(jié)數、總站數和激活的站數、協議類型、當前和總的平均幀長等；協議統計：如協議的網絡利用率、協議個數、協議的字節(jié)數以及每種協議中各種不同類型的幀統計等；差錯統計：如錯誤的 CRC 校驗數、發(fā)生的碰撞數、錯誤幀數等；站統計：如接收和發(fā)送的幀數、開始時間、停止時 間、消耗時間、站狀態(tài)等， Sniffer 最多可統計 1024 個站；幀長統計：如某一幀長的幀所占百分比、某一幀長的幀數等。 Sniffer 網絡分析儀的超強功能 34 故障定位及排除 Sniffer 涉及到系統、設備、應用等多個層面，因此將網絡性能報告或網絡故障準確定位在涉及到（線 路、設備、服務器、操作系統、電子郵件）的具體位置，是 Sniffer 提供的基本功能?？焖俳鉀Q問題：利用自動的問題識別、分析 與推薦方案，用戶可從根本上精簡故障診斷時間；優(yōu)化投資：利用網絡性能降級原因的精確信息，用戶可以有效避免因某個偶然問題而草率投入大量資金的錯誤，利用 Sniffer，用戶可以明智地根據分析結果作出周密的網絡管理計劃；提高生產率：通過自動、連續(xù)地了解網絡配置， Sniffer 減少了網絡例行維護時間，由此提高效率和生產率；全方位滿足用戶需求， Sniffer 在網絡性能受到影響前會自動地傳送預先警告，使用戶能夠在事件發(fā)生之前主動地調整網絡，保證終端用戶的持續(xù)工作。 為了確定到底是那些計算機在生成這些數據包，技術人員 又調用了 Sniffer 的另外一個流量監(jiān)控功能 HostTable， HostTable 可監(jiān)控網絡中每臺計算機的流量狀況，包括每臺計算機收到的數據包數、數據包字節(jié)數、每臺計算機發(fā)出的數據包數、發(fā)出數據包的字節(jié)數、總的包數和總的字節(jié)數等流量信息。 對于 ARP 攻擊防制，本人建議，最好的方法是先踏踏實實把基本防制工作做好，才是根本解決的方法。 在一個人人誠實的地方，快遞員的工作還是能切實地進行；但若是旁人看快遞物品值錢，想要欺騙取得的話，快遞員這種工作方式就會帶來混亂了。 舍棄 ARP 協議，采用其它尋址協議：不采用 ARP 作 為傳送的機制，而另行使用其它協議例如 PPPoE 方式傳送。第一，面對高頻率的新式ARP 攻擊， ARP echo 發(fā)揮不了效果，掉線斷網的情況仍舊會發(fā)生。 做好 ARP 防范是一個任重而道遠的過程，必須高度重視這個問題，而且不能大意馬虎，我們得隨時警惕 ARP 攻擊， 以減少受到的危害，提高工作效率，降低經濟損失 。我們在一起的日子，我會記一輩子的。只是今后大家就難得再聚在一起吃每年元旦那頓飯了吧，沒關系，各奔前程，大家珍重。及時的研究 ARP 技術，無論是對我們現在和未來，都將帶來相當大的影響。 但是這種作法，明顯有幾個問題：第一，即使時時提醒，但由于快遞員意志不堅定，仍會有部份的信件因為要發(fā)出時剛好收到錯誤的信息，以錯誤的方式送出去；這種情況如果是錯誤的信息頻率特高，例如有一個人時時在快遞員身邊連續(xù)提供信息，即使打電話提醒也立刻被覆蓋，效果就不好；第二，由于必須時時提醒，而且為了保證提醒的效果好，還要加大提醒的間隔時間，以防止被覆蓋，就好比快遞員一直忙于接聽總部打來的電話，根本就沒有時間可以發(fā)送信件，耽誤了正事；第三，還要專門指派一位人時時打電話給快遞 員提醒，等于要多派一個人手負責，而且持續(xù)地提醒，這個人的工作也很繁重。針對 ARP 攻擊的防制，常見的方法，可以分為以下三種作法： 利用 ARP echo 傳送正確的 ARP 訊息：通過頻繁地提醒正確的 ARP 對照表，來達到防制的效果。這個特性好比一個意志不堅定的人，聽了每一個人和他說話都信以為真，并立刻以最新聽到的信息作決定。 基于出色的性能， Sniffer 近年獲得的全球性大獎超過 45 個，在 2020 年榮獲美國知名媒體《 NetwWork Computing》 十年來最佳網絡產品獎 ，同獲此殊榮的產品包括：MS Windows NT、 Novell Netware、 Cisco 路由器與 Apache Web 服務器。從這些監(jiān)控中， Sniffer 的技術人員發(fā)現用戶的整體網絡帶寬占用率并不高（如左邊的儀表盤所示），只有 10%左右，網絡中的絕對流量也不大，但工程師同時發(fā)現網絡中的數據包卻非常多（如中間的儀表盤所示），甚至超過了 Sniffer 缺省定義的警戒值。 作為用于網絡故障與性能管理的業(yè)界標準分析工具， Sniffer 為用戶的網絡提供了領先于其他解決方案的分析、協議解釋、自動化與可見性等功能。這些數據不僅能幫助網絡管理者預測額外的帶寬需求，還可以幫助用戶分配網絡資源。此外， Sniffer 還可以實施強制解碼功能，如果網絡線路上運行的是 非標準協議， Sniffer 可以使用一個現有標準協議樣板去嘗試解釋捕獲的數據。經過將問題分離、分析和歸類， Sniffer 可實時、自動地發(fā)出警告，解釋問題的性質并提出解決方案。 此時屏幕上會出現一個窗口，如圖 1 圖 1 32 顯示當前發(fā)現的機器列表和相應的參數， 其中有一項“ DLC Station”指的就是機器網卡的 MAC 地址，如圖所示： 利用 Sniffer Pro 徹底解決 IP 被盜用問題 Sniffer Pro 的 Expert 對話框 找到被盜用的 IP 地址所對應的網卡 MAC 地址，就可以順藤摸瓜查到這臺機器究竟是哪臺了。 3. 然后用 Arp a 命令查看當前的 Arp 解析表，從中獲得對方網卡的 MAC 地址。由此，工程師已經十分確定，造成這個用戶網絡的癱瘓原因就是由于那些感染了 CodeRed 病毒的計 算機引起的。 在 CodeRedⅡ肆虐的時候， Sniffer 就曾經神奇地配合用戶及時地發(fā)現了問題。見圖 10： 圖 10 29 可以定義連續(xù)地發(fā)送 buffer 中地數據包或只發(fā)送一次 buffer 中地數據包。selectfilter,應用過濾規(guī)則。 Expert:這是 sniffer 提供的專家模式，系統自身根據捕獲的數據包從鏈路層到應用層進行分類并作出診斷。 Protocoldistribution:可以實時觀察到數據流中不同協議的分布情況。 二、捕獲數據包時觀察到的信息 Capture224。 PacketSize選項中，可以定義捕獲的包大小，圖 3，是定義捕獲包大小界于 64 至 128bytes的數據包。這樣就完成了地址的定義。 Sniffer 提供了捕獲數據包前的過濾規(guī)則的定義，過濾規(guī)則包括 3 層地址的定義和幾百種協議的定義。靜態(tài) ARP 協議表不會過期的，我們用 “arp d” 命令清除 ARP 表，即手動刪除。 三，如何實現 ARP 協議的欺騙技術和相應的對策 1， ARP 協議欺騙技術 當我們設定一個目標進行 ARP 欺騙時，也就是把 MAC 地址通過一主機 A 發(fā)送到主機B 上的數據包都變成發(fā)送給主機 C 的了，如果 C 能夠接收到 A 發(fā)送的數據包后，第一步屬于嗅探成功了，而對于主機 A 來目前是不可能意識到這一點，主機 C 接收到主 機 A發(fā)送給主機 B 的數據包可沒有轉交給 B。也有反向地址解析協議（ RARP）供不知道 IP 地址的主機從 ARP 緩存中獲得 IP 地址。在一次 ARP 的請求與響應過程中，通信雙方都把對方的 MAC 地址與 IP 地址的對 應關系保存在各自的 ARP表中，以在后續(xù)的通信中使用。 二， ARP 協議的工作原理 在以太網（ Ether）中，一個網絡設備要和另一個網絡設備進行直接通信，除了知道目標設備的網絡層邏輯地址（如 IP 地址）外，還要知 道目標設備的第二層物理地址（ MAC 地址）。 網絡安全中的 ARP 協議和欺騙技術及其對策 ARP 協議的概念和工作原理對 學習網絡安全知識的初學者來說是首先遇到的幾個重要的知識點之一，其中 ARP 欺騙技術和及其對策更是學習網絡安全中的重點與難點， 16 往往難以一下子掌握這些 抽象復雜的機理。 不過，如果不在 PC 上綁定 IPMAC，雖然有主動防范機制，但網絡依然在帶病運 行。一是獨特的 NAT 處理機制，二是網關的主動防范機制。一般廠家要求兩個工作都要做，稱其為 IPMAC 雙向綁定。在 PC 看來，就是 上不了網了， “ 網絡掉線了 ” 。 “ 網管，怎么又掉線了？！ ” 每每聽到客戶的責問，網管員頭都大了。 【在局域網內查找病毒主機】 在上面我們已經知道了使用 ARP 欺騙木馬的主機的 MAC 地址，那么我們就可以使用NBTSCAN（下載地址： 快速查找它。現在 D 就完全成為 A 與 C 的中間橋梁 了，對于 A 和 C 之間的通訊就可以了如指掌了。 A 對這個變化一點都沒有意識到，但是接下來的事情就讓 A 產生了懷疑。如果找到了 ，也就知道了目標 MAC 地址，直接把目標 MAC 地址寫入幀 里面發(fā)送就可以了；如果在 ARP 緩存表中沒有找到相對應的 IP 地址，主機 A 就會在網絡上發(fā)送一個廣播，目標 MAC 地址是 “” ，這表示向同一網段內的所有主機發(fā)出這樣的詢問：“ 的 MAC 地址是什么？ ” 網絡上其他主 機并不響應 ARP 詢問，只有主機B 接收到這個幀時，才向主機 A 做出這樣的回應： “ 的 MAC 地址是bbbbbbbbbb bb” 。在局域網中，網絡中實際傳輸的是 “ 幀 ” ，幀里面是有目標主機的 MAC 地址的。在 Windows 中要查看或者修改 ARP緩存中的信息，可以使用 arp 命令來完成，比如在 Windows XP 的命令提示符窗口中鍵入 “arp a” 或 “arp g” 可以查看 ARP 緩存中的內容；鍵入 “arp d IPaddress” 表示刪除指定的 IP 地址項（ IPaddress 表示 IP 地址）。 然而要處理好這種問題，就是我選擇這個課題的根本所在。如果您對 ARP的知識不了解的話那么當 你受到 ARP 攻擊的時候就會受到其大的影響。 不要隨便點擊打開 、 MSN 等聊天工具上發(fā)來的鏈接信息，不要隨便打開或運行陌生、可疑文件和程序，如郵件中的陌生附件，外掛程序等。 網吧管理員檢查局域網病毒，安裝殺毒軟件（金山毒霸 /瑞星 /卡巴斯基 ，必須要更新病毒代碼），對機器進行病毒掃描。 一般處理辦法分三個步驟來完成。 ” 這樣，主機 A 就知道了主機 B 的MAC 地址，它就可以向主機 B 發(fā)送信息了。本文為大家?guī)磉M階的 ARP 攻擊防制方法。 ARP 協議的基本功能就是通過目標設備的 IP 地址，查詢目標設備的 MAC 地址，以保證通信的順利進行。 ping 路由器的 LAN IP 丟包情況。 針對網絡內的其它主機用同樣的方法輸入相應的主機 IP 以及 MAC 地址完成 IP 與MAC 綁定。 經常更新殺毒軟件（病毒庫），設置允許的可設置為每天定時自動更新。 ARP 攻擊不同于病毒，也不是系統漏洞，他不是病毒，但比病毒厲害；你打補丁 ，或裝防火墻，或安裝殺毒軟件都對他毫無意義。那時候我們如何去解決呢？ ARP 對網吧的危害最大，在前期我們一般采用雙向梆定的方法即可解決但是 ARP變種 ， 大家也許還在為網關掉線還以為是電信的問題還煩惱吧，其實不然變種過程 ARP病毒 變種 或 現在的這個ARP 變種病毒更 是厲害，我把 一些實際遇到的問題介紹 大家聽聽，如果大家有這些情況，不好意思 “恭喜你 ”你中大獎了，呵呵 ~~先了解 ARP 變種病毒的特性吧 : 9 一 :破壞你的 ARP 雙向綁定批出理 二 :中毒機器改變成代理服務器又叫代理路由 三 :改變路由的網關 MAC 地址和 internat 網關的 MAC 地址一樣病毒發(fā)作情況：現在的 ARP 變種 不是攻擊客戶機的 MAC 地址攻擊路由內網網關，改變了它的原理，這點實在佩服直接攻擊您的路由的什么地址你知道嗎？哈哈 ~~猜猜吧 ~~不賣關了 ~~新的變種 ARP 直接攻擊您路由的 MAC 地址和 外網網關而且直接就把綁定 IP 與 MAC 的批處理文件禁用了。所謂“ 地址解析 ” 就是主機在發(fā)送幀前將目標 IP 地址轉換成目標 MAC 地址的過程。 【故障原理】 要了解故障原理，我們先來了解一下 ARP 協議