ARP Sinffer攻防实例讲解

核心提示： 抓包分析使用siniffer抓包，分析详细数据包情况，ARP Sinffer攻防实例讲解(3)，根据分析初步判断是遭受了ARP欺骗攻击，因为原本一个IP地址对应一个MAC地址，员工的好奇和网络开发，知识挖掘和资源共享，但在siniffer的数据报告上面显示的IP地址对应的MAC地址全部都成

抓包分析

使用siniffer抓包，分析详细数据包情况。根据分析初步判断是遭受了ARP欺骗攻击，因为原本一个IP地址对应一个MAC地址，但在siniffer的数据报告上面显示的IP地址对应的MAC地址全部都成了一个。

具体解决过程

打开服务器，发现上面竟然安装了server-u5.0，还有代理服务器 ccproxy。前段时间还和朋友探讨这两个软件的溢出和提权，估计是已经被人成功拿下了，在服务器的c盘目录上发现了winpcap，还发现了arp siniffer这两个软件。前面已经讲过如何利用arp siniffer嗅探密码和资料了，这里就不再过多介绍。

现在应该去抓这只鬼了，首先我们要搜索.txt文本文件，考虑到他既然如此大胆的把文件放在c盘根目录下，从黑客行为上分析，这个黑客的水平和技法也不怎么样，也有可能我小看了他。根据在c盘搜索到的txt文件，按时间倒序排列，找出最新生成的txt文档，果然一个名叫admin.txt的文本文档进入了我们的视线。打开一看，n多帐户和密码，经过嫂子的辨认，非常重要的一台办公服务器的用户名和密码都在上面，要知道它可是直接和省增值服务网络直接互通的，如果这个网络被入侵的话，那么损失将是不可估量的。

现在做的只有迅速断开网络连接，更改密码，把server-u升级到6.0最新版本。关闭了ccproxy代理服务器，把这个arp sniffer这个垃圾清扫出去，给其他老师的机器打补丁，做漏洞扫描，这里说句题外话，在清理的过程中发现很多机器上面的用户名和密码都为空，ipc$,3389，远程协助全都是打开状态。

至此，所有的问题都已经解决了，但并不是所有人都可以这样做，其实遭受攻击的原因很多是因为内部员工使用终端不当，抛开内部员工泄密不说，单说基本的安全常识，就有很多企业的员工不知道。这些都给黑客的各种入侵带来了极大的便利。

据一些专业媒体调查，ARP欺骗攻击大多都发生在企业内部网络和办公网络，员工的好奇和网络开发，知识挖掘和资源共享，往往成为一些病毒和网络攻击的训练场，那么ARP欺骗究竟是怎么产生的？ARP又是依据怎样的原理实现攻击的呢？