从抓包分析角度分析arp攻击

什么是arp攻击？

ARP攻击就是通过伪造IP地址和mac地址实现ARP欺骗，能够在网络中产生大量的ARP通信量使网络阻塞，攻击者只要持续不断的发出伪造的ARP响应包就能更改目标主机ARP缓存中的IP-MAC条目，造成网络中断或中间人攻击。所以要判断网络中是否有arp攻击，一个重要的判断依据是：内网是否有大量的异常arp响应包

ARP攻击数据包分析过程

1.检查内网是否有大量异常的arp响应包

网络越大arp响应包就有可能越多，如果仅从arp响应包的数量来看，并不能准确判断内网是否存在arp异常响应。要准确判断内网是否存在arp欺骗，需要看arp响应包数量是否远远大于arp请求包的数量，arp响应包远远大于arp请求包的情况见下图：

2.找出发送大量arp回应包的MAC地址

对arp协议包进行分析，发现MAC地址 00:0B:2F:00:AD:80大量发送arp响应包的情况，并且响应的内容是：00:0B:2F:00:AD:80 的 IP是192.168.1.254，如下图所示：

3.确认对应MAC地址是否存在伪装其他IP的情况

从其他非arp协议的通信看，192.168.1.254对应的MAC地址是：00:0E:A0:00:81:BB ，可以判断00:0B:2F:00:AD:80 有伪装成192.168.1.254的情况，如下图所示：

4.确认问题MAC地址的真实IP

从其他非arp协议（netbIOS协议）的通信看，MAC地址：00:0B:2F:00:AD:80 使用的IP是192.168.1.22，判断00:0B:2F:00:AD:80正在使用的IP就是192.168.1.22，如下图所示：

5.分析结论

MAC地址：00:0B:2F:00:AD:80 使用的IP是192.168.1.22，伪装成192.168.1.254