步骤六:我们先来观察,在正常网络状况下,ARP协议的TOP流量分布图,这将方便我们的区分、判断。鼠标点击左边工具栏中的Bar(柱形图标),我们知道Bar会将目前数据包流量排行前10位,通过动态柱型图的方式显示出来。同上图的Detail(详细显示方式)一样,只不过Bar在界面上对于观察者来讲更为直观。需要注意的是:
①Broadcast(网内所有节点的广播)占TOP排行第一位。
②其它节点依次排开。但是,流量差距不大。
图6
步骤七:我们再来观察,网内存在ARP欺骗情况时流量排行图。请仔细对比上述两图。
我们会发现问题的所在:
①TOP1 节点219.238.*.111占据网内最大ARP流量。
②TOP2中的流量急速增大且与TOP3差距悬殊。
③我们知道,在网络常的情况下,不同节点的ARP流量会有差距,但应该相差不大。同时我们对比在网络正常情况下ARP流量TOP图,并以它做为基准,问题就显而易见了。
④这里需要解释的是,Broadcast在下图中排行第二,为什么呢?因为Broadcast是网内广播总计,但ARP分为请求(广播)、和回应(单播)两种,当219.238.*.111的回应(也就是单播数量)大于ARP请求(广播的数量)将可能出现ARP总流量大于Broadcast的情况,这也印证我们在开场所说的:当节点出现ARP欺骗时,它会向网内ARP reply。
图7
步骤八:再来看看节点219.238.*.111的traffic map (通信图),几乎与网内所有节点都有ARP通信。同时与节点wangguan(网关)通信数据量最大。至于它为什么最大?在文章开始介绍ARP时提过,这里不在赘述。
图8
上一页 1 2 3 下一页
安全中国首页 > 文章中心 > Sniffer嗅探