我有一個設想:在中國大部分人是使用的Windows系統,不管是攻擊者,還是感染了ARP病毒的主機。Windows系統預設會開啟檔案與印表機共享,這個功能是基於NetBios的。NetBios的作用就是將主機名翻譯為IP地址。例如當你訪問網路上的芳鄰和使用區域網共享的時候,Windows就是透過NetBios協議去發現主機名並將主機名翻譯為IP地址的。基於這個設想,透過抓包,你可以得到感染主機的IP地址,但是MAC地址可能偽造。我們不妨採用NetBios協議來掃描網段內的WIndows主機。掃描完成之後,你可以得到網段記憶體活Windows主機的IP地址,以及其對應的主機名和MAC地址。透過掃描結果,你就可以檢視某IP地址的真實MAC地址。需要注意的是:NetBios只對Windows系統有效。這個方法完全是基於上述的設想。如果攻擊者或者是被感染主機不是Windows系統,或者是Windows系統但禁用的NetBios,該方法無效。我常常用這個方法來檢測網路中的執行在Windows平臺下的嗅探器。如果攻擊者同時偽造了IP和MAC地址,這有些難辦。但有個最粗暴的辦法,這個辦法需要你拿到網路裝置的物理許可權。有段時間我在研究ARP欺騙的時候,我監聽的IP地址數量太多,導致網路中出現了嚴重的丟包,我也隱藏了IP和MAC地址。同學們上網絡卡頓明顯,網路中心多次受到同學們的投訴。他們的辦法非常粗暴:直接到我們那棟樓的機櫃,把交換機上的網線挨著挨著拔掉。拔掉了哪根網線網路恢復了正常,就說明這個網線的另一頭就是攻擊源。在Windows橫行的中國,多數人不會去手動禁用NetBios協議的。如下圖:
我有一個設想:在中國大部分人是使用的Windows系統,不管是攻擊者,還是感染了ARP病毒的主機。Windows系統預設會開啟檔案與印表機共享,這個功能是基於NetBios的。NetBios的作用就是將主機名翻譯為IP地址。例如當你訪問網路上的芳鄰和使用區域網共享的時候,Windows就是透過NetBios協議去發現主機名並將主機名翻譯為IP地址的。基於這個設想,透過抓包,你可以得到感染主機的IP地址,但是MAC地址可能偽造。我們不妨採用NetBios協議來掃描網段內的WIndows主機。掃描完成之後,你可以得到網段記憶體活Windows主機的IP地址,以及其對應的主機名和MAC地址。透過掃描結果,你就可以檢視某IP地址的真實MAC地址。需要注意的是:NetBios只對Windows系統有效。這個方法完全是基於上述的設想。如果攻擊者或者是被感染主機不是Windows系統,或者是Windows系統但禁用的NetBios,該方法無效。我常常用這個方法來檢測網路中的執行在Windows平臺下的嗅探器。如果攻擊者同時偽造了IP和MAC地址,這有些難辦。但有個最粗暴的辦法,這個辦法需要你拿到網路裝置的物理許可權。有段時間我在研究ARP欺騙的時候,我監聽的IP地址數量太多,導致網路中出現了嚴重的丟包,我也隱藏了IP和MAC地址。同學們上網絡卡頓明顯,網路中心多次受到同學們的投訴。他們的辦法非常粗暴:直接到我們那棟樓的機櫃,把交換機上的網線挨著挨著拔掉。拔掉了哪根網線網路恢復了正常,就說明這個網線的另一頭就是攻擊源。在Windows橫行的中國,多數人不會去手動禁用NetBios協議的。如下圖: