Arp方式监听的检测
首先是借助检测ip地址和mac地址对应的工具,如arpwatch,安装了arpwatch的系统在发生mac地址变化时会在系统的日志文件中看到如下提示
Apr2123:05:00192.168.1.35arpwatch:flipflop192.168.1.330:90:6d:f2:24:0(8:0:20:c8:fe:15)
Apr2123:05:02192.168.1.35arpwatch:flipflop192.168.1.338:0:20:c8:fe:15(0:90:6d:f2:24:0)
Apr2123:05:03192.168.1.35arpwatch:flipflop192.168.1.330:90:6d:f2:24:0(8:0:20:c8:fe:15)
从提示中可以看出arpwatch检测到了网关mac地址发生了改变。
其次借助于一些入侵检测系统,如snort,亦可以起到的一定的检测作用。在snort的配置文件中打开arpspoof的preprocessor开关并进行配置即可。
作者本人试验发现,如果采用本地解析时,观测局域网本地的dns服务器的反解是一个好的办法,因为发起arpspoof的主机会不间断的尝试正反解析冒充的网关ip,发送数量非常多的重复解析数据包,当怀疑有arpspoof时很容易被发现,如下:
nameserver#tcpdump-n-s0port53
tcpdump:listeningonhme0
23:19:22.489417192.168.1.35.41797>192.168.1.68.53:32611+PTR?33.224.102.202.in-addr.arpa.(45)(DF)
23:19:22.490467192.168.1.35.41798>192.168.1.68.53:32611+PTR?33.224.102.202.in-addr.arpa.(45)(DF)
结束语
上面我们介绍了网络监听技术的几个主要方面,包括网络监听的主要技术细节,具体实现,检测方法等。此外还介绍了一种非传统的监听方式,通过本文,希望读者能对网络监听产生一些认识。