对比“SnifferPro、EtherPeek、科来网络分析系统”之ARP攻击分析对比“SnifferPro、EtherPeek、科来网络分析系统”之ARP攻击分析我们知道，SnifferPro、EtherPeek、科来网络分析系统是当前最流行的三大网络分析软件，它们都通过捕获网络中传输的数据包，对网络进行分析并快速定位网络故障，从而帮助网络管理人员解决问题。SnifferPro和EtherPeek相对科来网络分析系统而言，起步较早，支持的协议也更多，但它们都是国外的产品，在产品界面及技术支持方面都没有本地化服务，国内网络爱好者使用起来，有一定的难度。科来网络分析系统是国内企业自主研发的产品，界面及技术支持均是本地化服务，同时，产品的功能设计更针对国内用户的具体情况，更适用于国内网络。ARP攻击是当前最常见的攻击之一，该攻击不要求攻击者具备高深的技术水平，且病毒也可能引起ARP攻击，所以在大中小型网络中，这种攻击都非常普遍。同时，我们知道，ARP攻击对网络的影响非常大，轻微时可以对数据通讯进行窃听，严重时将导致整个网络瘫痪。所以，快速定位排查ARP攻击，对保障网络的安全，具有非常重要的作用。正巧，前两天有个客户说他的抓包时发现网络中有大量ARP数据包，猜测可能存在ARP攻击，并抓了一个数据包发给我。借此机会，我们就同时使用SnifferPro、EtherPeek、科来网络分析系统来查找该网络中的ARP攻击，并对比这三大网络分析软件的ARP分析功能。在三个软件中分别打开该数据包，发现其数据包如图1，2，3所示。三个软件的数据包列表中，都列出了3991个数据包，且从图中可知，这些数据包都是ARP数据包。从图1即SnifferPro的数据包窗口中，可以看到全是ARP请求数据包，且这些数据包全是由00:0F:FE:01:22:7C主机发起。从图2即EtherPeek的数据包窗口中，看到数据包也全是ARP请求数据包，也可以看到数据包全是由00:0F:FE:01:22:7C发起。从图3即科来网络分析系统的数据包窗口中，看到数据包也全是ARP请求数据包，也可以看到数据包全是由00:0F:FE:01:22:7C发起。CSNA网络分析论坛http://www.csna.cnPage1of5对比“SnifferPro、EtherPeek、科来网络分析系统”之ARP攻击分析（图1SnifferPro的数据包窗口）CSNA网络分析论坛http://www.csna.cnPage2of5对比“SnifferPro、EtherPeek、科来网络分析系统”之ARP攻击分析（图2EtherPeek的数据包窗口）（图3科来网络分析系统的数据包窗口）根据这一项，我们可以看到，00:0F:FE:01:22:7C主机在大量发送ARP请求数据包，但这些数据包是否正常我们却不可知，因为主机在正常通讯时都会发送ARP数据包的。所以，下面我们查看这三个软件的专家智能诊断功能，即从软件中是否可以直接看出这些ARP请求数据包是否正常。根据上面的情况，我们可以看出，这三个软件在捕获ARP攻击数据包方面，表现的不相上下。下面我们查看这三个软件的专家智能诊断，其结果分别如图4，5，6。图4是SnifferPro的专家诊断窗口，指出网络中存在广播/组播风暴。图5是EtherPeek的专家诊断窗口，指出网络中存在以太网广播风暴，且能根据源MAC快速定位到故障主机。图6是科来网络分析系统的专家诊断窗口，指出网络中存在ARP请求风暴和ARP太多无请求应答，即ARP欺骗，并根据源MAC快速定位到攻击主机。CSNA网络分析论坛http://www.csna.cnPage3of5对比“SnifferPro、EtherPeek、科来网络分析系统”之ARP攻击分析（图4SnifferPro的专家诊断窗口）CSNA网络分析论坛http://www.csna.cnPage4of5对比“SnifferPro、EtherPeek、科来网络分析系统”之ARP攻击分析（图5EtherPeek的专家诊断窗口）（图6科来网络分析系统的专家诊断窗口）根据上面的分析我们可知，在SnifferPro和EtherPeek中，虽然指明了有广播风暴，但没有具体指明广播风暴的类型，这样让用户很难确切找到故障的原因。而在科来网络分析系统中，直接定出了ARP请求风暴（ARP扫描）和ARP太多无请求应答（ARP欺骗），且定位出了ARP扫描和ARP欺骗的源主机（MAC地址），根据这个结果，我们即可明确知道网络中的存在ARP攻