三步搞定ARP攻击（排查解决办法）

{今天是本月最后一篇技术分享，明天开始进入每月第一周的经营管理分享，祝大家五一劳动节快乐！}什么是ARP攻击...



{今天是本月最后一篇技术分享，明天开始进入每月第一周的经营管理分享，祝大家五一劳动节快乐！}什么是ARP攻击

ARP攻击就是通过伪造IP地址和MAC地址实现ARP欺骗，能够在网络中产生大量的ARP通信量使网络阻塞，攻击者只要持续不断的发出伪造的ARP响应包就能更改目标主机ARP缓存中的IP-MAC条目，造成网络中断或中间人攻击。

ARP攻击主要是存在于局域网网络中，局域网中若有一台计算机感染ARP木马，则感染该ARP木马的系统将会试图通过“ARP欺骗”手段截获所在网络内其它计算机的通信信息，并因此造成网内其它计算机的通信故障。

ARP攻击排查

1、使用Sniffer抓包。在网络内任意一台主机上运行抓包软件，捕获所有到达本机的数据包。如果发现有某个IP不断发送请求包，那么这台电脑很可能就是病毒源。

原理：无论何种ARP病毒变种，行为方式有两种，一是欺骗网关，二是欺骗网内的所有主机。最终的结果是，在网关的ARP缓存表中，网内所有活动主机的MAC地址均为中毒主机的MAC地址；网内所有主机的ARP缓存表中，网关的MAC地址也成为中毒主机的MAC地址。前者保证了从网关到网内主机的数据包被发到中毒主机，后者相反，使得主机发往网关的数据包均发送到中毒主机。

2、使用arp -a命令。任意选两台不能上网的主机，在DOS命令窗口下运行arp -a命令。例如在结果中，两台电脑除了网关的IP，MAC地址对应项，都包含了192.168.0.186的这个IP，则可以断定192.168.0.186这台主机就是病毒源。

原理：一般情况下，网内的主机只和网关通信。正常情况下，一台主机的ARP缓存中应该只有网关的MAC地址。如果有其他主机的MAC地址，说明本地主机和这台主机最后有过数据通信发生。如果某台主机（例如上面的192.168.0.186）既不是网关也不是服务器，但和网内的其他主机都有通信活动，且此时又是ARP病毒发作时期，那么，病毒源也就是它了。

3、使用tracert命令。在任意一台受影响的主机上，在DOS命令窗口下运行如下命令：tracert 61.135.179.148。　假定设置的缺省网关为10.8.6.1，在跟踪一个外网地址时，第一跳却是10.8.6.186，那么，10.8.6.186就是病毒源。

原理：中毒主机在受影响主机和网关之间，扮演了“中间人”的角色。所有本应该到达网关的数据包，由于错误的MAC地址，均被发到了中毒主机。此时，中毒主机越俎代庖，起了缺省网关的作用。

利用以上三种办法，就可以轻松的搞定ARP攻击！

友情编辑：西安致微迅信息技术有限公司  技术经理：田野

分享

如果你觉得文章还不错，请动动您的手指转发出去，或许也可以帮助到其他人！

你的一指之举，就可以将这份收获帮助到更多的人，这也是对IT技术精进的最大支持，你的支持也是让我不断创作更多优秀分享作品的源动力......

回复：“1” 精彩回顾

回复：“2” 添加管理员微信，拉你进“找IT技术群”，开放式IT技术平台4月25日上午9点整群里公测......

回复不同关键词查询不同技术分享，如“交换机”/“无线”/“网络”/“打印机”/“解决方案”等。

创新IT服务模式—让你拥有IT技术的新能量，无论你遇到什么IT问题，都可以联系我们获得免费技术支持。

你若有好的思路、创新的IT服务技能或是有价值的好文章，请记得随手发给ITService。

联系方式：

西安名世信息科技有限公司

it@chinamsit.com

或
chinamsit 公众号：

    关注 ITService