局域網(wǎng)中有上百臺(tái)電腦， 如何能夠快速檢測(cè)定位出局域網(wǎng)中的ARP病毒電腦？ 一個(gè)一個(gè)地檢測(cè)顯然不是好辦法。 其實(shí)我們只要利用ARP病毒的基本原理：發(fā)送偽造的ARP欺騙廣播， 中毒電腦自身偽裝成網(wǎng)關(guān)的特性， 就可以快速鎖定中毒電腦。 可以設(shè)想用程序來(lái)實(shí)現(xiàn)以下功能：在網(wǎng)絡(luò)正常的時(shí)候， 牢牢記住正確網(wǎng)關(guān)的IP地址和MAC地址， 并且實(shí)時(shí)監(jiān)控著來(lái)自全網(wǎng)的ARP數(shù)據(jù)包， 當(dāng)發(fā)現(xiàn)有某個(gè)ARP數(shù)據(jù)包廣播， 其IP地址是正確網(wǎng)關(guān)的IP地址， 但是其MAC地址竟然是其它電腦的MAC地址的時(shí)候， 這時(shí)， 無(wú)疑是發(fā)生了ARP欺騙。 對(duì)此可疑MAC地址報(bào)警， 在根據(jù)網(wǎng)絡(luò)正常時(shí)候的IP－MAC地址對(duì)照表查詢(xún)?cè)撾娔X， 定位出其IP地址， 這樣就定位出中毒電腦了。 下面詳細(xì)說(shuō)一下幾種不同的檢測(cè)ARP中毒電腦的方法。

 命令行法

這種方法比較簡(jiǎn)便， 不利用第三方工具， 利用系統(tǒng)自帶的ARP命令即可完成。 上文已經(jīng)說(shuō)過(guò)， 當(dāng)局域網(wǎng)中發(fā)生ARP欺騙的時(shí)候， ARP病毒電腦會(huì)向全網(wǎng)不停地發(fā)送ARP欺騙廣播， 這時(shí)局域網(wǎng)中的其它電腦就會(huì)動(dòng)態(tài)更新自身的ARP緩存表， 將網(wǎng)關(guān)的MAC地址記錄成ARP病毒電腦的MAC地址， 這時(shí)候我們只要在其它受影響的電腦中查詢(xún)一下當(dāng)前網(wǎng)關(guān)的MAC地址， 就知道中毒電腦的MAC地址了， 查詢(xún)命令為 ARP －a， 需要在cmd命令提示行下輸入。 輸入后的返回信息如下：

Internet Address      Physical Address        Type192.168.0.1          00-50-56-e6-49-56      dynamic

這時(shí)， 由于這個(gè)電腦的ARP表是錯(cuò)誤的記錄， 因此， 該MAC地址不是真正網(wǎng)關(guān)的MAC地址， 而是中毒電腦的MAC地址！這時(shí)， 再根據(jù)網(wǎng)絡(luò)正常時(shí)， 全網(wǎng)的IP—MAC地址對(duì)照表， 查找中毒電腦的IP地址就可以了。 由此可見(jiàn)， 在網(wǎng)絡(luò)正常的時(shí)候， 保存一個(gè)全網(wǎng)電腦的IP—MAC地址對(duì)照表是多么的重要。 可以使用nbtscan 工具掃描全網(wǎng)段的IP地址和MAC地址， 保存下來(lái)， 以備后用。

工具軟件法

現(xiàn)在網(wǎng)上有很多ARP病毒定位工具， 其中做得較好的是Anti ARP Sniffer（現(xiàn)在已更名為ARP防火墻）， 下面我就演示一下使用Anti ARP Sniffer這個(gè)工具軟件來(lái)定位ARP中毒電腦。

首先打開(kāi)Anti ARP Sniffer 軟件， 輸入網(wǎng)關(guān)的IP地址之后， 再點(diǎn)擊紅色框內(nèi)的“枚舉MAC”按鈕， 即可獲得正確網(wǎng)關(guān)的MAC地址， 如圖5。

接著點(diǎn)擊“自動(dòng)保護(hù)”按鈕， 即可保護(hù)當(dāng)前網(wǎng)卡與網(wǎng)關(guān)的正常通信。 如圖6。

當(dāng)局域網(wǎng)中存在ARP欺騙時(shí)， 該數(shù)據(jù)包會(huì)被Anti ARP Sniffer記錄， 該軟件會(huì)以氣泡的形式報(bào)警。 如圖7。

這時(shí)， 我們?cè)俑鶕?jù)欺騙機(jī)的MAC地址， 對(duì)比查找全網(wǎng)的IP－MAC地址對(duì)照表， 即可快速定位出中毒電腦。

Sniffer 抓包嗅探法

當(dāng)局域網(wǎng)中有ARP病毒欺騙時(shí)， 往往伴隨著大量的ARP欺騙廣播數(shù)據(jù)包， 這時(shí)， 流量檢測(cè)機(jī)制應(yīng)該能夠很好的檢測(cè)出網(wǎng)絡(luò)的異常舉動(dòng)， 此時(shí)Ethereal 這樣的抓包工具就能派上用場(chǎng)。 如圖8。

從圖8中的紅色框內(nèi)的信息可以看出， 192.168.0.109 這臺(tái)電腦正向全網(wǎng)發(fā)送大量的ARP廣播包， 一般的講， 局域網(wǎng)中有電腦發(fā)送ARP廣播包的情況是存在的， 但是如果不停的大量發(fā)送， 就很可疑了。 而這臺(tái)192.168.0.109 電腦正是一個(gè)ARP中毒電腦。

以上三種方法有時(shí)需要結(jié)合使用， 互相印證， 這樣可以快速準(zhǔn)確的將ARP中毒電腦定位出來(lái)