三步搞定ARP攻击

　　ARP攻击主要是通过对局域网进行感染，在如此对其他的网络进行截断，造成了网络的中断，针对ARP的攻击，我们可以采用使用Sniffer抓包，arp-a命令和Tracert命令等来进行排查。今天，来为大家介绍这3种方法吧。

　　什么是ARP攻击

　　ARP攻击就是通过伪造IP地址和MAC地址实现ARP欺骗，能够在网络中产生大量的ARP通信量使网络阻塞，攻击者只要持续不断的发出伪造的ARP响应包就能更改目标主机ARP缓存中的IP-MAC条目，造成网络中断或中间人攻击。

      ARP病毒是怎样的呢？当有一台主机感染了ARP病毒，此时这台计算机会通过ARP木马通过“ARP欺骗”的方式与其他的计算机进行通信，由此造成其他计算机也出现故障，从这里可以看出，ARP病毒的影响只要是局域网中，一台感染，其他的也毫无避免的受到感染。

　　ARP攻击排查

　　1、使用arp-a命令。任意选两台不能上网的主机，在DOS命令窗口下运行arp-a命令。例如在结果中，两台电脑除了网关的IP，MAC地址对应项，都包含了192.168.0.186的这个IP，则可以断定192.168.0.186这台主机就是病毒源。

　　原理：一般情况下，网内的主机只和网关通信。正常情况下，一台主机的ARP缓存中应该只有网关的MAC地址。如果有其他主机的MAC地址，说明本地主机和这台主机最后有过数据通信发生。如果某台主机（例如上面的192.168.0.186）既不是网关也不是服务器，但和网内的其他主机都有通信活动，且此时又是ARP病毒发作时期，那么，病毒源也就是它了。

　　2、使用tracert命令。在任意一台受影响的主机上，在DOS命令窗口下运行如下命令：tracert61.135.179.148。假定设置的缺省网关为10.8.6.1，在跟踪一个外网地址时，第一跳却是10.8.6.186，那么，10.8.6.186就是病毒源。

      操作原理：在完好的无病毒主机和网关质检，中了ARP病毒的计算机是一个“第三者”的身份，窃取了所有本该到达网关的数据包，因此导致所有的网关的MAC地址都是出错的，全部都发到了中了病毒的计算机中，此时中毒主机越俎代庖，起了缺省网关的作用。

　　3、使用Sniffer抓包。在网络内任意一台主机上运行抓包软件，捕获所有到达本机的数据包。如果发现有某个IP不断发送请求包，那么这台电脑很可能就是病毒源。

     原理：ARP病毒变异的行为有两种，一种是欺骗局域网中的所有主机，一种是欺骗网关。由此导致的结果是在ARP的数据缓存表中，所有的主机的MAC地址都是来之中了ARP病毒计算机的MAC地址，在局域网中的每一台主机的ARP缓存表中，网关的MAC地址也变成了中了病毒的计算机的MAC地址了。第一种行为使得了所有主机本该发给网关的数据统统都发给了中毒的主机，而第二种行为，则导致网关发出来的本该送往主机的数据包全部送到了中毒的主机。

　　以上的方法，可以帮助我们更好的进行ARP攻击的排查，通过这几种有效的方法，可以避免主机中毒的同时将信息泄露的危险。