1 命令行法
這種方法比較簡便,不利用第三方工具,利用系統自帶的ARP命令即可完成。上文已經說過,當局域網中發生ARP欺騙的時候,ARP病毒電腦會向全網不停地發送ARP欺騙廣播,這時局域網中的其它電腦就會動態更新自身的ARP緩存表,將網關的MAC地址記錄成ARP病毒電腦的MAC地址,這時候我們只要在其它受影響的電腦中查詢壹下當前網關的MAC地址,就知道中毒電腦的MAC地址了,查詢命令為 ARP -a,需要在cmd命令提示行下輸入。輸入後的返回信息如下:
Internet Address Physical Address Type
192.168.0.1 00-50-56-e6-49-56 dynamic
這時,由於這個電腦的ARP表是錯誤的記錄,因此,該MAC地址不是真正網關的MAC地址,而是中毒電腦的MAC地址!這時,再根據網絡正常時,全網的IP—MAC地址對照表,查找中毒電腦的IP地址就可以了。由此可見,在網絡正常的時候,保存壹個全網電腦的IP—MAC地址對照表是多麽的重要。可以使用nbtscan 工具掃描全網段的IP地址和MAC地址,保存下來,以備後用。
2 工具軟件法
現在網上有很多ARP病毒定位工具,其中做得較好的是Anti ARP Sniffer(現在已更名為ARP防火墻),下面我就演示壹下使用Anti ARP Sniffer這個工具軟件來定位ARP中毒電腦。
首先打開Anti ARP Sniffer 軟件,輸入網關的IP地址之後,再點擊紅色框內的“枚舉MAC”按鈕,即可獲得正確網關的MAC地址.
接著點擊“自動保護”按鈕,即可保護當前網卡與網關的正常通信。
當局域網中存在ARP欺騙時,該數據包會被Anti ARP Sniffer記錄,該軟件會以氣泡的形式報警。
這時,我們再根據欺騙機的MAC地址,對比查找全網的IP-MAC地址對照表,即可快速定位出中毒電腦。
3 Sniffer 抓包嗅探法
當局域網中有ARP病毒欺騙時,往往伴隨著大量的ARP欺騙廣播數據包,這時,流量檢測機制應該能夠很好的檢測出網絡的異常舉動,此時Ethereal 這樣的抓包工具就能派上用場。
以上三種方法有時需要結合使用,互相印證,這樣可以快速準確的將ARP中毒電腦定位出來。