經(jīng)常接觸網(wǎng)絡的朋友可能會知道一些常見電腦黑客攻擊類型與預防方法，但大多數(shù)人對這方面知之甚少，下面，佰佰安全網(wǎng)小編將為大家介紹一下找到arp攻擊源如何處理的問題。

查找arp攻擊源的方法：

1.使用Sniffer抓包。在網(wǎng)絡內(nèi)任意一臺主機上運行抓包軟件，捕獲所有到達本機的數(shù)據(jù)包。如果發(fā)現(xiàn)有某個IP不斷發(fā)送請求包，那么這臺電腦一般就是病毒源。

原理：無論何種ARP病毒變種，行為方式有兩種，一是欺騙網(wǎng)關，二是欺騙網(wǎng)內(nèi)的所有主機。最終的結(jié)果是，在網(wǎng)關的ARP緩存表中，網(wǎng)內(nèi)所有活動主機的MAC地址均為中毒主機的MAC地址;網(wǎng)內(nèi)所有主機的ARP緩存表中，網(wǎng)關的MAC地址也成為中毒主機的MAC地址。前者保證了從網(wǎng)關到網(wǎng)內(nèi)主機的數(shù)據(jù)包被發(fā)到中毒主機，后者相反，使得主機發(fā)往網(wǎng)關的數(shù)據(jù)包均發(fā)送到中毒主機。

2. 使用arp -a命令。任意選兩臺不能上網(wǎng)的主機，在DOS命令窗口下運行arp -a命令。例如在結(jié)果中，兩臺電腦除了網(wǎng)關的IP，MAC地址對應項，都包含了192.168.0.186的這個IP，則可以斷定192.168.0.186這臺主機就是病毒源。

原理：一般情況下，網(wǎng)內(nèi)的主機只和網(wǎng)關通信。正常情況下，一臺主機的ARP緩存中應該只有網(wǎng)關的MAC地址。如果有其他主機的MAC地址，說明本地主機和這臺主機最后有過數(shù)據(jù)通信發(fā)生。如果某臺主機(例如上面的192.168.0.186)既不是網(wǎng)關也不是服務器，但和網(wǎng)內(nèi)的其他主機都有通信活動，且此時又是ARP病毒發(fā)作時期，那么，病毒源也就是它了。

3. 使用tracert命令。在任意一臺受影響的主機上，在DOS命令窗口下運行如下命令：tracert 61.135.179.148?！〖俣ㄔO置的缺省網(wǎng)關為10.8.6.1，在跟蹤一個外網(wǎng)地址時，第一跳卻是10.8.6.186，那么，10.8.6.186就是病毒源。

原理：中毒主機在受影響主機和網(wǎng)關之間，扮演了“中間人”的角色。所有本應該到達網(wǎng)關的數(shù)據(jù)包，由于錯誤的MAC地址，均被發(fā)到了中毒主機。此時，中毒主機越俎代庖，起了缺省網(wǎng)關的作用。

找到Arp攻擊源后的處理方法：

使用以上方法找出ARP攻擊源后，先將中病毒的電腦殺毒，然后可以使用ARP雙向綁定可以有效預防ARP攻擊。

方法：在路由器上掃描綁定所有電腦的IP、MAC地址(REOS和REOS SE設備都可實現(xiàn))：

ReOS的設備可以直接在“網(wǎng)絡安全→IP/MAC綁定”里導出“ARP綁定腳本文件”放到內(nèi)網(wǎng)每個電腦的啟動項里。

ReOS-SE設備可以在電腦上使用記事本編輯一個BAT文件，內(nèi)容是“arp.exe -d 2>nul&arp.exe –s 網(wǎng)關IP 網(wǎng)關MAC”同樣放到電腦啟動項里。

想要了解更多網(wǎng)絡安全小知識，請繼續(xù)關注佰佰安全網(wǎng)。

責任編輯:慕丹萍