以下的文講述的是精確定位ARP攻擊，找到病毒源頭的實際操作步驟，如果你對精確定位ARP攻擊與找到病毒源頭的實際操作方案有興趣了解的話，以下的文章將會揭開它的神秘面紗。

1.定位ARP攻擊源頭

主動定位方式：因為所有的ARP攻擊源都會有其特征——網(wǎng)卡會處于混雜模式，可以通過ARPKiller這樣的工具掃描網(wǎng)內(nèi)有哪臺機器的網(wǎng)卡是處于 混雜模式的，從而判斷這臺機器有可能就是“元兇”。定位好機器后，再做病毒信息收集，提交給趨勢科技做分析處理。

標注：網(wǎng)卡可以置于一種模式叫混雜模式(promiscuous)，在這種模式下工作的網(wǎng)卡能夠收到一切通過它的數(shù)據(jù)，而不管實際上數(shù)據(jù)的目的地址 是不是它。這實際就是Sniffer工作的基本原理：讓網(wǎng)卡接收一切它所能接收的數(shù)據(jù)。

被動定位方式：在局域網(wǎng)發(fā)生ARP攻擊時，查看交換機的動態(tài)ARP表中的內(nèi)容，確定攻擊源的MAC地址;也可以在局域居于網(wǎng)中部署Sniffer工 具，定位ARP攻擊源的MAC。

也可以直接Ping網(wǎng)關IP，完成Ping后，用ARP –a查看網(wǎng)關IP對應的MAC地址，此MAC地址應該為欺騙的,使用NBTSCAN可以取到PC的真實IP地址、機器名和MAC地址，如果有”ARP攻 擊”在做怪，可以找到裝有ARP攻擊的PC的IP、機器名和MAC地址。

命令：“nbtscan -r 192.168.16.0/24”(搜索整個192.168.16.0/24網(wǎng)段, 即192.168.16.1-192.168.16.254);或“nbtscan 192.168.16.25-137”搜索192.168.16.25-137 網(wǎng)段，即192.168.16.25-192.168.16.137。輸出結(jié)果第一列是IP地址，最后一列是MAC地址?！BTSCAN的使用范例：

假設查找一臺MAC地址為“000d870d585f”的病毒主機。

1)將壓縮包中的nbtscan.exe 和cygwin1.dll解壓縮放到c:下。

2)在Windows開始—運行—打開，輸入cmd(windows98輸入“command”)，在出現(xiàn)的DOS窗口中輸入：C: btscan -r 192.168.16.1/24(這里需要根據(jù)用戶實際網(wǎng)段輸入)，回車。

3)通過查詢IP–MAC對應表，查出“000d870d585f”的病毒主機的IP地址為“192.168.16.223”。

通過上述方法，我們就能夠快速的找到病毒源，確認其MAC——〉機器名和IP地址。

2.防御方法

a.使用可防御ARP攻擊的三層交換機，綁定端口-MAC-IP，限制ARP流量，及時發(fā)現(xiàn)并自動阻斷ARP攻擊端口，合理劃分VLAN，徹底阻止 盜用IP、MAC地址，杜絕ARP的攻擊。

b.對于經(jīng)常爆發(fā)病毒的網(wǎng)絡，進行Internet訪問控制，限制用戶對網(wǎng)絡的訪問。此類ARP攻擊程序一般都是從Internet下載到用戶終 端，如果能夠加強用戶上網(wǎng)的訪問控制，就能極大的減少該問題的發(fā)生。

c.在發(fā)生ARP攻擊時，及時找到病毒攻擊源頭，并收集病毒信息，可以使用趨勢科技的SIC2.0，同時收集可疑的病毒樣本文件，一起提交到趨勢科 技的TrendLabs進行分析，TrendLabs將以最快的速度提供病毒碼文件，從而可以進行ARP病毒的防御。

以上的相關內(nèi)容就是對精確定位ARP攻擊，找到病毒源頭的介紹，望你能有所收獲。