遭到arp攻击有什么症状？如何查找发起arp攻击的源？

　　对于一些比较依赖局域网办公的环境，arp攻击应该屡见不鲜了，如果网络拓补简单点，那排查起来就比较容易，要是复杂的网络拓补，那就很麻烦了。这里跟大家介绍一下遭到arp攻击有什么症状以及遭受arp攻击时如何查找发起arp攻击的源。

遭到arp攻击有什么症状

　　遭到arp攻击有什么症状?arp欺骗的常见症状如下：

　　1、局域网内频繁区域性或整体掉线，重启计算机或网络设备后恢复正常。当带有ARP欺骗程序的计算机在网内进行通讯时，就会导致频繁掉线，出现此类问题后重启计算机或禁用网卡或重启网络设备会暂时解决问题，但掉线情况还会发生;

　　2、网速时快时慢，极其不稳定，但单机进行数据测试时一切正常 当局域内的某台计算机被ARP的欺骗程序非法侵入后，它就会持续地向网内所有的计算机及网络设备发送大量的非法ARP欺骗数据包，阻塞网络通道，造成网络设备的承载过重，导致网络的通讯质量不稳定;

　　3.网站被加入一些本地没有的代码，即本地访问时正常，外网访问时却出现额外的代码。

　　ARP欺骗木马只需成功感染一台电脑，就可能导致整个局域网都无法上网，严重的甚至可能带来整个网络的瘫痪。该木马发作时除了会导致同一局域网内的其他用户上网出现时断时续的现象外，还会窃取用户密码。如盗取QQ密码、盗取各种网络游戏密码和账号去做金钱交易，盗窃网上银行账号来做非法交易活动等，这是木马的惯用伎俩，给用户造成了很大的不便和巨大的经济损失。

如何查找发起arp攻击的源

　　如何查找发起arp攻击的源?想要准确的查找定位arp攻击源，可以试着参照下面的方法去尝试：

　　主动定位方式：因为所有的ARP攻击源bai都会有其特征——网卡会处于混du杂模式，可以通过ARPKiller这样的工具扫描网zhi内有哪台机器的网卡是处于混杂模式的，从而判断这台机器有可能就是“元凶”。定位好机器后，再做病毒信息收集，提交给趋势科技做分析处理。

　　标注：网卡可以置于一种模式叫混杂模式(promiscuous)，在这种模式下工作的网卡能够收到一切通过它的数据，而不管实际上数据的目的地址是不是它。这实际就是Sniffer工作的基本原理：让网卡接收一切它所能接收的数据。

　　被动定位方式：在局域网发生ARP攻击时，查看交换机的动态ARP表中的内容，确定攻击源的MAC地址;也可以在局域居于网中部署Sniffer工具，定位ARP攻击源的MAC。

　　使用Sniffer抓包。在网络内任意一台主机上运行抓包软件，捕获所有到达本机的数据包。如果发现有某个IP不断发送请求包，那么这台电脑一般就是病毒源。

　　原理：无论何种ARP病毒变种，行为方式有两种，一是欺骗网关，二是欺骗网内的所有主机。最终的结果是，在网关的ARP缓存表中，网内所有活动主机的MAC地址均为中毒主机的MAC地址;网内所有主机的ARP缓存表中，网关的MAC地址也成为中毒主机的MAC地址。前者保证了从网关到网内主机的数据包被发到中毒主机，后者相反，使得主机发往网关的数据包均发送到中毒主机。

　　使用arp -a命令。任意选两台不能上网的主机，在DOS命令窗口下运行arp -a命令。例如在结果中，两台电脑除了网关的IP，MAC地址对应项，都包含了192.168.0.186的这个IP，则可以断定192.168.0.186这台主机就是病毒源。

　　原理：一般情况下，网内的主机只和网关通信。正常情况下，一台主机的ARP缓存中应该只有网关的MAC地址。如果有其他主机的MAC地址，说明本地主机和这台主机最后有过数据通信发生。如果某台主机(例如上面的192.168.0.186)既不是网关也不是服务器，但和网内的其他主机都有通信活动，且此时又是ARP病毒发作时期，那么，病毒源也就是它了。

　　使用tracert命令。在任意一台受影响的主机上，在DOS命令窗口下运行如下命令：tracert 61.135.179.148。　假定设置的缺省网关为10.8.6.1，在跟踪一个外网地址时，第一跳却是10.8.6.186，那么，10.8.6.186就是病毒源。

　　原理：中毒主机在受影响主机和网关之间，扮演了“中间人”的角色。所有本应该到达网关的数据包，由于错误的MAC地址，均被发到了中毒主机。此时，中毒主机越俎代庖，起了缺省网关的作用。

　　也可以直接Ping网关IP，完成Ping后，用ARP –a查看网关IP对应的MAC地址，此MAC地址应该为欺骗的MAC。

　　使用NBTSCAN可以取到PC的真实IP地址、机器名和MAC地址，如果有”ARP攻击”在做怪，可以找到装有ARP攻击的PC的IP、机器名和MAC地址。

　　命令：“nbtscan -r 192.168.16.0/24”(搜索整个192.168.16.0/24网段, 即192.168.16.1-192.168.16.254);或“nbtscan 192.168.16.25-137”搜索192.168.16.25-137 网段，即192.168.16.25-192.168.16.137。输出结果第一列是IP地址，最后一列是MAC地址。

　　NBTSCAN的使用范例：

　　假设查找一台MAC地址为“000d870d585f”的病毒主机。

　　1)将压缩包中的nbtscan.exe 和cygwin1.dll解压缩放到c:下。

　　2)在Windows开始—运行—打开，输入cmd(windows98输入“command”)，在出现的DOS窗口中输入：C: btscan -r 192.168.16.1/24(这里需要根据用户实际网段输入)，回车。

　　3)通过查询IP--MAC对应表，查出“000d870d585f”的病毒主机的IP地址为“192.168.16.223”。

　　通过上述方法，我们就能够快速的找到病毒源，确认其MAC——〉机器名和IP地址。

　　对于遭到arp攻击有什么症状的解说，以及如何查找发起arp攻击的源的方法就为大家介绍到这里。对于一些简单的局域网环境，解决arp攻击其实是很简单的，但是对于复杂的局域网拓补，想要解决就需要花上一定的时间去排查。如果您遇到无法解决的网络攻击，也可以向安全狗咨询求助，我们会安排专业的技术人员为您提供帮助和支持。