网络分析软件:ARP病毒爆发了谁干的？

问题二：如何找出ARP攻击者的IP或MAC地址呢？

局域网中的ARP攻击一般由于个别主机感染ARP病毒发起的，但有时是个别不怀好意者人为发起的。那我们如何找到这个“内奸”，还局域网一个安全稳定的环境呢？我就以一个在发生ARP攻击时捕获的数据包来进行“无极追踪”。

用“科来网络分析软件”打开数据包，然后点击“诊断”，打开“诊断视图”，可以看到“数据链路层”有两种ARP故障：“ARP请求风暴”（图3）、“ARP太多无请求应答”（图4）。

情况一：“ARP请求风暴”

从图3中可以看出其中有问题的主机分别是：“192.168.14.156”和“21.36.238.176”。如果想要进一步证实诊断出的结果，可以查看这个主机发送的“数据包”。下一步要做的是找到这个主机的“源地址”。点击“定位浏览器节点”选择“定位：源地址”，马上定位到“21.36.238.176”的物理地址为00：13：8F6B：7D：99.（图5）接下来，查看这个地址发出的全部数据包。单击“数据包”按钮可以看到正常的ARP数据包发送频率并不高。一般，每分钟不应该超过20个请求，请求包和应答包，数量应该差不多。从这里，我们可以看到“21.36.238.176”发送了大量ARP请求包，而并无收到应答包，并且请求的地址是连续的。另外ARP请求包都是在1秒钟发出来的。至此，证据在握，主机：21.36.238.176确实存在对网络的攻击。（图6）

图5

图6

图7

从图7中可以看出MAC地址为00：20：ED：AA：00：04的主机比较可疑，同上定位“源地址”，点击“数据包”按钮，同样的方法，我们可以看到数据包，看出这些数据包在欺骗路由器，让路由器将发送给其它主机的数据，发送给MAC地址为00：20：ED：AA：0D：04的主机和MAC地址为00：20：ED：AA：0D：05的主机，从而获取别人的通讯信息。（图8）

图8

总结：ARP病毒给局域网带来的危害可以说是毁灭性的，如何判断正常ARP和非正常ARP，并找出病毒源，找到“捣乱者”是网络管理员必须要掌握的一门技术。学习和利用网络分析软件，对于诊断网络故障，解决网络无疑起到事半功倍的效果。