我現(xiàn)在在外地出差做網(wǎng)絡(luò)安全的實施，住的這個賓館到處時感染ARP欺騙病毒的機(jī)器，他們狂發(fā)ARP攻擊包，導(dǎo)致正常用戶無法上網(wǎng)。

我上次說了，可以使用諸如AntiArpSniffer3.1單機(jī)版軟件，防御ARP攻擊的。但我想問題總的解決呀，我們作為網(wǎng)管或喜歡信息安全的網(wǎng)友們，遇到這樣的問題應(yīng)當(dāng)如何解決呢，下面我就談一下自己的一些想法：

1、對于類似賓館或小型網(wǎng)絡(luò)環(huán)境，一般是只有一個VLAN的，在這樣的情況下，可以通過一臺接入網(wǎng)絡(luò)的主機(jī)，定期查看自己的ARP表，看看在定期刪除ARP緩存后，有哪些機(jī)器的ip/MAC對應(yīng)表馬上又到你的機(jī)器上了。

舉例：

C:/>arp -aInterface: 192.168.1.236 --- 0x10004Internet Address     Physical Address     Type192.168.1.1         00-0a-eb-c1-d8-60   dynamic192.168.1.22       00-e0-4c-c2-7e-50   dynamic192.168.1.144     00-e0-4c-f0-e1-33   dynamic192.168.1.233     00-e0-4c-a9-35-72   dynamic

這樣就可以直接發(fā)現(xiàn)感染主機(jī)了。

2、對于大型的網(wǎng)絡(luò)環(huán)境，一般是有多個VLAN的，在這樣的情況下，可以通過專門的網(wǎng)管系統(tǒng)對交換機(jī)的ARP緩存的變化來查看整個網(wǎng)絡(luò)ARP攻擊情況，也可以通過AntiArpSniffer1.2網(wǎng)絡(luò)版軟件來查看攻擊者的IP和真實MAC了。

注：對于某些ARP攻擊是采取騙取網(wǎng)關(guān)的合法MAC或使用其他隨意偽造的MAC進(jìn)行攻擊的手段，只能靠管理員手動的進(jìn)行認(rèn)真細(xì)致的排除了。

謝謝大家，一點經(jīng)驗和感悟的共享。歡迎跟大家隨時交流！！