校园网络建设专家金宏达网络，专业从事校园网络系统建设19年，400-0377-771.今天主要为大家讲解如何利用抓包的方法来解决ARP攻击。
　　　ARP原理：
　　　首先，每台主机都会在自己的ARP缓冲区(ARPCache)中建立一个ARP列表，以表示IP地址和MAC地址的对应关系。当源主机需要将一个数据包要发送到目的主机时，会首先检查自己ARP列表中是否存在该IP地址对应的MAC地址，如果有﹐就直接将数据包发送到这个MAC地址；如果没有，就向本地网段发起一个ARP请求的广播包，查询此目的主机对应的MAC地址。此ARP请求数据包里包括源主机的IP地址、硬件地址、以及目的主机的IP地址。
　　　网络中所有的主机收到这个ARP请求后，会检查数据包中的目的IP是否和自己的IP地址一致。如果不相同就忽略此数据包；如果相同，该主机首先将发送端的MAC地址和IP地址添加到自己的ARP列表中，如果ARP表中已经存在该IP的信息，则将其覆盖，然后给源主机发送一个ARP响应数据包，告诉对方自己是它需要查找的MAC地址；源主机收到这个ARP响应数据包后，将得到的目的主机的IP地址和MAC地址添加到自己的ARP列表中，并利用此信息开始数据的传输。如果源主机一直没有收到ARP响应数据包，表示ARP查询失败。
　　　ARP欺骗原理：
　　　我们先模拟一个环境：
　　　网关：192.168.1.1 MAC地址：00:11:22:33:44:55
　　　欺骗主机A：192.168.1.100 MAC地址：00:11:22:33:44:66
　　　被欺骗主机B：192.168.1.50 MAC地址:00:11:22:33:44:77
　　　欺骗主机A不停的发送ARP应答包给网关，告诉网关他是192.168.1.50主机B，这样网关就相信欺骗主机，并且在网关的ARP缓存表里就有192.168.1.50对应的MAC就是欺骗主机A的MAC地址00:11:22:33:44:66，网关真正发给主机B的流量就转发给主机A；另外主机A同时不停的向主机B发送ARP请求，主机B相信主机A为网关，在主机B的缓存表里有一条记录为192.168.1.1对应00:11:22:33:44:66，这样主机B真正发送给网关的数据流量就会转发到主机A；等于说主机A和网关之间的通讯就经过了主机A，主机A作为了一个中间人在彼此之间进行转发，这就是ARP欺骗。
　　　解决方法
　　　看来只有抓包了，首先，将交换机做好端口镜像设置，然后把安装有科来网络分析系统的电脑接入镜像端口，抓取网络的所有数据进行分析。通过几个视图我得出了分析结果：诊断视图提示有太多“ARP无请求应答”。
　　　在诊断中，发现几乎都是00:20:ED:AA:0D:04发起的大量ARP应答。而且在参考信息中提示说可能存在ARP欺骗。看来我的方向是走对了，但是为了进一步确定，得结合其他内容信息。查看协议视图了解ARP协议的详细情况，
　　　ARPResponse和ARPRequest相差比例太大了，很不正常。接下来，再看看数据包的详细情况。
　　　从数据包信息已经看出问题了，00:20:ED:AA:0D:04在欺骗网络中192.168.17.0这个网段的主机，应该是在告诉大家它是网关吧，想充当中间人的身份吧，被欺骗主机的通讯流量都跑到他那边“被审核”了。
　　　现在基本确定为ARP欺骗攻击，现在需要核查MAC地址的主机00:20:ED:AA:0D:04是哪台主机，幸好在平时记录了内部所有主机的MAC地址和主机对应表，终于给找出真凶主机了。可能上面中了ARP病毒，立即断网杀毒。网络正常了！
　　　总结（故障原理）
　　　我们来回顾一下上面ARP攻击过程。MAC地址为00:20:ED:AA:0D:04的主机，扫描攻击192.168.17.0这个网段的所有主机，并告之它就是网关，被欺骗主机的数据都发送到MAC地址为00:20:ED:AA:0D:04的主机上去了，但是从我抓取的数据包中，MAC为00:20:ED:AA:0D:04的主机并没有欺骗真正的网关，所以我们的网络会出现断网现象。
　　　做校园网络系统建设，首选金宏达网络，19年行业实战经验，我们坚持用心服务好每一位客户。
　　　免费热线：400-0377-771
　　　联 系 人：刘锡鹏
　　　手    机：18538070537
　　　客服 QQ：1549257162
　　　地    址：河南省郑州市金水区东风路文化路数码港17楼