快速发现局域网内狂发ARP攻击包的机器

　　我昨天在赛迪网技术社区[url]http://bbs.network.ccidnet.com/thread.php?fid=24[/url]里发帖时就说，我现在在外地出差做网络安全的实施，住的这个宾馆到处时感染ARP欺骗病毒的机器，他们狂发ARP攻击包，导致正常用户无法上网。

　　我上次说了，可以使用诸如AntiArpSniffer3.1单机版软件，防御ARP攻击的。但我想问题总的解决呀，我们作为网管或喜欢信息安全的网友们，遇到这样的问题应当如何解决呢，下面我就谈一下自己的一些想法：

　　1、对于类似宾馆或小型网络环境，一般是只有一个VLAN的，在这样的情况下，可以通过一台接入网络的主机，定期查看自己的ARP表，看看在定期删除ARP缓存后，有哪些机器的IP/MAC对应表马上又到你的机器上了。

　　举例：

　　C:\>arp -a

　　Interface: 192.168.1.236 --- 0x10004

　　Internet Address Physical Address Type

　　192.168.1.1 00-0a-eb-c1-d8-60 dynamic

　　192.168.1.22 00-e0-4c-c2-7e-50 dynamic

　　192.168.1.144 00-e0-4c-f0-e1-33 dynamic

　　192.168.1.233 00-e0-4c-a9-35-72 dynamic

　　这样就可以直接发现感染主机了。

　　2、对于大型的网络环境，一般是有多个VLAN的，在这样的情况下，可以通过专门的网管系统对交换机的ARP缓存的变化来查看整个网络ARP攻击情况，也可以通过AntiArpSniffer1.2网络版软件来查看攻击者的IP和真实MAC了。

　　注：对于某些ARP攻击是采取骗取网关的合法MAC或使用其他随意伪造的MAC进行攻击的手段，只能靠管理员手动的进行认真细致的排除了。

　　谢谢大家，一点经验和感悟的共享。欢迎跟大家随时交流！！