三、定位ARP攻擊源頭和防禦方法
1．定位ARP攻擊源頭

主動定位方式：因為所有的ARP攻擊源都會有其特徵——網卡會處於混雜模式，可以通過ARPKiller這樣的工具掃瞄網內有哪台機器的網卡是處於混雜模式的，從而判斷這台機器有可能就是「元兇」。定位好機器後，再做病毒信息收集，提交給趨勢科技做分析處理。

標註：網卡可以置於一種模式叫混雜模式（promiscuous），在這種模式下工作的網卡能夠收到一切通過它的資料，而不管實際上資料的目的地址是不是它。這實際就是Sniffer工作的基本原理：讓網卡接收一切它所能接收的資料。

被動定位方式：在局域網發生ARP攻擊時，查看交換機的動態ARP表中的內容，確定攻擊源的MAC地址；也可以在局域居於網中部署Sniffer工具，定位ARP攻擊源的MAC。

也可以直接Ping網關IP，完成Ping後，用ARP –a查看網關IP對應的MAC地址，此MAC地址應該為欺騙的MAC。

使用NBTSCAN可以取到PC的真實IP地址、機器名和MAC地址，如果有」ARP攻擊」在做怪，可以找到裝有ARP攻擊的PC的IP、機器名和MAC地址。

命令：「nbtscan -r 192.168.16.0/24」（搜索整個192.168.16.0/24網段、即192.168.16.1-192.168.16.254）；或「nbtscan 192.168.16.25-137」搜索192.168.16.25-137 網段，即192.168.16.25-192.168.16.137。輸出結果第一列是IP地址，最後一列是MAC地址。

NBTSCAN的使用範例：

假設查找一台MAC地址為「000d870d585f」的病毒主機。

1）將壓縮包中的nbtscan.exe 和cygwin1.dll解壓縮放到c:下。

2）在Windows開始—運行—打開，輸入cmd（windows98輸入「command」），在出現的DOS窗口中輸入：C: btscan -r 192.168.16.1/24（這裡需要根據用戶實際網段輸入），回車。

3）通過查詢IP--MAC對應表，查出「000d870d585f」的病毒主機的IP地址為「192.168.16.223」。

通過上述方法，我們就能夠快速的找到病毒源，確認其MAC——〉機器名和IP地址。



2．防禦方法

a.使用可防禦ARP攻擊的三層交換機，綁定連接埠-MAC-IP，限制ARP流量，及時發現並自動阻斷ARP攻擊連接埠，合理劃分VLAN，徹底阻止盜用IP、MAC地址，杜絕ARP的攻擊。

b.對於經常爆發病毒的網路，進行Internet訪問控制，限制用戶對網路的訪問。此類ARP攻擊程序一般都是從Internet下載到用戶終端，如果能夠加強用戶上網的訪問控制，就能極大的減少該問題的發生。

c.在發生ARP攻擊時，及時找到病毒攻擊源頭，並收集病毒信息，可以使用趨勢科技的SIC2.0，同時收集可疑的病毒樣本檔案，一起提交到趨勢科技的TrendLabs進行分析，TrendLabs將以最快的速度提供病毒碼檔案，從而可以進行ARP病毒的防禦。