用抓包的方法解决ARP病毒欺骗攻击

　　最近网络中有主机频繁断线，刚刚开始还比较正常，但是一段时间后就出现断线情况，有时很快恢复，但是有时要长达好几分钟啊，这样对工作影响太大了。最初怀疑是否是物理上的错误，总之从最容易下手的东西开始检查，检查完毕后没有发现异常！突然想到目前网上比较流行的ARP攻击，ARP攻击出现的故障情况与此非常之相似！对于ARP攻击，一般常规办法是很难找出和判断的，需要抓包分析。

　　1.原理知识

　　在解决问题之前，我们先了解下ARP的相关原理知识。

　　ARP原理：

　　首先，每台主机都会在自己的ARP缓冲区(ARPCache)中建立一个ARP列表，以表示IP地址和MAC地址的对应关系。当源主机需要将一个数据包要发送到目的主机时，会首先检查自己ARP列表中是否存在该IP地址对应的MAC地址，如果有﹐就直接将数据包发送到这个MAC地址；如果没有，就向本地网段发起一个ARP请求的广播包，查询此目的主机对应的MAC地址。此ARP请求数据包里包括源主机的IP地址、硬件地址、以及目的主机的IP地址。

　　网络中所有的主机收到这个ARP请求后，会检查数据包中的目的IP是否和自己的IP地址一致。如果不相同就忽略此数据包；如果相同，该主机首先将发送端的MAC地址和IP地址添加到自己的ARP列表中，如果ARP表中已经存在该IP的信息，则将其覆盖，然后给源主机发送一个ARP响应数据包，告诉对方自己是它需要查找的MAC地址；源主机收到这个ARP响应数据包后，将得到的目的主机的IP地址和MAC地址添加到自己的ARP列表中，并利用此信息开始数据的传输。如果源主机一直没有收到ARP响应数据包，表示ARP查询失败。

　　ARP欺骗原理：

　　我们先模拟一个环境：

　　网关：192.168.1.1MAC地址：00:11:22:33:44:55

　　欺骗主机A：192.168.1.100MAC地址：00:11:22:33:44:66

　　被欺骗主机B：192.168.1.50MAC地址:00:11:22:33:44:77

　　欺骗主机A不停的发送ARP应答包给网关，告诉网关他是192.168.1.50主机B，这样网关就相信欺骗主机，并且在网关的ARP缓存表里就有192.168.1.50对应的MAC就是欺骗主机A的MAC地址00:11:22:33:44:66，网关真正发给主机B的流量就转发给主机A；另外主机A同时不停的向主机B发送ARP请求，主机B相信主机A为网关，在主机B的缓存表里有一条记录为192.168.1.1对应00:11:22:33:44:66，这样主机B真正发送给网关的数据流量就会转发到主机A；等于说主机A和网关之间的通讯就经过了主机A，主机A作为了一个中间人在彼此之间进行转发，这就是ARP欺骗。