ARP欺骗攻击技术分析与防御论文

《ARP欺骗攻击技术分析与防御论文》由会员分享，可在线阅读，更多相关《ARP欺骗攻击技术分析与防御论文（14页珍藏版）》请在装配图网上搜索。

1、第4期 辽宁省电子信息产品监督检验院年度论文 2008年1月ARP欺骗攻击技术分析与防御Address Resolution Protocol Deceit Attack Technology Analysis And Defense姜志坤摘 要：世界上没有绝对安全的网络。用户即使想尽一切办法升级自己的系统，并且及时地为它补上各种补丁，也不能保证自己的系统就是绝对的安全。Internet和TCP/IP从出现开始，在安全问题上就存在着难以克服的缺陷。TCP/IP很容易相信别人，即使对方是不怀好意的入侵者。TCP/IP的欺骗技术有很多种，包括ARP欺骗、序列号欺骗、路由攻击、源地址欺骗和授权欺骗等

2、。本文针对ARP欺骗的工作原理以及攻击过程，提出了一系列的解决方法。关键字：入侵者 ARP 欺骗 工作原理 攻击过程所谓ARP即地址解析协议（Address Resolution Protocol），是在仅知道主机的IP地址时确定其物理地址的一种协议。因IPv4和以太网的广泛应用，其主要用作将IP地址翻译为以太网的MAC地址，但其也能在ATM和FDDIIP网络中使用。从IP地址到物理地址的映射有两种方式：表格方式和非表格方式。ARP具体说来就是将网络层（IP层，也就是相当于OSI的第三层）地址解析为数据连接层（MAC层，也就是相当于OSI的第二层）的MAC地址。1. ARP欺骗原理1. 1 A

3、RP欺骗机制分析ARP（Address Resolution Protocol，地址解析协议）是一个位于TCP/IP协议栈中的低层协议，负责将某个IP地址解析成对应的MAC地址。从影响网络连接通畅的方式来看，ARP欺骗分为二种，一种是对路由器ARP表的欺骗；另一种是对内网PC的网关欺骗。第一种ARP欺骗的原理是截获网关数据。它通知路由器一系列错误的内网MAC地址，并按照一定的频率不断进行，使真实的地址信息无法通过更新保存在路由器中，结果路由器的所有数据只能发送给错误的MAC地址，造成正常PC无法收到信息。第二种ARP欺骗的原理是伪造网关。它的原理是建立假网关，让被它欺骗的PC向假网关发数据，而

4、不是通过正常的路由器途径上网。在PC看来，就是上不了网了，“网络掉线了”。一般来说，ARP欺骗攻击的后果非常严重，大多数情况下会造成大面积掉线。有些网络管理员对此不甚了解，出现故障时，认为PC没有问题，交换机没掉线的“本事”，电信也不承认宽带故障。而且如果第一种ARP欺骗发生时，只要重启路由器，网络就能全面恢复，那问题一定是在路由器了。为此，宽带路由器背了不少“黑锅”。另外，为对抗假冒网关的ARP欺骗，路由器设计了网关的ARP广播机制，它以一个可选定的频次，向内网宣布正确的网关地址，维护网关的正当权益。在暂时无法及时清除ARP病毒，网络管理员还没有做PC上的IP-MAC绑定时，它能在一定程度上

5、维持网络的运行，避免灾难性后果，赢取系统修复的时间。这就是ARP主动防范机制。不过，如果不在PC上绑定IP-MAC，虽然有主动防范机制，但网络依然在带病运行。因为这种ARP是内网的事情，是不通过路由器的。让路由器插手只能做到对抗，不能根绝。ARP太猖獗时，就会发生时断时续的故障，那是主动防范机制在与ARP欺骗进行拉锯式的斗争。 1. 2 ARP欺骗攻击分析要想了解ARP欺骗攻击的原理，首先就要了解什么是ARP协议。ARP是地址转换协议的英文缩写，它是一个链路层协议，工作在OSI模型的第二层，在本层和硬件接口间进行联系，同时为上层（网络层）提供服务。我们知道，二层的以太网交换设备并不能识别32位

6、的IP地址，它们是以48位以太网地址（就是我们常说的MAC地址）传输以太网数据包的。因此IP地址与MAC地址之间就必须存在一种对应关系，而ARP协议就是用来确定这种对应关系的协议。ARP工作时，首先请求主机发送出一个含有所希望到达的IP地址的以太网广播数据包，然后目标IP的所有者会以一个含有IP和MAC地址对的数据包应答请求主机。这样请求主机就能获得要到达的IP地址对应的MAC地址，同时请求主机会将这个地址对放入自己的ARP表缓存起来，以节约不必要的ARP通信。ARP缓存表采用了老化机制，在一段时间内如果表中的某一行没有使用（Windows系统这个时间为2分钟，而Cisco路由器的这个时间为5

7、分钟），就会被删除。通过下面的例子我们可以很清楚地看出ARP的工作机制。假定有如下五个IP地址的主机或者网络设备，它们分别是：主机A 192.168.1.2 主机B 192.168.1.3网关C 192.168.1.1主机D 10.1.1.2网关E 10.1.1.1假如主机A要与主机B通信，它首先会检查自己的ARP缓存中是否有192.168.1.3这个地址对应的MAC地址，如果没有它就会向局域网的广播地址发送ARP请求包，大致的意思是192.168.1.3的MAC地址是什么请告诉192.168.1.2，而广播地址会把这个请求包广播给局域网内的所有主机，但是只有192.168.1.3这台主机才会

8、响应这个请求包，它会回应192.168.1.2一个ARP包，大致的意思是192.168.1.3的MAC地址是02-02-02-02-02-02。这样的话主机A就得到了主机B的MAC地址，并且它会把这个对应的关系存在自己的ARP缓存表中。之后主机A与主机B之间的通信就依靠两者缓存表里的MAC地址来通信了，直到通信停止后2分钟，这个对应关系才会从表中被删除。再来看一个非局域网内部的通信过程。假如主机A需要和主机D进行通信，它首先会发现这个主机D的IP地址并不是自己同一个网段内的，因此需要通过网关来转发，这样的话它会检查自己的ARP缓存表里是否有网关192.168.1.1对应的MAC地址，如果没有就

9、通过ARP请求获得，如果有就直接与网关通信，然后再由网关C通过路由将数据包送到网关E，网关E收到这个数据包后发现是送给主机D（10.1.1.2）的，它就会检查自己的ARP缓存，看看里面是否有10.1.1.2对应的MAC地址，如果没有就使用ARP协议获得，如果有就是用该MAC地址与主机D通信。通过上面的例子我们知道，在以太局域网内数据包传输依靠的是MAC地址，IP地址与MAC对应的关系依靠ARP表，每台主机（包括网关）都有一个ARP缓存表。在正常情况下这个缓存表能够有效保证数据传输的一对一性，像主机B之类的是无法截获A与D之间的通信信息的。但是主机在实现ARP缓存表的机制中存在一个不完善的地方，

10、当主机收到一个ARP的应答包后，它并不会去验证自己是否发送过这个ARP请求，而是直接将应答包里的MAC地址与IP对应的关系替换掉原有的ARP缓存表里的相应信息。这就导致主机B截取主机A与主机D之间的数据通信成为可能。首先主机B向主机A发送一个ARP应答包说192.168.1.1的MAC地址是02-02-02-02-02-02，主机A收到这个包后并没有去验证包的真实性而是直接将自己ARP列表中的192.168.1.1的MAC地址替换成02-02-02-02-02-02，同时主机B向网关C发送一个ARP响应包说192.168.1.2的MAC是02-02-02-02-02-02，同样，网关C也没有去

11、验证这个包的真实性就把自己ARP表中的192.168.1.2的MAC地址替换成02-02-02-02-02-02。当主机A想要与主机D通信时，它直接把应该发送给网关192.168.1.1的数据包发送到02-02-02-02-02-02这个MAC地址，也就是发给了主机B，主机B在收到这个包后经过修改再转发给真正的网关C，当从主机D返回的数据包到达网关C后，网关也使用自己ARP表中的MAC地址，将发往192.168.1.2这个IP地址的数据发往02-02-02-02-02-02这个MAC地址也就是主机B，主机B在收到这个包后再转发给主机A完成一次完整的数据通信，这样就成功地实现了一次ARP欺骗攻击

12、。因此简单点说，ARP欺骗的目的就是为了实现全交换环境下的数据监听。大部分的木马或病毒使用ARP欺骗攻击也是为了达到这个目的。局域网内一旦有ARP的攻击存在，会欺骗局域网内所有主机和网关，让所有上网的流量必须经过ARP攻击者控制的主机。其他用户原来直接通过网关上网，现在却转由通过被控主机转发上网。由于被控主机性能和程序性能的影响，这种转发并不会非常流畅，因此就会导致用户上网的速度变慢甚至频繁断线。另外ARP欺骗需要不停地发送ARP应答包，会造成网络拥塞。一旦怀疑有ARP攻击我们就可以使用抓包工具来抓包，如果发现网内存在大量ARP应答包，并且将所有的IP地址都指向同一个MAC地址，那么就说明存在

13、ARP欺骗攻击，并且这个MAC地址就是用来进行ARP欺骗攻击的主机MAC地址，我们可以查出它对应的真实IP地址，从而采取相应的控制措施。另外，我们也可以到路由器或者网关交换机上查看IP地址与MAC地址的对应表，如果发现某一个MAC对应了大量的IP地址，那么也说明存在ARP欺骗攻击，同时通过这个MAC地址查出用ARP欺骗攻击的主机在交换机上所对应的物理端口，从而进行控制。在局域网中，通过ARP协议来完成IP地址转换为第二层物理地址（即MAC地址）。ARP协议对网络安全具有重要的意义。通过伪造IP地址和MAC地址实现ARP欺骗，能够在网络中产生大量的ARP通信量使网络阻塞或者实现“man in t

14、he middle” 进行ARP重定向和嗅探攻击。用伪造源MAC地址发送ARP响应包，对ARP高速缓存机制的攻击。每个主机都用一个ARP高速缓存存放最近IP地址到MAC硬件地址之间的映射记录。MS Windows高速缓存中的每一条记录（条目）的生存时间一般为60秒，起始时间从被创建时开始算起。默认情况下，ARP从缓存中读取IP-MAC条目，缓存中的IP-MAC条目是根据ARP响应包动态变化的。因此，只要网络上有ARP响应包发送到本机，即会更新ARP高速缓存中的IP-MAC条目。攻击者只要持续不断的发出伪造的ARP响应包就能更改目标主机ARP缓存中的IP-MAC条目，造成网络中断或中间人攻击。A

15、RP协议并不只在发送了ARP请求才接收ARP应答。当计算机接收到ARP应答数据包的时候，就会对本地的ARP缓存进行更新，将应答中的IP和 MAC地址存储在ARP缓存中。因此，B向A发送一个自己伪造的ARP应答，而这个应答中的数据为发送方IP地址是192.168.1.3（C的IP地址），MAC地址是DD-DD-DD-DD-DD-DD（C的MAC地址本来应该是CC-CC-CC-CC-CC-CC，这里被伪造了）。当A接收到B伪造的ARP应答，就会更新本地的ARP缓存（A可不知道被伪造了）。当攻击源大量向局域网中发送虚假的ARP信息后，就会造成局域网中的机器ARP缓存的崩溃。Switch上同样维护着一

16、个动态的MAC缓存，它一般是这样，首先，交换机内部有一个对应的列表，交换机的端口对应MAC地址表Port n Mac记录着每一个端口下面存在哪些MAC地址，这个表开始是空的，Switch从来往数据帧中学习。因为MAC-PORT缓存表是动态更新的，那么让整个 Switch的端口表都改变，对Switch进行MAC地址欺骗的Flood，不断发送大量假MAC地址的数据包，Switch就更新MAC-PORT缓存，如果能通过这样的办法把以前正常的MAC和Port对应的关系破坏了，那么Switch就会进行泛洪发送给每一个端口，让Switch基本变成一个 HUB，向所有的端口发送数据包，要进行嗅探攻击的目的一

17、样能够达到。也将造成Switch MAC-PORT缓存的崩溃，如下下面交换机中日志所示：Internet 172.20.156.10000b.cd85.a193ARPAVlan256Internet 172.20.156.50000b.cd85.a193ARPAVlan256Internet 172.20.156.2540000b.cd85.a193 ARPAVlan256Internet 172.20.156.530000b.cd85.a193 ARPAVlan256Internet 172.20.156.330000b.cd85.a193ARPAVlan256Internet 172.20

18、.156.130000b.cd85.a193ARPAVlan256Internet 172.20.156.150000b.cd85.a193ARPAVlan256Internet 172.20.156.140000b.cd85.a1931. 3 ARP欺骗病毒分析当局域网内某台主机运行ARP欺骗的木马程序时，会欺骗局域网内所有主机和路由器，让所有上网的流量必须经过病毒主机。其他用户原来直接通过路由器上网现在转由通过病毒主机上网，切换的时候用户会断一次线。切换到病毒主机上网后，如果用户已经登陆了传奇服务器，那么病毒主机就会经常伪造断线的假像，那么用户就得重新登录传奇服务器，这样病毒主机就可以盗号

19、了。由于ARP欺骗的木马程序发作的时候会发出大量的数据包导致局域网通讯拥塞以及其自身处理能力的限制，用户会感觉上网速度越来越慢。当ARP欺骗的木马程序停止运行时，用户会恢复从路由器上网，切换过程中用户会再断一次线。在路由器的“系统历史记录”中看到大量如下的信息：MAC Chged 10.128.103.124 MAC Old 00:01:6c:36:d1:7f MAC New 00:05:5d:60:c7:18这个消息代表了用户的MAC地址发生了变化，在ARP欺骗木马开始运行的时候，局域网所有主机的MAC地址更新为病毒主机的MAC地址（即所有信息的MAC New地址都一致为病毒主机的MAC地址

20、），同时在路由器的“用户统计”中看到所有用户的MAC地址信息都一样。如果是在路由器的“系统历史记录”中看到大量MAC Old地址都一致，则说明局域网内曾经出现过ARP欺骗（ARP欺骗的木马程序停止运行时，主机在路由器上恢复其真实的MAC地址）。BKDR_NPFECT.A病毒引起ARP欺骗之实例分析：（1）病毒现象中毒机器在局域网中发送假的APR应答包进行APR欺骗, 造成其他客户机无法获得网关和其他客户机的网卡真实MAC地址,导致无法上网和正常的局域网通信。（2）病毒的组件本文研究的病毒样本有三个组件构成:%windows%SYSTEM32LOADHW.EXE(108,386 bytes) “

21、病毒组件释放者”%windows%System32driversnpf.sys(119,808 bytes) “发ARP欺骗包的驱动程序”%windows%System32msitinit.dll (39,952 bytes)“命令驱动程序发ARP欺骗包的控制者”（3）病毒运作基理LOADHW.EXE 执行时会释放两个组件npf.sys 和msitinit.dll ，LOADHW.EXE释放组件后即终止运行。注意: 病毒假冒成winPcap的驱动程序,并提供winPcap的功能. 客户若原先装有winPcap,npf.sys将会被病毒文件覆盖掉。随后msitinit.dll将npf.sys注册

22、(并监视)为内核级驱动设备: “NetGroup Packet Filter Driver”，msitinit.dll 还负责发送指令来操作驱动程序npf.sys (如发送APR欺骗包, 抓包, 过滤包等)。以下从病毒代码中提取得服务相关值:BinaryPathName=system32driversnpf.sysStartType=ERVICE_AUTO_STARTServiceType=SERVICE_KERNEL_DRIVERDesiredAccess=SERVICE_ALL_ACCESSDisplayName=NetGroup Packet Filter DriverServiceNa

23、me=Npfnpf.sys 负责监护msitinit.dll. 并将LOADHW.EXE注册为自启动程序:HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunOncedwMyTest =LOADHW.EXE注: 由于该项位于RunOnce下,该注册表启动项在每次执行后,即会被系统自动删除。（4）反病毒应急响应解决方案按以下顺序删除病毒组件：1) 删除“病毒组件释放者”%windows%SYSTEM32LOADHW.EXE 2) 删除“发ARP欺骗包的驱动程序”(兼“病毒守护程序”)%windows%System32drivers

24、npf.sysa. 在设备管理器中, 单击”查看”-”显示隐藏的设备”b. 在设备树结构中,打开“非即插即用”c. 找到“NetGroup Packet Filter Driver”,若没找到,请先刷新设备列表d. 右键点击“NetGroup Packet Filter Driver”菜单,并选择“卸载”e. 重启windows系统f. 删除%windows%System32driversnpf.sys 3) 删除“命令驱动程序发ARP欺骗包的控制者”%windows%System32msitinit.dll4) 删除以下“病毒的假驱动程序”的注册表服务项HKEY_LOCAL_MACHINES

25、YSTEMCurrentControlSetServicesNpf2. 定位ARP攻击源头和防御方法2. 1 定位ARP攻击源头主动定位方式：因为所有的ARP攻击源都会有其特征网卡会处于混杂模式，可以通过ARPKiller这样的工具扫描网内有哪台机器的网卡是处于混杂模式的，从而判断这台机器有可能就是“元凶”。定位好机器后，再做病毒信息收集，提交给病毒应急中心做分析处理。标注：网卡可以置于一种模式叫混杂模式（promiscuous），在这种模式下工作的网卡能够收到一切通过它的数据，而不管实际上数据的目的地址是不是它。这实际就是Sniffer工作的基本原理：让网卡接收一切它所能接收的数据。图2-1

26、 ARPKiller扫描结果被动定位方式：在局域网发生ARP攻击时，查看交换机的动态ARP表中的内容，确定攻击源的MAC地址；也可以在局域网中部署Sniffer工具，定位ARP攻击源的MAC地址。也可以直接Ping网关IP，完成Ping后，用ARP a查看网关IP对应的MAC地址，此MAC地址应该为欺骗的MAC地址。通过上述方法，我们就能够快速的找到病毒源，确认其MAC地址机器名和IP地址。2. 2 ARP欺骗防范（1）防御方法1）使用可防御ARP攻击的三层交换机，绑定端口-MAC-IP，限制ARP流量，及时发现并自动阻断ARP攻击端口，合理划分VLAN，彻底阻止盗用IP、MAC地址，杜绝AR

27、P的攻击。2）对于经常爆发病毒的网络，进行Internet访问控制，限制用户对网络的访问。此类ARP攻击程序一般都是从Internet下载到用户终端，如果能够加强用户上网的访问控制，就能极大的减少该问题的发生。3）在发生ARP攻击时，及时找到病毒攻击源头，并收集病毒信息，可以使用趋势科技的SIC3.3，同时收集可疑的病毒样本文件，一起提交到趋势科技的TrendLabs进行分析，TrendLabs将以最快的速度提供病毒码文件，从而可以进行ARP病毒的防御。图2-2 SIC3.3扫描中（2）防御措施1）在客户端使用arp命令绑定网关的真实MAC地址命令如下：arp (先清除错误的ARP表)arp

28、192.168.168.4 00-13-32-03-19-9a （静态指定网关的MAC地址）2）在交换机上做端口与MAC地址的静态绑定。3）在路由器上做IP地址与MAC地址的静态绑定。4）使用“ARP SERVER”按一定的时间间隔广播网段内所有主机的正确IP-MAC映射表。5）最主要是要提高用户的安全意识，养成良好的安全习惯，包括：及时安装系统补丁程序；为系统设置强壮的密码；安装防火墙；安装有效的杀毒软件并及时升级病毒库；不主动进行网络攻击；不随便运行不受信任的软件。3. ARP病毒的处理方法3. 1 基于DOS命令（1）故障现象机器以前可正常上网的，突然出现可认证，不能上网的现象（无法pi

29、ng通网关），重启机器或在MSDOS窗口下运行命令ARP -d后，又可恢复上网一段时间。（2）故障原因这是APR病毒欺骗攻击造成的。引起问题的原因一般是游戏外挂、垃圾邮件、恶意网站等携带的ARP木马攻击。当在局域网内使用外挂、接受垃圾邮件、访问恶意网站时，携带的病毒会将该机器的MAC地址映射到网关的IP地址上，向局域网内大量发送ARP包，从而致使同一网段地址内的其它机器误将其作为网关，这就是为什么掉线时内网是互通的，计算机却不能上网的原因。（3）处理对策步骤一：在能上网时，进入MS-DOS窗口，输入命令：ARP a 查看网关IP对应的正确MAC地址，将其记录下来。注：如果已经不能上网，则先运行

30、一次命令ARP d将ARP缓存中的内容删空，计算机可暂时恢复上网（攻击如果不停止的话），一旦能上网就立即将网络断掉（禁用网卡或拔掉网线），再运行ARP a。步骤二：如果已经有网关的正确MAC地址，在不能上网时，手工将网关IP和正确MAC绑定，可确保计算机不再被攻击影响。手工绑定可在MS-DOS窗口下运行以下命令： ARP s 网关IP 网关MAC例如：假设计算机所处网段的网关为192.168.168.4，本机地址为192.168.168.44在计算机上运行ARP a后输出如下：C:Documents and Settingsarp -aInterface: 192.168.168.44 - 0

31、x10005Internet Address Physical Address Type192.168.168.4 00-13-32-03-19-9a dynamic其中00-13-32-03-19-9a就是网关192.168.168.4对应的MAC地址，类型是动态（dynamic）的，因此是可被改变。被攻击后，再用该命令查看，就会发现该MAC已经被替换成攻击机器的MAC，如果大家希望能找出攻击机器，彻底根除攻击，可以在此时将该MAC记录下来，为以后查找做准备。手工绑定的命令为：ARP s 192.168.168.4 00-13-32-03-19-9a绑定完，可再用ARP a查看ARP缓存，具

32、体操作如下：C:Documents and Settingsarp -aInterface: 192.168.168.44 - 0x10005Internet Address Physical Address Type192.168.168.4 00-13-32-03-19-9a static这时，类型变为静态（static），就不会再受攻击影响了。但是，需要说明的是，手工绑定在计算机关机重开机后就会失效，需要再绑定。所以，要彻底根除攻击，只有找出网段内被病毒感染的计算机，令其杀毒，方可解决。3. 2 防止ARP欺骗工具 （1）NBTSCAN如果已有病毒计算机的MAC地址，可使用NBTSCAN

33、软件找出网段内与该MAC地址对应的IP，即病毒计算机的IP地址，然后可报告网络中心对其进行查封。1）NBTSCAN的使用方法使用NBTSCAN可以取到PC的真实IP地址、机器名和MAC地址，如果有“ARP攻击”在做怪，可以找到装有ARP攻击的PC的IP、机器名和MAC地址。命令：“nbtscan -r 192.168.168.0/24”（搜索整个192.168.168.0/24网段, 即192.168.168.1-192.168.168.254）或“nbtscan 192.168.168.25-137”搜索192.168.168.25-137 网段，即192.168.168.25-192.16

34、8.168.137。输出结果第一列是IP地址，最后一列是MAC地址。 图3-2-1 NBTSCAN扫描结果2）NBTSCAN的使用范例假设查找一台MAC地址为“00-03-0d-2c-23-93”的病毒主机：a. 将压缩包中的nbtscan.exe 和cygwin1.dll解压缩放到c:下。 b. 在Windows开始运行打开，输入cmd（windows98输入“command”），在出现的DOS窗口中输入：C: nbtscan -r 192.168.168.1/24（这里需要根据用户实际网段输入），回车。图3-2-2 NBTSCAN扫描结果c. 通过查询IP-MAC对应表，查出“00-03-

35、0d-2c-23-93”的病毒主机的IP地址为“192.168.168.47”。注：使用nbtscan时，有时因为有些计算机安装防火墙软件，nbtscan的输出不全，但在计算机的ARP缓存中却能有所反应，所以使用nbtscan时，还可同时查看ARP缓存，就能得到比较完全的网段内计算机IP与MAC的对应关系。（2）Anti ARP Sniffer 使用Anti ARP Sniffer可以防止利用ARP技术进行数据包截取以及防止利用ARP技术发送地址冲突数据包。1）ARP欺骗填入网关IP地址，点击获取网关mac地址将会显示出网关的MAC地址。点击自动防护即可保护当前网卡与该网关的通信不会被第三方监

36、听。注意：如出现ARP欺骗提示，这说明攻击者发送了ARP欺骗数据包来获取网卡的数据包，如果您想追踪攻击来源请记住攻击者的MAC地址，利用MAC地址扫描器可以找出IP 对应的MAC地址。图3-2-3 Anti ARP Sniffer自动防护2）IP地址冲突首先点击“恢复默认”然后点击“防护地址冲突”。 如频繁的出现IP地址冲突，这说明攻击者频繁发送ARP欺骗数据包，才会出现IP冲突的警告，利用Anti ARP Sniffer可以防止此类攻击。首先您需要知道冲突的MAC地址，Windows会记录这些错误。查看具体方法如下：右击我的电脑-管理-点击事件查看器-点击系统-查看来源为TcpIP-双击事件

37、可以看到显示地址发生冲突，并记录了该MAC地址，请复制该MAC地址并填入Anti ARP Sniffer的本地MAC地址输入框中(请注意将:转换为-)，输入完成之后点击防护地址冲突，为了使MAC地址生效，请禁用本地网卡然后再启用网卡，在CMD命令行中输入Ipconfig /all，查看当前MAC地址是否与本地MAC地址输入框中的MAC地址相符，如果更改失败请重新核准网卡MAC地址。如果成功将不再会显示地址冲突。图3-2-4 Anti ARP Sniffer防护地址冲突注意:如果您想恢复默认MAC地址,请点击恢复默认,为了使MAC地址生效请禁用本地网卡然后再启用网卡。4. 结束语通过以上的相应措施，可以有效地保证网络的安全、正常运行，由于 ARP 欺骗攻击是发生在局域网内部，却很容易被网络管理人员或用户误判为网络主干设备工作不稳定；同时由于必须通过协议分析才能定位进行 ARP 欺骗攻击的计算机，因此，加大了对网络管理人员的专业水平要求。限于作者对ARP欺骗攻击的研究水平，如何自动地发现、定位进行 ARP 欺骗攻击的计算机，并通知相关人员处理这些有害的计算机，是我们下一步要重点解决的问题。参考文献1 网络安全技术与应用大典 高永强 郭世泽 人民邮电出版社 2003.32 ARP病毒入侵原理和方案3 浅析ARP欺骗4 ARP协议及ARP欺骗- 14 -