WireShark发现局域网中的ARP病毒

ARP（Address Resolution Protocol）是TCP/IP协议中用来解析网络节点地址的底层协议。网络中流传的ARP病毒或恶意软件利用ARP机制进行地址欺骗。最常见的ARP问题可以分为如下三种类型：
1) 网关或服务器IP欺骗：利用ARP机制，冒用局域网中的网关或其他服务器IP地址，把正常应该传给网关或服务器的数据流引向进行ARP欺骗的计算机，从而造成网络中断或时断时续，或数据丢失。
2) 隐蔽盗用IP：利用ARP机制，在对方不知情的情况下盗用他人IP，进行恶意网络活动，由此可进行各种侵权操作。
3) 强行占用IP：利用ARP机制，攻击他人IP，最终达到占用他人IP，由此进行各种恶意或侵权操作。

网络故障诊断：

根据用户反应，网络时断时续。工程师使用WireShark进行抓包发现局域网中的数据包有百分之九十是ARP报文。

有一台MAC地址为001F-29DC-F4B1的主机，它作为源地址向本网段内其他电脑不断地发送ARP报文，并且告诉他们网关的MAC地址为001F-29DC-F4B1。但实际上用户的网关为一台交大捷普的防火墙，并且MAC地址也不是001F-29DC-F4B1。由此可以判断001F-29DC-F4B1这台主机在发送ARP地址欺骗，类型是网关欺骗。

注：X.31.74.254（这是PC机的默认网关）

但是到目前为止，内网用户的网络依然是时断时通。我们继续用WireShark抓包，发现了下面的问题

经过抓包观察后，我们发现IP地址为X。31.74.37，MAC地址为5CFF.3501.9DAF的主机也在局域网内发送大量的ARP数据包。它通过ARP广播包扫描了网段内所有主机的IP和MAC地址。一般来说，网络中出现大量ARP请求广播包，几乎都是对网段内的所有主机进行扫描。大量的ARP请求广播可能会占用网络带宽资源；ARP扫描一般为ARP攻击的前奏。

解决办法：

解决办法也很简单，就是把这两台的上联端口shutdown

本文转自东方之子736651CTO博客，原文链接： http://blog.51cto.com/ecloud/1664955，如需转载请自行联系原作者