从sniffer下手揪出ARP病毒的几种方法

1.ARP欺骗病毒爆发的征兆
一般来说，ARP欺骗病毒爆发主要有以下几个特征。第一，网速变得很慢，有些电脑可以正常上网，但是会偶尔丢包。例如ping网关丢包。而其他大部分电脑都无法正常上网，掉包现象严重。但是这些不能上网的电脑过一段时间就可以自动重新连接了。Ping网关地址会发现延迟波动很大。另外，即使可以正常上网，使用邮箱、论坛等功能。还是导致无法正常登录的问题。
其次，确认arp欺骗病毒的爆发。
当我们的企业网出现类似上述的现象时，我们需要通过本机的ARP显示指令来确认病毒的爆发。
第一步:遍历“开始->运行”，输入CMD指令，回车。这将把我们带到命令提示符窗口。
第二步:在命令提示符窗口，我们输入ARP -A命令，查询本地计算机的ARP缓存信息。显示列表中的物理地址列是对应于IP的MAC地址。大测提示:如果企业没有做任何MAC和ip地址的绑定工作，ARP模式一栏显示动态动态获取。当我们发现执行arp -a指令，信息网关地址对应的MAC地址与正确的不同时，就可以确定网络中已经开始出现arp欺骗病毒。比如正常情况下，我们网络中网关地址192.168.2.1对应的MAC地址是00-10-5C-AC-3D-0A，但是实施后发现192.168.2.1对应的MAC地址是00-10-5c-ac-31-b6。确认网关的MAC信息错误或改变是由ARP病毒引起的。
第三步:我们用笔记下错误的MAC地址，为以后被sniffer筛选做准备。
接下来，我们应该使用sniffer作为一个强大的工具来找出病毒的根源。
三、从sniffer中找出ARP病毒
一般来说，办法是找一台没有感染病毒的电脑，连接到企业核心路由交换设备的镜像端口，抓取数据包。大的测试提示如果没有直接联网的镜像端口可以抓取，但是抓取的数据会不完整，问题分析的周期会比较长。
第一步:我们根据实际需要，将用于故障分析的笔记本连接到交换机的镜像端口。运行嗅探器，并在嗅探器软件中打开仪表板面板。该面板主要用于扫描当前网络中数据包的宏观信息，即有多少数据包。一般来说，病毒是通过广播包传播的，只需要看网络中每秒广播包的数量就可以判断病毒是否有害。在仪表板面板中，我们可以看到每秒显示26条信息，这意味着由于当前的网络搜索，每秒有26个广播数据包。和平往往不止于此。
第二步:接下来，我们切换到sniffer软件中的hosttable主机列表，看看哪台计算机发送的广播包最多。一般来说，如果网络中有蠕虫，这台主机的播放量要比其他主机大很多。比如这个例子，一台电脑有14344个广播包，是其他正常电脑的1000多倍。这样就可以判断电脑有问题。
第三步:我们在sniffer软件中切换到协议分发，发现网络中ARP报文的比例比较大，达到12%以上，也是异常的。一般来说，在一个正常的网络中，99%以上的包都是IP包，ARP包不到1%。
第四步:接下来，是时候对嫌疑人进行监控了，这个在之前的文章中也有介绍。通过分析发送广播量的主机的包捕获，可以发现他不断欺骗网关，发出包的目的地址都是连续的，声称自己是192.168.2.0/24网段的主机，从而导致其他主机无法与正确的网关正常通信，被他欺骗。
第五步:在知道了有问题的电脑的MAC地址后，我们可以通过查询sniffer监测到的数据，特别是查看MAC与真实网关地址通信时数据包的内容，找到它的IP地址。当然，如果企业有DHCP服务器，也可以在DHCP服务器的地址租用池中查看MAC地址对应的IP地址信息。简而言之，我们可以通过多种方式通过MAC找到IP地址，最终确定病毒的根源。
第六步:找到有问题的MAC地址和IP地址后，我们就可以断网，对电脑进行隔离和杀毒。杀毒连接网络后，所有问题都已解决，网络恢复正常。