查找ARP攻擊源

問題：
內網有電腦中了ARP病毒，但是網絡拓撲比較復雜、電腦數量較多，排查起來很困難。有什么方法可以找出ARP攻擊源？
【推薦3】
排查方法：
1.使用Sniffer抓包。在網絡內任意一台主機上運行抓包軟件，捕獲所有到達本機的數據包。如果發現有某個IP不斷發送請求包，那么這台電腦一般就是病毒源。
原理：無論何種ARP病毒變種，行為方式有兩種，一是欺騙網關，二是欺騙網內的所有主機。最終的結果是，在網關的ARP緩存表中，網內所有活動主機的MAC地址均為中毒主機的MAC地址；網內所有主機的ARP緩存表中，網關的MAC地址也成為中毒主機的MAC地址。前者保證了從網關到網內主機的數據包被發到中毒主機，后者相反，使得主機發往網關的數據包均發送到中毒主機。

2. 使用arp -a命令。任意選兩台不能上網的主機，在DOS命令窗口下運行arp -a命令。例如在結果中，兩台電腦除了網關的IP，MAC地址對應項，都包含了192.168.0.186的這個IP，則可以斷定192.168.0.186這台主機就是病毒源。
原理：一般情況下，網內的主機只和網關通信。正常情況下，一台主機的ARP緩存中應該只有網關的MAC地址。如果有其他主機的MAC地址，說明本地主機和這台主機最后有過數據通信發生。如果某台主機（例如上面的192.168.0.186）既不是網關也不是服務器，但和網內的其他主機都有通信活動，且此時又是ARP病毒發作時期，那么，病毒源也就是它了。

3. 使用tracert命令。在任意一台受影響的主機上，在DOS命令窗口下運行如下命令：tracert 61.135.179.148。　假定設置的缺省網關為10.8.6.1，在跟蹤一個外網地址時，第一跳卻是10.8.6.186，那么，10.8.6.186就是病毒源。
原理：中毒主機在受影響主機和網關之間，扮演了“中間人”的角色。所有本應該到達網關的數據包，由於錯誤的MAC地址，均被發到了中毒主機。此時，中毒主機越俎代庖，起了缺省網關的作用。

總結：
使用以上方法找出ARP攻擊源后，先將中病毒的電腦殺毒，然后可以使用ARP雙向綁定可以有效預防ARP攻擊。
方法：在路由器上掃描綁定所有電腦的IP、MAC地址(REOS和REOS SE設備都可實現)：
ReOS的設備可以直接在“網絡安全→IP/MAC綁定”里導出“ARP綁定腳本文件”放到內網每個電腦的啟動項里。
ReOS-SE設備可以在電腦上使用記事本編輯一個BAT文件，內容是“arp.exe -d 2>nul&arp.exe –s 網關IP 網關MAC”同樣放到電腦啟動項里。