查找ARP欺骗木马

　　ARP（Address Resolution Protocol）是地址解析协议，是一种将IP地址转化成物理地址的协议。从IP地址到物理地址的映射有两种方式：表格方式和非表格方式。ARP具体说来就是将网络层（IP层，也就是相当于OSI的第三层）地址解析为数据连接层（MAC层，也就是相当于OSI的第二层）的MAC地址。
　　ARP欺骗分为二种，一种是对路由器ARP表的欺骗；另一种是对内网PC的网关欺骗。
　　对路由器ARP表的欺骗的原理是——截获网关数据。它通知路由器一系列错误的内网MAC地址，并按照一定的频率不断进行，使真实的地址信息无法通过更新保存在路由器中，结果路由器的所有数据只能发送给错误的MAC地址，造成正常PC无法收到信息。
　　ARP欺骗木马只需成功感染一台电脑，就可能导致整个局域网都无法上网，严重的甚至可能带来整个网络的瘫痪。
　　今年以来，笔者管理的局域网中，已经发生多起ARP欺骗。
　　当感觉到局域网中出现ARP欺骗时，笔者即查看防火墙（兼作路由器）中的ARP列表，如果，出现许多个IP地址对应同一个MAC地址的现象（如下图所示），就可判定局域网中的存在感染ARP欺骗木马的微机。

　　通过寻找对应，该MAC的IP地址，就可以寻找到，感染ARP欺骗木马的微机，切断该微机与网络的连接数分钟后，局域网即可正常运行。

主页　　　　　　　　　　　　　　　　　　　　｛系统与网络｝