分享如何排查内网ARP断网攻击祸首

很多网友小集体或小区、住所都会使用局域网的方式上网，在网速本身并不高的情况下，同路由的用户就可能会因为网速问题使用各种网络控制软件，对局域网内的用户进行ARP断网攻击，以牺牲其他内网用户网速为代价换取更好的网速。

ARP断网攻击有什么征兆？

1、局域网内频繁性区域或整体掉线、IP地址冲突；

2、网速时快时慢；

3、极其不稳定，严重影响了网络的正常通讯；

4、安全软件会提示受到ARP网络攻击。

以上任何一条问题出现在用户计算机中都会让人气愤不已，有什么办法可以通过排查ARP断网攻击来源呢？

一、首先诊断是否为ARP病毒攻击

1、当发现上网明显变慢，或者突然掉线时，我们可以用：arp -a 命令来检查ARP表：

点击“开始”按钮-选择“运行”-输入“cmd”点击“确定”按钮，在窗口中输入：arp -a 命令。

检查ARP列表

如果发现网关的MAC地址发生了改变，或者发现有很多IP指向同一个物理地址，那么肯定就是ARP欺骗所致。这时可以通过 arp -d 清除arp列表，重新访问。

2、利用ARP防火墙类软件（如：360ARP防火墙、Anti ARP Sniffer等……）。

二、找出ARP病毒主机

1、用 arp -d 命令，只能临时解决上网问题，要从根本上解决问题，就得找到病毒主机。通过上面的 arp -a 命令，可以判定改变了的网关MAC地址或多个IP指向的物理地址，就是病毒机的MAC地址。哪么对应这个MAC地址的主机又是哪一台呢，Windows中有 ipconfig /all 命令查看每台的信息，但如果电脑数目多话，一台台查下去不是办法，因此可以下载一个叫“NBTSCAN”的软件，它可以扫描到PC的真实IP地址和MAC地址。

2、如果手头一下没这个软件怎么办呢？这时也可在客户机运行路由跟踪命令如：tracert -d www.xitongjiazhi.net马上就发现第一条不是网关机的内网IP，而是本网段内的另外一台机器的IP，再下一跳才是网关的内网IP；正常情况是路由跟踪执行后的输出第一条应该是默认网关地址，由此判定第一跳的那个非网关IP地址的主机就是罪魁祸首。