怎么在局域网检测ARP的确良欺骗

检测ARP欺骗攻击比较有效的方法主要有两种，一种是在局域网内部使用抓包软件进行抓
包分析、另一种是直接到到三层交换机上查询ARP表，这两种方法各有优缺点，具体分析如下：

1、抓包分析
方法——使用抓包软件（如windump、sniffer pro等）在局域网内抓ARP的reply包，以windump为
例，使用windump -i 2 -n arp and host 192.168.0.1(192.168.0.1是您的网关地址）抓下来
的包我们只分析包含有reply字符的，格式如下：
18:25:15.706335 arp reply 192.168.0.1 is-at 00:07:ec:e1:c8:c3
如果最后的mac不是您网关的真实mac的话，那就说明有ARP欺骗存在，而这个mac就是那台进行
ARP欺骗主机的mac。

优点——简单易行，无需特别权限设置，所有用户都可以做，误判率较小！

缺点——必须在局域网内部（广播域内部）听包才有效。

2、三层交换机上查询ARP缓存表
方法——登陆局域网的上联三层交换机，并查看交换机的ARP缓存表（各种品牌的交换机命令有差异）
如果在ARP表中存在一个MAC对应多个端口（请注意是一个MAC对应多个端口，而不是一个端口上
存在多个MAC）的情况，那么就表明存在ARP欺骗攻击，而这个MAC就是欺骗主机的MAC。

优点——可以远程操作，无需到局域网内部，可以通过脚本来自动分析。

缺点——需要特殊权限，普通用户无法进行操作。

ARP欺骗的控制方法

1、主机静态绑定网关MAC
方法——使用arp命令静态绑定网关MAC，格式如下：
arp －s 网关IP 网关MAC
如果觉得每次手动输入比较复杂，您可以编写一个简单的批处理文件然后让它每次开机时自动运行，
批处理文件如下：
-----------------------------------
@ec