1．定位ARP攻擊源頭

　　主動定位方式：因為所有的ARP攻擊源都會有其特征——網卡會處于混雜模式， 可以通過ARPKiller這樣的工具掃描網內有哪臺機器的網卡是處于混雜模式的， 從而判斷這臺機器有可能就是“元兇”。 定位好機器后， 再做病毒信息收集， 提交給趨勢科技做分析處理。

　　標注：網卡可以置于一種模式叫混雜模式（promiscuous）， 在這種模式下工作的網卡能夠收到一切通過它的數據， 而不管實際上數據的目的地址是不是它。 這實際就是Sniffer工作的基本原理：讓網卡接收一切它所能接收的數據。

　　被動定位方式：在局域網發生ARP攻擊時， 查看交換機的動態ARP表中的內容， 確定攻擊源的MAC地址；也可以在局域居于網中部署Sniffer工具， 定位ARP攻擊源的MAC。

　　也可以直接Ping網關IP， 完成Ping后， 用ARP –a查看網關IP對應的MAC地址， 此MAC地址應該為欺騙的,使用NBTSCAN可以取到PC的真實IP地址、機器名和MAC地址， 如果有”ARP攻 擊”在做怪， 可以找到裝有ARP攻擊的PC的IP、機器名和MAC地址。

　　命令：“nbtscan -r 192.168.16.0/24”（搜索整個192.168.16.0/24網段, 即192.168.16.1-192.168.16.254）；或“nbtscan 192.168.16.25-137”搜索192.168.16.25-137 網段， 即192.168.16.25-192.168.16.137。 輸出結果第一列是IP地址， 最后一列是MAC地址。 　NBTSCAN的使用范例：

　　假設查找一臺MAC地址為“000d870d585f”的病毒主機。

　　1）將壓縮包中的nbtscan.exe 和cygwin1.dll解壓縮放到c:下。

　　2）在Windows開始—運行—打開， 輸入cmd（windows98輸入“command”）， 在出現的DOS窗口中輸入：C: btscan -r 192.168.16.1/24（這里需要根據用戶實際網段輸入）， 回車。

　　3）通過查詢IP--MAC對應表， 查出“000d870d585f”的病毒主機的IP地址為“192.168.16.223”。

　　通過上述方法， 我們就能夠快速的找到病毒源， 確認其MAC——〉機器名和IP地址。

　　2．防御方法

　　a.使用可防御ARP攻擊的三層交換機， 綁定端口-MAC-IP， 限制ARP流量， 及時發現并自動阻斷ARP攻擊端口， 合理劃分VLAN， 徹底阻止盜用IP、MAC地址， 杜絕ARP的攻擊。

　　b.對于經常爆發病毒的網絡， 進行Internet訪問控制， 限制用戶對網絡的訪問。 此類ARP攻擊程序一般都是從Internet下載到用戶終端， 如果能夠加強用戶上網的訪問控制， 就能極大的減少該問題的發生。

　　c.在發生ARP攻擊時， 及時找到病毒攻擊源頭， 并收集病毒信息， 可以使用趨勢科技的SIC2.0， 同時收集可疑的病毒樣本文件， 一起提交到趨勢科技的TrendLabs進行分析， TrendLabs將以最快的速度提供病毒碼文件， 從而可以進行ARP病毒的防御。