局域网arp欺骗病毒查找预防方法

　　这样的机制看上去很完美，似乎整个局域网也天下太平，相安无事。但是，上述数据发 送机制有一个致命的缺陷，即它是建立在对局域网中电脑全部信任的基础上的，也就是说它的假设前提是：无论局域网中那台电脑，其发送的ARP数据包都是正确 的。那么这样就很危险了！因为局域网中并非所有的电脑都安分守己，往往有非法者的存在。比如在上述数据发送中，当S电脑向全网询问“我想知道IP地址为 192.168.0.4的主机的硬件地址是多少？”后，D电脑也回应了自己的正确MAC地址。但是当此时，一向沉默寡言的A电脑也回话了：“我的IP地址 是192.168.0.4，我的硬件地址是MAC_A” ，注意，此时它竟然冒充自己是D电脑的IP地址，而MAC地址竟然写成自己的！由于A电脑不停地发送这样的应答数据包，本来S电脑的ARP缓存表中已经保 存了正确的记录：192.168.0.4－MAC_D，但是由于A电脑的不停应答，这时S电脑并不知道A电脑发送的数据包是伪造的，导致S电脑又重新动态 更新自身的ARP缓存表，这回记录成：192.168.0.4－MAC_A，很显然，这是一个错误的记录（这步也叫ARP缓存表中毒），这样就导致以后凡 是S电脑要发送给D电脑，也就是IP地址为192.168.0.4这台主机的数据，都将会发送给MAC地址为MAC_A的主机，这样，在光天化日之下，A 电脑竟然劫持了由S电脑发送给D电脑的数据！这就是ARP欺骗的过程。

　　如果A这台电脑再做的“过分”一些，它不冒充D电脑，而是冒充网关，那后果会怎么 样呢？我们大家都知道，如果一个局域网中的电脑要连接外网，也就是登陆互联网的时候，都要经过局域网中的网关转发一下，所有收发的数据都要先经过网关，再 由网关发向互联网。在局域网中，网关的IP地址一般为192.168.0.1。如果A这台电脑向全网不停的发送ARP欺骗广播，大声说：“我的IP地址是 192.168.0.1，我的硬件地址是MAC_A”这时局域网中的其它电脑并没有察觉到什么，因为局域网通信的前提条件是信任任何电脑发送的ARP广播 包。这样局域网中的其它电脑都会更新自身的ARP缓存表，记录下192.168.0.1－MAC_A这样的记录，这样，当它们发送给网关，也就是IP地址 为192.168.0.1这台电脑的数据，结果都会发送到MAC_A这台电脑中！这样，A电脑就将会监听整个局域网发送给互联网的数据包！