【IT168 专稿】ARP管理技术让很多人又恨又爱，设置良好的ARP可以成功运营并管理好一个网络，反之被恶意用户操纵也可以把网络搞得一塌糊涂.。 ARP又称地址地址解析协议它本身是一个不安全、不稳定的协议，那么如何使用、管理好一个网络，预防ARP欺骗是至关重要。

    一、ARP的症状及危害
    症状一、正在使用的网络突然间断线，可以操作内网连接或者网络连接正常（IP获取成功，有流量）却不能对网络进行访问。
    症状二、网络服务质量突然降低，比如通常情况下网络速度为200K/S，突然速度降为20K/S或更低，通过PING命令测试ISP服务商的DNS服务器，PING值不超过50MS（参考值，实际要根据平时PING返回信息判断）。
    症状三、网络正常使用，突然断线，立即又恢复，短时间来看没有什么问题，网络中流行一种盗号木马通过ARP欺骗把中马计算机伪装成网关，断钱迫使用户重新登陆，以盗取帐户密码。
    症状四、网络可以正常使用，使用部分协议的软件无法使用，如P2P，IM等软件无法正常使用。
  
    二、流量检测揪出非法ARP
    1、基本的网络状态检查
    用于网络流量检测，协议分析的软件很多，一些基于ARP管理的软件都集成了该类项目的检测方式。其中比较简单方便的检测工具主要是以SNIFFER为主，其可以检测到网络中那些计算机处于网络报文被获取状态，可以建立详细的受害群体目录（如图1） 

SNIFFER检测到的隐患计算机

    更可以快速建立网络安全状况，并及时提出对网络出现状况的整改措施和方案。

    2、缩小怀疑范围
    这个方法可以了解网络的运行状态，下面开始寻找并确定攻击者。这里通过IRIS对网上数据封包进行捕获来获取攻击者的IP地址及MAC地址，IRIS是老牌安全公司EEYE旗下的安全产品有强大的网络分析功能，其不单单的应用于ARP欺骗的分析上，还可以对数据包分析查看可疑数据流量，此数据捕获是实时进行的，在网络中传输的每一个封包都将显示在界面上，封包信息包括“时间、来源MAC地址、目标MAC地址、帧类型、协议类型及使用的端口、来源IP地址、到达的目标IP地址”等几个主要信息如图2

实时封包信息

    3、确定非法ARP用户
    现在用户可以根据封包信息的详细状况分析谁在使用ARP。通过软件的过滤器可以将想要得到的协议通讯分拣出来如图3

显示特定的协议

    在分拣出来的封包中用户主要看“来源IP地址”和“来源MAC地址”这两个项目，从中可以发现大量192.168.0.3的IP和00-00-00-00-00-00的MAC地址，到这里可以确定这个MAC地址和IP地址的拥有者就是肇事者。(小提示:根据现有数据，翻看网络建设初的技术白皮书，即能够找到该IP地址和MAC地址的拥有者。)

    后记：在ARP技术发展中的今天，越来越多的用户感觉到了其重要性，安全性加强的同时出现的小小漏洞足以危害全局，只有加强学术知识才能更好的进行防卫。