如何檢測出發現局域網中進行ARP地址欺騙的主機， 有兩個思路， 一個是利用Winarpattack的檢測功能， 看哪些主機正在進行ARP掃描， 這些主機很可能就在進行ARP地址欺騙， 另一個檢測局域網哪些主機的網卡處于混雜模式， 因為進行ARP地址欺騙的主機它的網卡必定是設置在混雜模式， 所以哪臺主機的網卡是處于混雜模式了， 它就很可能在進行ARP地址欺騙。

　　（一）利用Winarpattack進行

　　這款軟件可以檢測的項目非常多， 也可以凡是它能夠進行的攻擊通過它自身的檢測功能都可以自己都可以檢測到， 我在兩臺虛擬機上驗證了這一點， 常用的功能如下：

　　源MAC地址失配和目標MAC地址失配

　　ARP掃描――檢測哪些主機正在通過ARP請求掃描這個局域網， 以便得到一個主機列表

　　Arp_Antisniff_掃描――檢測局域網中哪引起主機正在處于sniffer狀態， 從而就可知道誰正在進行sniffer

　　主機主線――檢測在線的主機

　　主機更改IP――主機更改了它的IP 址或者增加了一個新地址。

　　主機更改MAC――主機更改了它的MAC地址

　　新的主機――新的主機被找到了

　　主機增加IP――主機增加了一個新的IP地址

　　多IP主機――主機擁有了不至一個IP地址

　　多MAC主機――主機擁有了不至一個MAC 地址

　　攻擊洪水――列出哪些主機發送了很多的ARP包至別的主機

　　攻擊欺騙――主機發送了特定的ARP包到sniff數據兩個目標， 所以被欺騙者的數據暴露出來了。

　　局域網內的攻擊欺騙――主機讓局域網內的所有主機相信它就是網關， 所以這個行竊者可以sniff所有主機發送向網關的數據。

　　本地ARP列表改變――現在WinArpAttacker可以監視本地ARP列表， 當本地的ARP表中的一臺主機的MAC地址改變的時候， WinArpAttacker可以報告這一現象。

　　通過Winarpattack我們可以大致的了解到局域內的有哪些主機正在進行ARP地址欺騙， 但是這并不是這款軟件長處， 我們也可以利用更加專來的軟件來進行檢測， 那就是Antisniff。

　　（二）利用Antisniff軟件進行檢測

　　這是一款很經典的軟件， 但是由于出現的比較早， 后期又沒有更新， 因此它的最佳運行平臺是WINNT， 在95/98下也能運行， 但是據我的實驗測試情況， 這款軟件在98下面運行非常不穩定， 而在XP下面會提示找不到網卡而無法使用， 因此最佳平臺就是NT， 這年頭找個NT的安裝盤還真不好找， 我也是費了好大的勁才把NT的虛擬機建起來， 但是檢測的效果卻是出錯的好， 只需三步就可以得到結果：

　　1、定義要進行掃描的主機或網段

　　依次點選“Network Configuration”—“Host(s) to Scan”， 再選擇是要掃描“host”（單機）還是“range”（網段范圍） ， 這樣就可以定義出局域內需要掃描的主機。

　　2、進行掃描

　　為了加快掃描的時間， 我們可以限定要進行掃描的項， 因為是要檢測ARP地址欺騙， 那么在“Scanner Configuration”的“Detection Tests”只選Arp Test即可， 然后點擊那個倒三角符號即可開始掃描。

　　3、查看結果

　　如果掃描到局域網中有某臺主機的網卡是處于混雜模式， 那么AntiSniff馬上會報警， 先彈出一個骷髏頭的圖案， 然后再報告具體是哪個IP地址的主機的網卡是處于混雜模式了， 隨后我們還可以到“Report”項中查看具體的結果， 點擊“Report On Machine”， 再選中具體的某個IP的主機， 在ARP Test Res.一欄中， 如果出現了“1”則代理了此時網卡處于混雜模式， 如果出現了“0”則代表目前網機處于正常模式。 為什么一臺主機網卡有時會處于混雜模式， 有時又會處于正常模式呢， 關鍵就在于這臺主機當時有沒有開啟進行ARP地址欺騙的軟件， 由此可以看出Antisniff的檢測結果還是挺準的。

　　三、ARP地址欺騙的防護

　　Winarpattack本身就帶有防護功能， 但我們其實有更好的選擇， 我測試了一下， 如果安裝了360安全衛士的ARP防火墻或是彩影ARP防火墻個人版等軟件后， 利用Winarpattack的發起的攻擊就不會成功了， 所以說ARP地址欺騙雖然很討厭， 但是只要做好自身的防護的工作， 還是可以“免疫”的。

　　本文對以上軟件介紹的目的就是讓大家在進行局域網ARP地址欺騙防護的過程中多了解一些進攻的內容， 知己知彼， 方能百戰不殆啊。