什么叫会车先行:如何查看中了arp

一、工具软件法
1、首先打开Anti ARP Sniffer 软件，输入网关的IP地址之后，再点击红色框内的“枚举MAC”按钮，即可获得正确网关的MAC地址。
2、输入网关IP地址后，枚举MAC
3、接着点击“自动保护”按钮，即可保护当前网卡与网关的正常通信。
4、点击自动保护按钮，当局域网中存在ARP欺骗时，该数据包会被Anti ARP Sniffer记录，该软件会以气泡的形式报警。
5、 Anti ARP Sniffer 的拦截记录。这时再根据欺骗机的MAC地址，对比查找全网的IP－MAC地址对照表，即可快速定位出中毒电脑。

二、Sniffer 抓包嗅探法
1、当局域网中有ARP病毒欺骗时，往往伴随着大量的ARP欺骗广播数据包，这时，流量检测机制应该能够很好的检测出网络的异常举动，此时Ethereal 这样的抓包工具就能派上用场。
2、用Ethereal抓包工具定位出ARP中毒电脑
3、框内的信息可以看出，192.168.0.109 这台电脑正向全网发送大量的ARP广播包，一般的讲，局域网中有电脑发送ARP广播包的情况是存在的，但是如果不停的大量发送，就很可疑了。而这台192.168.0.109 电脑正是一个ARP中毒电脑.

C:\Documents and Settings\Administrator>arp -a

Interface: 192.168.0.8 --- 0x10003
Internet Address Physical Address Type
192.168.0.1 00-e0-4c-b3-17-be dynamic

这样可以看到我的机器的网关(192.168.0.1)的网卡
硬件地址00-e0-4c-b3-17-be 你在正常上网时候记下你的这个地址
然后掉线的时候可以运行这个命令，如果这个地址变了，就说明 你有可能有人arp欺骗