如何查找同一网段内的arp欺骗源？ windows的主机

提供一种相对专业的查询方案，

第一步：开始--运行--cmd--（ arp-a ）-- 跳出机器arp欺骗地址，其中有一条是由路由器发出的正常广播arp信号，查看自己的网关地址，除自己网关地址外的地址，为发出虚假arp欺骗的源主机地址，ip地址后为arp欺骗源主机网卡地址，网卡地址无重复。

第二步：如果你能进入路由器，那直接查看虚假arp欺骗源主机地址及网卡地址，确定在网络中的位置，针对该主机进行应对。

如果你不能进入路由郑野绝器，那么就要直接到脊拆每喊姿台机器上查阅网卡地址，核对正确后，直接进行应对。

在windows系统下使用ARP命令查看本主机缓存表，可以用以下的方法：

首先，打开命令提示符（cmd）。

然后，在命令提示符中输入arp -a，然后按回车键。

接着，就可以看到本主机缓存表的内容，包括网络接口、IP地址、物理地址和类侍粗型等信息。

以下是一激链个示例：

C:\Users\Administrator>arp -a

接口: 192.168.1.100 --- 0x2

 Internet 地址         物理地址              类型

 192.168.1.1           00-11-22-33-44-55  明谈孙   动态

 192.168.1.101         66-77-88-99-AA-BB     动态

在每台安装有TCP/IP协议的电脑里都有一个ARP缓存表，表里的IP地址与MAC地址是一一对应的，如附表所示。

附表

我们以主机A（192.168.1.5）向主机B（192.168.1.1）发送数据为例。当发送数据时，主机A会在自己的ARP缓存表中寻找是否有目标IP地址。如果找到了，也就知道了目标MAC地址，直接把目标MAC地址写入帧里面发送就可以了；如果在ARP缓存表中没有找到相对应的IP地址，主机A就会在网络上发送一个广播，目标MAC地址是“FF.FF.FF.FF.FF.FF”，这表示向同一网段内的所有主机发出这样的询问：“192.168.1.1的MAC地址是什么？”网络上其他主机并不响应ARP询问，只有主机B接收到这个帧时，才向主机A做出这样的回应：“192.168.1.1的MAC地址是00-aa-00-62-c6-09”。这样，主机A就知道了主机B的MAC地址，它就可以向主机B发送信息了。同时它还更新了自己的ARP缓存表，下次再向主机B发送信息时，直接从ARP缓存表里查找就可以了。ARP缓存表采用了老化机制，在一段时间内如果表中的某一行没有使用，就会被删除，这样可以大大减少ARP缓存表的长度，加快碧拍查询速度。

ARP攻击就是通过伪造IP地址和MAC地址实现ARP欺骗，能够在网络中产生大量的ARP通信量使网络阻塞，攻击者只要持续不断的发出伪造的ARP响应包就能更改目标主机ARP缓存中的IP-MAC条目，造成网络中断或中间人攻击。

ARP攻击主要是存在于局域网网络中，局域网中若有一个人感染ARP木马，则感染该ARP木马的系统将会试图通过“ARP欺骗”手段截获所在网络内其腔祥它计算机的通信信息，并因此造成网内其它计算机的通信故障。

RARP的工作原理：

1. 发送主机发送一个本地的RARP广播，在此广播包中，声明自己的MAC地址并且请求任何收到此请求的RARP服务器分配一个悔圆羡IP地址；

2. 本地网段上的RARP服务器收到此请求后，检查其RARP列表，查找该MAC地址对应的IP地址；

3. 如果存在，RARP服务器就给源主机发送一个响应数据包并将此IP地址提供给对方主机使用；

4. 如果不存在，RARP服务器对此不做任何的响应；

5. 源主机收到从RARP服务器的响应信息，就利用得到的IP地址进行通讯；如果一直没有收到RARP服务器的响应信息，表示初始化失败。

---