典型ARP警告信息分析

以下示例中 192.168.0.1 是路由器IP

警告信息:
2006-3-25 22:24:49
ARP警告来自: A001
IP: 192.168.0.1
原MAC: 00E04CB17E32 (Unknown)
新MAC: 00E04C880650 (A025)

分析: 这是一条来自主机A001的信息, IP是路由器IP, 原主机是未知的(服务端不知道路由器的主机名), 新主机是A025, 也就是说A025在欺骗A001, 冒充路由器。主机A025有ARP木马或ARP病毒。

警告信息:
2006-3-25 22:25:03
ARP警告来自: A001
IP: 192.168.0.1
原MAC: 00E04C880650 (A025)
新MAC: 00E04CB17E32 (Unknown)

分析: 这条信息与上一条比较, 发现只是新MAC(也就是新主机)与旧MAC(也就是旧主机)交换了。这说明A025结束了对A001的欺骗。

警告信息:
2006-3-25 22:26:32
ARP警告来自: A008
IP: 192.168.0.1
原MAC: 00E04CB17E32 (Unknown)
新MAC: 00304C617ED3 (Unknown)

分析: 来自主机A008, IP是路由器的IP, 但是两个MAC都是未知主机的, 其中一个可能是路由器的MAC。很可能在某台机上使用了ARP攻击软件(如网络执法官,剪刀手等)对A008进行攻击。如果原MAC是路由器MAC, 则该信息表示A008开始受到攻击; 如果新MAC是路由器MAC, 则表示针对A008的攻击结束了。

警告信息:
2006-3-25 22:27:20
ARP警告来自: A008
IP: 192.168.0.11
原AC: 00E04C88065A (A11)
新AC: 00E04CB17E99 (Unknown)

2006-3-25 22:27:23
ARP警告来自: A015
IP: 192.168.0.11
原AC: 00E04C88065A (A11)
新AC: 00E04CB17E99 (Unknown)

分析: 收到若干来自不同主机的ARP警告信息, 显示IP 192.168.0.11的MAC变成了未知的主机MAC。说明A11主机受到了其它主机上的ARP攻击软件的攻击。