第一行是執(zhí)行的命令，單純的"show arp"會(huì)顯示出交換機(jī)學(xué)習(xí)到的所有MAC地址，從中找到攻擊MAC非常困難，" | include 0050.bae3.2305"起到過(guò)濾功能，僅顯示對(duì)應(yīng)的行。第二行是執(zhí)行結(jié)果，會(huì)發(fā)現(xiàn)這個(gè)MAC地址來(lái)自Fa1/17端口。找到該端口對(duì)應(yīng)的主機(jī)即找到了攻擊源，如果該端口接的不是一臺(tái)計(jì)算機(jī)，而是另一臺(tái)交換機(jī)，重復(fù)剛才的方法，直到找出最終的計(jì)算機(jī)。

該方法的優(yōu)點(diǎn)是最具可操作性，執(zhí)行比較快捷，所有的網(wǎng)管型交換機(jī)均支持該功能，強(qiáng)烈推薦使用。缺點(diǎn)是還有很多單位仍在使用著非網(wǎng)管型交換機(jī)或集線(xiàn)器。

方法5：在非網(wǎng)管型交換機(jī)或集線(xiàn)器的情況下，用十分鐘的時(shí)間即可找出攻擊者。在被攻擊者的計(jì)算機(jī)（虛擬機(jī)1）上打開(kāi)兩個(gè)DOS窗口，一個(gè)窗口執(zhí)行"ping 192.168.1.200 -t"，另一個(gè)DOS窗口中間隔性執(zhí)行"arp -d"，如果有多臺(tái)非網(wǎng)管型交換機(jī)或集線(xiàn)器，依次切斷他們的電源，何時(shí)發(fā)現(xiàn)第二個(gè)DOS窗口中出現(xiàn)持續(xù)的"Reply from……"，則可以斷定ARP攻擊源來(lái)自這臺(tái)網(wǎng)絡(luò)設(shè)備。接下恢復(fù)該設(shè)備的電源，把網(wǎng)線(xiàn)一根根的拔下來(lái)，何時(shí)發(fā)現(xiàn)第二個(gè)DOS窗口中出現(xiàn)持續(xù)的"Reply from……"，則可以斷定，該網(wǎng)線(xiàn)所接的設(shè)備就是ARP攻擊源。如果這種查找方法慢，可以使用二分查找法，即一次拔下一半的線(xiàn)，測(cè)一下，一般不超過(guò)十分鐘即可找出攻擊源。

該方法的優(yōu)點(diǎn)是幾乎適合任何網(wǎng)絡(luò)環(huán)境。缺點(diǎn)是執(zhí)行起來(lái)有點(diǎn)辛苦，最好還是換成網(wǎng)管型的交換機(jī)吧。

方法6：普通用戶(hù)的自救方法。作為一名普通的網(wǎng)絡(luò)使用者，向網(wǎng)管報(bào)修可能得不到及時(shí)解決，編寫(xiě)一個(gè)批處理文件，在計(jì)算機(jī)上執(zhí)行，即可解決ARP的攻擊問(wèn)題。批處理文件的內(nèi)容如下：

：a
Arp -d
Ping 1.1.1.1 -n 1 -w 100
Goto a

把該文本文件保存為a.bat，然后在用戶(hù)的計(jì)算機(jī)上雙擊執(zhí)行，會(huì)打開(kāi)一個(gè)DOS窗口，程序會(huì)循環(huán)執(zhí)行，不要關(guān)閉該窗口即可解決ARP攻擊問(wèn)題。如果ARP清除方法的速度太慢，可以改變上面的100（表示0.1s）為想要的數(shù)值。

該方法的優(yōu)點(diǎn)是普通用戶(hù)也可以解決ARP攻擊問(wèn)題，幾乎適合任何網(wǎng)絡(luò)環(huán)境。缺點(diǎn)是頻繁的清除ARP緩存，頻繁的發(fā)送ARP廣播包，會(huì)給本她計(jì)算機(jī)和網(wǎng)絡(luò)帶來(lái)額外負(fù)擔(dān)。

多易