近来我们宿舍楼ARP攻击相当猖獗，跟家常便饭似的，时不时就会让整栋楼断网大半天，特别是端午假期前一天晚上，宿舍局域网遭ARP攻击而断网，又碰上学校网络中心放假，直接3天假期不能上网！楼里弟兄们都怒了！
    曾经抓到过ARP攻击包，还是主机欺骗型攻击，如图：
[img=http://t2.qpic.cn/mblogpic/23afaee8dbf9e640921a/2000][/img]

    其实我一值没搞懂的是，明明是主机欺骗型ARP攻击（我们楼网关是：10.1.23.254，网关MAC是：00-1c-f9-6a-4c-00)，为什么不用broadcast而是向网内主机一个一个地发攻击包？
    记得以前网上搜ARP攻击相关知识的时候，百度百科上说如果在主机欺骗型ARP攻击当时内网有人以更高频率发维护数据包（就是把正确的网关MAC广播给网内主机），就会减少ARP攻击的影响，并且还推荐了一个叫做“欣向全ARP工具”的软件，说它有一个“主动维护”功能，就是把正确网关广播给网内主机，事后证明是个垃圾，还害的我宿舍一个网口被封。

    没办法，想到了自己写程序（反正不困难，就当玩玩吧），前两天刚写好了一个程序，实现广播ARP数据包：http://blog.csdn.net/nihaojiayu/archive/2011/06/07/6528746.aspx ，其实这个程序修改一下还能实现其他的功能，请自己挖掘吧，期待高手指教与交流！！
    但自习想想上面做的还是不够。我以前在上网高峰期扫描过局域网，保存了网内大部分主机的IP与MAC（我们都是静态IP，可以认为我的存档里面绝大多数都是不变的），这样改改上面的程序还可以抑制“网关欺骗型ARP攻击”。即使是这样，如果是有人手动恶意攻击，可能攻击一会儿看看没效果就罢手了，这样我上面的程序还可能拯救局域网呢；可是如果对方是中了ARP病毒呢？如果局域网不被攻击的Down掉，攻击源主机的使用者就会一直开着电脑，病毒会一直发作，而我要一直运行这上面的程序与之“交战”，而且时间一长很可能作用越来越小。

    我就想怎么抑制对方？一下就想到了“Smurf攻击”，就是利用ICMP的echo报文进行反射型DoS攻击，使对方机器Down掉（经过测试，学校网络有个机制，就是除了HTTP与TCP报文，其他类型的报文导致的某个网口流量过大会被封掉网口，网线煞时就没信号了，我都2次导致自己宿舍网口被封了。利用Smurf攻击应该能使对方的网口被封，想解开网口很简单，给网络中心打个电话编个理由解释一下就行了，但是如果经常这样的话，就该注意自己的问题了！）。
    我不知道Linux下有没有直接进行Smurf攻击的工具，也懒得找，想自己写一个呢。（各位有推荐也欢迎啊，放心，我不会做坏事儿的，不会傻到自己故意把自己的网络攻击了然后自己都上不去网的！！）
        
    但是问题又来了！！且不说是恶意攻击还是病毒攻击，我怎么知道抓包显示的攻击源IP与源MAC是真正的源地址还是被伪造的？我没有路由器权限，也没找入侵与检测攻击工具来使用，只靠Wireshark抓包来获取这些信息，但是我自己的程序就能伪造源IP、源MAC啊！！Google了一下“IP追踪技术”，发现大都是针对DDoS攻击进行防御的，规模实施比较大，我干不了那些。

    希望懂行的大牛能给些指点！！

ARP包没法确定谁真谁假的，这种情况下只有明确知道某个IP与其MAC真正的对应之后才能知道别的都是假的。
一般来说你只能使用arp -s设定一些静态的arp对应来避免被欺骗