在51CTO安全頻道策劃的“網絡嗅探教程”的上一篇文章《使用Sniffer Pro監控網絡流量》中，banker向大家介紹了如何使用sniffer pro監控網絡中網關流量。在這一節，banker將向51CTO網友介紹如何使用sniffer pro來監控ARP欺騙行為。文中會介紹一些更為簡便和直接的snffer程序，它們都屬于snffer程序的一種，只是在功能上更有針對性。本文不再過多敘述ARP欺騙原理等相關知識，有興趣的網友可以參閱《ARP攻擊防御與解決方案專題》

一、使用sniffer pro監控ARP

實際上，使用sniffer pro程序的監控功能可以更方便、更為迅速的幫助我們定位問題。

步驟一：首先，我們在已經做了端口鏡像的機器上啟動snffer pro程序。選擇菜單欄中Monitor→Define Filter 來定義我們需要的過濾器。在彈出的define Filter對話框中選擇Profiles→New 來新建一個過濾器，我們這里取名為ARP。

498)this.style.width=498;" border=0>

圖1（點擊查看大圖）

步驟二：點擊Advanced高級標簽，我們這里選中ARP協議。單擊OK后完成過濾器的新建。

498)this.style.width=498;" border=0>

圖2（點擊查看大圖）

步驟三：系統默認過濾器為Default，我們來選擇剛才新建過濾器ARP。首先，選擇Monitor→Select Filter。

498)this.style.width=498;" border=0>

圖3（點擊查看大圖）

步驟四：在彈出的對話框中點擊ARP。在這里要注意的是：一定要把Apply monitor勾選。點擊確定后，過濾器定義和選擇工作準備完畢。

498)this.style.width=498;" border=0>

圖4（點擊查看大圖）

步驟五：鼠標點擊工具欄中Host Table按鈕（聯網圖標），在彈出的子窗口中選擇Detail工具（放大鏡圖標）。注意觀察本圖同之前程序使用默認Default Filter過濾器的不同之處。現在，按照我們的定義，監視器內Protocol(協議類型)僅包括IP_ARP.這對于我們查找問題，層次上更加分明。這里需要注意的是：

①這里的Address（地址）以IP或者機器名的形式顯示，如果顯示MAC，請先使用Tools→Address book進行掃描，IP-MAC的顯示轉換后，將有利于我們快速定位節點。
②網內終端中所有ARP廣播包的和，合計后等于Broadcast數據包（廣播包）。

498)this.style.width=498;" border=0>

圖5（點擊查看大圖）

步驟六：我們先來觀察，在正常網絡狀況下，ARP協議的TOP流量分布圖，這將方便我們的區分、判斷。鼠標點擊左邊工具欄中的Bar（柱形圖標），我們知道Bar會將目前數據包流量排行前10位，通過動態柱型圖的方式顯示出來。同上圖的Detail（詳細顯示方式）一樣，只不過Bar在界面上對于觀察者來講更為直觀。需要注意的是：

①Broadcast（網內所有節點的廣播）占TOP排行第一位。
②其它節點依次排開。但是，流量差距不大。

498)this.style.width=498;" border=0>

圖6（點擊查看大圖）

步驟七：我們再來觀察，網內存在ARP欺騙情況時流量排行圖。請仔細對比上述兩圖。

我們會發現問題的所在：
①TOP1 節點219.238.*.111占據網內最大ARP流量。
②TOP2中的流量急速增大且與TOP3差距懸殊。
③我們知道，在網絡常的情況下，不同節點的ARP流量會有差距，但應該相差不大。同時我們對比在網絡正常情況下ARP流量TOP圖，并以它做為基準，問題就顯而易見了。
④這里需要解釋的是，Broadcast在下圖中排行第二，為什么呢？因為Broadcast是網內廣播總計，但ARP分為請求（廣播）、和回應（單播）兩種，當219.238.*.111的回應（也就是單播數量）大于ARP請求（廣播的數量）將可能出現ARP總流量大于Broadcast的情況，這也印證我們在開場所說的：當節點出現ARP欺騙時，它會向網內ARP reply。

498)this.style.width=498;" border=0>

圖7（點擊查看大圖）

步驟八：再來看看節點219.238.*.111的traffic map （通信圖），幾乎與網內所有節點都有ARP通信。同時與節點wangguan(網關)通信數據量最大。至于它為什么最大？在文章開始介紹ARP時提過，這里不在贅述。

498)this.style.width=498;" border=0>

圖8（點擊查看大圖）