查看当前缓存ARP表:
arp -a
用arping查看当前网关MAC:
arping 192.168.1.1
ARPING 192.168.1.1 from 192.168.1.3 eth0
Unicast reply from 192.168.1.1 [00:1F:A3:65:55:8D] 0.958ms
Unicast reply from 192.168.1.1 [00:1F:A3:65:55:8D] 0.947ms
Unicast reply from 192.168.1.1 [00:1F:A3:65:55:8D] 0.942ms
#一般回应在1ms左右,如果远大于此数据代表被arp欺骗网关代理了
统计当前网段所有主机MAC表,然后根据缓存arp网关MAC和arping网关MAC查看哪个IP异常。
#https://www.haiyun.me
#!/bin/bash
for i in `seq 254` ; do
arping -c 2 192.168.1.$i|grep ^Unicast|awk '{print $4,$5}'
done
Windows下可使用nbtscan扫描当前网段信息:
nbtscan -f 192.168.1.0/24
或使用NMAP获取当前网段所有主机MAC:
nmap -sP 192.168.1.0/24
同时也可使用tracert跟踪查看网关IP是否正确:
tracert www.haiyun.me
标签:arp, arping, nmap, arp攻击, 查找arping攻击源