在上篇我们见识了嗅探器工具应用的实例，面对这种入门级黑客都能轻易掌握但是难以防范的入侵，作为网管应当如何应对呢？事实上，对于反ARP欺骗与反嗅探，有许多切实可行的办法，例如划分详细的VLAN、对数据进行加密保护等等，但是较为适用于网吧环境的主要有以下两种：
　　1.在网关路由绑定客户端IP与MAC地址的对应关系。再在客户端绑定网关IP与MAC地址的对应关系。
　　2.使用反嗅探软件找出那些不受欢迎的客人。

　　绑定IP与MAC阻止进行ARP欺骗

　　在上篇中我们了解到，在交换环境中要成功嗅探必须先对目标电脑进行ARP欺骗。其欺骗得手成功的原因，则在于ARP协议中动态更新的ARP列表，假如我们可以将这个列表从动态转换为静态，那么ARP欺骗就没有可以利用的漏洞了。
　　首先，需要为各个客户端设置固定IP地址。
　　建立一下张IP与MAC的对应列表。由于一一手动收集IP与MAC地址的对应十分有麻烦，所以建议网管们去下载“科来网络分析系统”其中包含有“科来物理地址扫描器”，可以方便地扫描出整个网络的物理地址，并且导出为文本文件。

　　图1

　　将表格导入至Excel添加一列，在前面输入arp-s拖曳快速复制。将物理地址转换为aa-bb-cc-dd-ee-ff格式。假如使用前面科来物理地址扫描器，那么只需要将“：”替换为“-”即可。处理完毕，获得如图X所示的Excel表。

　　
　　图2

　　将此表的内容，复制至记事本，将保存为autoexec.bat文件类型。然后放置在包括网关在内的各台电脑的C盘根目录。这样每一台电脑在启动时，均会自动加载静态的ARP列表，再也不用怕黑客发动ARP欺骗类的攻击了。

　　
　　图3

　　假如网吧的网关是使用宽带路由器作为网关的话，那么就需要看看是否有提供ARP列表设置项目。假如没有这一项目，那么黑客的攻击，还是会影响网关，从而造成网吧的断网。
　　假如屡屡发生大面积断网的情况，则建议网管使用以下第二招揪出让网吧不得安宁的真凶。

　　检测混杂模式网卡，找出不受欢迎的客人

　　稍前的内容中，我们介绍了如何防范嗅探。事实上除了被动防守之外，网管也可以主动出击，通过利用一些反嗅探软件，将隐藏在网络的嗅探器及幕后黑手找出来。
　　对于习惯使用Windows系统的网管，Antisniff是最常用反嗅探软件，它根据嗅探器软件在工作时，必须将网卡设置为混杂模式的特征。搜寻网络中那些网卡处于该工作状态的网卡，从而找出正使用嗅探器的主机。下面，就来看看它的使用方法：
　　下载安装之后，通过Antisniff扫描某一网段内所有主机中网卡为混杂模式的主机，在扫描范围中输入要检测的网段，单击“扫描”按钮开始检测，当听到警告声时，表示发现可疑目标，这时可以切换至“report”选项卡，单击“reporton Machine”按钮，从而看看有那些可疑的电脑。
　　由于正常情况下极少有软件在工作时需要把网卡设置成混杂模式，也不会发动ARP欺骗，因此根据以上提示的IP地址，找到对应的电脑。建议先客气地请使用这些电脑的客人换个座位，看看这些电脑是否之前被人动过手脚（免得冤枉好人）。假如换位后正常的电脑再进入混杂模式，那么可以肯定，他就应当是就是网管们一直在寻找的那位不受欢迎客人了。

　　
　　图4

　　在实际使用中Antisniff也暴露了一些不足，只能工作在一个网段内，假如你管理的网吧有多个网段，那么就需要在各个网段找一台电脑安装Antisniff才能全面监控。另外Antisniff设计于2000年，对于加了SP、SP2补丁之后WindowsXP兼容性较差。
　　假如Antisniff不能正常工作，那么可以至http://www.xfocus.net/tools/200511/Winarp3.0Beta1.rar下载WinArpAttacket。安装完毕后，单击“Detect”按钮，通过它也能实时检查目前有那台电脑正在发动arp欺骗或攻击。如图所示可以看到192.168.1.60这台电脑正在不断欺骗局域网内其他电脑。

　　
　　图5

　　至此，在ARP欺骗、嗅探的攻防战中，网管不但成功防卸入侵，还一举擒获真凶，可算是小胜了一回。但是要想守住这个胜利成果，各位网管还得继续努力，因为各种嗅探工具也在不断改进。假如各位对此有兴趣，想更多了解嗅探攻防方面的内容，那么请多多回复发表自己的意见与见解，并说说自己想了解那方面的安全内容。