【IT168 专稿】如何检测出发现局域网中进行ARP地址欺骗的主机，有两个思路，一个是利用Winarpattack的检测功能，看哪些主机正在进行ARP扫描，这些主机很可能就在进行ARP地址欺骗，另一个检测局域网哪些主机的网卡处于混杂模式，因为进行ARP地址欺骗的主机它的网卡必定是设置在混杂模式，所以哪台主机的网卡是处于混杂模式了，它就很可能在进行ARP地址欺骗。
　　
　　（一）利用Winarpattack进行
　　
　　这款软件可以检测的项目非常多，也可以凡是它能够进行的攻击通过它自身的检测功能都可以自己都可以检测到，我在两台虚拟机上验证了这一点，常用的功能如下：
　　
　　源MAC地址失配和目标MAC地址失配
　　ARP扫描――检测哪些主机正在通过ARP请求扫描这个局域网，以便得到一个主机列表
　　Arp_Antisniff_扫描――检测局域网中哪引起主机正在处于sniffer状态，从而就可知道谁正在进行sniffer
　　主机主线――检测在线的主机
　　主机更改IP――主机更改了它的IP 址或者增加了一个新地址。
　　主机更改MAC――主机更改了它的MAC地址
　　新的主机――新的主机被找到了
　　主机增加IP――主机增加了一个新的IP地址
　　多IP主机――主机拥有了不至一个IP地址
　　多MAC主机――主机拥有了不至一个MAC 地址
　　攻击洪水――列出哪些主机发送了很多的ARP包至别的主机
　　攻击欺骗――主机发送了特定的ARP包到sniff数据两个目标，所以被欺骗者的数据暴露出来了。
　　局域网内的攻击欺骗――主机让局域网内的所有主机相信它就是网关，所以这个行窃者可以sniff所有主机发送向网关的数据。
　　本地ARP列表改变――现在WinArpAttacker可以监视本地ARP列表，当本地的ARP表中的一台主机的MAC地址改变的时候，WinArpAttacker可以报告这一现象。
　　
　　通过Winarpattack我们可以大致的了解到局域内的有哪些主机正在进行ARP地址欺骗，但是这并不是这款软件长处，我们也可以利用更加专来的软件来进行检测，那就是Antisniff。