ARP攻击与防护完全手册

　　出现原因（可能）：

　　木马病毒

　　嗅探

　　人为欺骗

　　◆第二种：导致断网

　　通讯模式：

　　应答 -> 应答 -> 应答 -> 应答 -> 应答 -> 应答 -> 请求…

　　描述：

　　这类情况就是在ARP欺骗过程中，欺骗者只欺骗了其中一方，如B欺骗了A，但是同时B没有对C进行欺骗，这样A实质上是在和B通讯，所以A就不能和C通讯了，另外一种情况还可能就是欺骗者伪造一个不存在地址进行欺骗。

　　对于伪造地址进行的欺骗，在排查上比较有难度，这里最好是借用TAP设备（呵呵，这个东东好像有点贵勒），分别捕获单向数据流进行分析！

　　出现原因（可能）：

　　木马病毒

　　人为破坏

　　一些网管软件的控制功能

　　三、常用的防护方法

　　搜索网上，目前对于ARP攻击防护问题出现最多是绑定IP和MAC和使用ARP防护软件，也出现了具有ARP防护功能的路由器。呵呵，我们来了解下这三种方法。

　　3.1静态绑定

　　最常用的方法就是做IP和MAC静态绑定，在网内把主机和网关都做IP和MAC绑定。

　　欺骗是通过ARP的动态实时的规则欺骗内网机器，所以我们把ARP全部设置为静态可以解决对内网PC的欺骗，同时在网关也要进行IP和MAC的静态绑定，这样双向绑定才比较保险。

　　方法：

　　对每台主机进行IP和MAC地址静态绑定。

　　通过命令，arp -s可以实现 “arp –s IP MAC地址 ”。

　　例如：“arp –s192.168.10.1 AA-AA-AA-AA-AA-AA”。

　　如果设置成功会在PC上面通过执行arp -a 可以看到相关的提示： Internet Address Physical Address Type

　　192.168.10.1AA-AA-AA-AA-AA-AA static(静态)

　　一般不绑定,在动态的情况下：