ARP防攻击命令手册

arp命令使用详解（1）显示和修改“地址解析协议 (ARP)”缓存中的项目。

ARP 缓存中包含一个或多个表，它们用于存储 IP 地址及其经过解析的以太网或令牌环物理地址。

计算机上安装的每一个以太网或令牌环网络适配器都有自己单独的表。

如果在没有参数的情况下使用，则 arp 命令将显示帮助信息。

语法arp[-a [InetAddr] [-N IfaceAddr]] [-g [InetAddr] [-N IfaceAddr]] [-d InetAddr [IfaceAddr]] [-s InetAddr EtherAddr [IfaceAddr]]参数-a[ InetAddr] [ -N IfaceAddr]显示所有接口的当前 ARP 缓存表。

要显示特定 IP 地址的 ARP 缓存项，请使用带有InetAddr 参数的 arp -a，此处的 InetAddr 代表 IP 地址。

如果未指定 InetAddr，则使用第一个适用的接口。

要显示特定接口的 ARP 缓存表，请将 -N IfaceAddr 参数与 -a 参数一起使用，此处的 IfaceAddr 代表指派给该接口的 IP 地址。

-N 参数区分大小写。

-g[ InetAddr] [ -N IfaceAddr]与 -a 相同。

-d InetAddr [IfaceAddr]删除指定的 IP 地址项，此处的 InetAddr 代表 IP 地址。

对于指定的接口，要删除表中的某项，请使用 IfaceAddr 参数，此处的 IfaceAddr 代表指派给该接口的 IP 地址。

要删除所有项，请使用星号 (*) 通配符代替 InetAddr。

-s InetAddr EtherAddr [IfaceAddr]向 ARP 缓存添加可将 IP 地址 InetAddr 解析成物理地址 EtherAddr 的静态项。

要向指定接口的表添加静态 ARP 缓存项，请使用 IfaceAddr 参数，此处的 IfaceAddr 代表指派给该接口的 IP 地址。

ARP命令详解和解决ARP攻击（双向绑定）ARP命令详解和解决ARP攻击(双向绑定)显示和修改“地址解析协议(ARP)”缓存中的项目。

ARP 缓存中包含一个或多个表，它们用于存储IP 地址及其经过解析的以太网或令牌环物理地址。

计算机上安装的每一个以太网或令牌环网络适配器都有自己单独的表。

如果在没有参数的情况下使用，则arp 命令将显示帮助信息。

语法arp[-a [InetAddr] [-N IfaceAddr]] [-g [InetAddr] [-N IfaceAddr]] [-d InetAddr [IfaceAddr]] [-s InetAddr EtherAddr [IfaceAddr]]参数-a[ InetAddr] [ -N IfaceAddr]显示所有接口的当前 ARP 缓存表。

要显示特定 IP 地址的 ARP 缓存项，请使用带有 InetAddr 参数的 arp -a，此处的 InetAddr 代表 IP 地址。

如果未指定InetAddr，则使用第一个适用的接口。

要显示特定接口的 ARP 缓存表，请将 -N IfaceAddr 参数与 -a 参数一起使用，此处的 IfaceAddr 代表指派给该接口的 IP 地址。

-N 参数区分大小写。

-g[ InetAddr] [ -N IfaceAddr]与 -a 相同。

-d InetAddr [IfaceAddr]删除指定的 IP 地址项，此处的 InetAddr 代表 IP 地址。

对于指定的接口，要删除表中的某项，请使用IfaceAddr 参数，此处的IfaceAddr 代表指派给该接口的 IP 地址。

要删除所有项，请使用星号(*) 通配符代替 InetAddr。

-s InetAddr EtherAddr [IfaceAddr]向ARP 缓存添加可将IP 地址InetAddr 解析成物理地址EtherAddr 的静态项。

要向指定接口的表添加静态 ARP 缓存项，请使用 IfaceAddr 参数，此处的 IfaceAddr 代表指派给该接口的 IP 地址。

交换机防止同网段ARP欺骗攻击配置方案的描述此文章主要讲述的是交换机防止同网段ARP欺骗攻击的实际配置方案，以下就是对交换机防止同网段ARP欺骗攻击配置手段的介绍。

下面的文章主要介绍的是交换机防止同网段ARP欺骗攻击的实际配置方案，本文主要是列举华为交换机防止同网段ARP欺骗攻击的正确配置方案，以下就是相关内容的具体描述，希望会给你带来一些帮助在此方面。

1阻止仿冒网关IP的arp攻击1.1 二层交换机实现防攻击1.1.1 配置组网图1二层交换机防ARP攻击组网S3552P是三层设备，其中IP：100.1.1.1是所有PC的网关，S3552P上的网关MAC地址为000f-e200-3999。

PC-B 上装有同网段ARP欺骗攻击软件。

现在需要对S3026_A进行一些特殊配置，目的是过滤掉仿冒网关IP的ARP报文。

1.1.2配置步骤对于二层交换机如S3026C等支持用户自定义ACL(number为5000到5999)的交换机，可以配置ACL来进行ARP报文过滤。

全局配置ACL禁止所有源IP是网关的ARP报文aclnum5000 rule0deny0806ffff2464010101ffffffff40rule1permit0806ffff24000fe2003999ffffffffffff34其中rule0把整个S3026C_A的端口冒充网关的ARP报文禁掉，其中斜体部分64010101是网关IP地址100.1.1.1的16进制表示形式。

Rule1允许通过网关发送的ARP报文，斜体部分为网关的mac地址000f-e200-3999。

注意：配置Rule时的配置顺序，上述配置为先下发后生效的情况。

在S3026C-A系统视图下发acl规则：[S3026C-A]packet-filteruser-group5000这样只有S3026C_A上连网关设备才能够发送网关的ARP报文，其它主机都不能发送假冒网关的arp响应报文。

ARP协议全面实战手册——协议详解、攻击与防御（内部资料）大学霸目录第1章 ARP协议基础1.1 学习必需工具Wireshark1.1.1 Wireshark的安装1.1.2 设置过滤器1.2 ARP协议基础知识1.2.1 什么是ARP1.2.2 MAC地址广播1.2.3 IP地址广播1.3 ARP工作原理1.3.1 ARP工作流程1.3.2 ARP报文格式1.4 ARP缓存表1.4.1 ARP缓存表的由来1.4.2 ARP缓存表维护工具——arp命令1.4.3 ARP缓存表的构成1.4.4 ARP缓存记录种类1.4.5 ARP动态条目的生命周期1.4.6 ARP静态条目的生命周期1.5 Gratuitous ARP（免费ARP）1.5.1 免费ARP的产生1.5.2 免费ARP的作用第2章 ARP攻击2.1 ARP攻击和ARP欺骗的原理2.1.1 ARP攻击的原理2.1.2 ARP欺骗的原理2.2 实施ARP攻击原理2.2.1 ARP欺骗工具2.2.2 使用Arpspoof实施ARP主机攻击2.2.3 使用Arpoison实施主机攻击2.2.4 ARP攻击网关2.3 ARP攻击应用——中间人攻击2.3.1 什么是中间人攻击2.3.2 实施中间人攻击2.3.3 中间人攻击专用工具Ettercap第3章 ARP防御3.1 主机ARP防御3.1.1 发现ARP攻击3.1.2 主机IP-MAC地址绑定3.1.3 使用Arpspoof防御ARP攻击3.1.4 使用Arpoison防御3.2 路由器ARP攻击防御3.2.1 腾达系列路由器ARP攻击防御3.2.2 TP-LINK系列路由器ARP攻击防御3.2.3 水星系列路由器ARP攻击防御3.2.4 飞鱼星系列路由器ARP防御3.2.5 极路由ARP攻击防御3.3 防火墙ARP攻击防御3.3.1 360流量防火墙之ARP防护功能分析3.3.2 QQ电脑管家的ARP防火墙之ARP防御分析3.4 查找进行ARP攻击或ARP欺骗的主机第1章 ARP协议基础ARP协议，即地址解析协议。

linuxarp命令的功能及使用方法Arp命令（Address Resolution Protocol）是一个用于在局域网内解决IPv4地址与MAC（物理）地址之间映射关系的网络协议。

它主要用于根据目标IPv4地址查询目标MAC地址，以实现数据包的传输。

在Linux系统中，arp命令用于管理和操作本地ARP缓存表。

本文将详细介绍Linux中arp命令的功能及使用方法。

一、功能介绍：1. 查看ARP缓存表-arp -a使用arp -a命令可以查看本地ARP缓存表的信息，包括IP地址、MAC地址、接口类型等。

2. 添加静态ARP表项-arp -s通过arp -s命令可以添加或修改静态ARP表项，声明一些IPv4地址对应的MAC地址，静态ARP表项不会自动过期。

3. 删除ARP表项-arp -d通过arp -d命令可以删除指定的ARP表项，将其从本地ARP缓存表中移除。

4. 清空ARP缓存表-arp -c使用arp -c命令可以清空本地ARP缓存表，删除所有的ARP表项。

二、使用方法：1.查看ARP缓存表输入命令：arp -a示例输出：```(192.168.1.1) at 00:11:22:33:44:55 [ether] on eth0(192.168.1.2) at 00:11:22:33:44:56 [ether] on eth0(192.168.1.3) at 00:11:22:33:44:57 [ether] on eth0...```2.添加静态ARP表项输入命令：arp -s IP地址 MAC地址示例命令：arp -s 192.168.1.100 00:11:22:33:44:66添加了一个静态的ARP表项，将192.168.1.100对应的MAC地址设置为00:11:22:33:44:663.删除ARP表项输入命令：arp -d IP地址示例命令：arp -d 192.168.1.100删除了ARP缓存表中的192.168.1.100对应的条目。

您的位置: 360安全中心 >什么是ARP攻击？ARP定义ARP（Address Resolution Protocol，地址解析协议）是一个位于TCP/IP协议栈中的底层协议，负责将某个IP地址解析成对应的MAC地址。

遭受ARP攻击后现象ARP欺骗木马的中毒现象表现为：使用局域网时会突然掉线，过一段时间后又会恢复正常。

比如客户端状态频频变红，用户频繁断网，IE浏览器频繁出错，以及一些常用软件出现故障等。

如果局域网中是通过身份认证上网的，会突然出现可认证，但不能上网的现象（无法ping通网关），重启机器或在MS-DOS窗口下运行命令arp -d后，又可恢复上网。

ARP欺骗木马只需成功感染一台电脑，就可能导致整个局域网都无法上网，严重的甚至可能带来整个网络的瘫痪。

该木马发作时除了会导致同一局域网内的其他用户上网出现时断时续的现象外，还会窃取用户密码。

如盗取QQ密码、盗取各种网络游戏密码和账号去做金钱交易，盗窃网上银行账号来做非法交易活动等，这是木马的惯用伎俩，给用户造成了很大的不便和巨大的经济损失。

ARP攻击原理ARP攻击就是通过伪造IP地址和MAC地址实现ARP欺骗，能够在网络中产生大量的ARP通信量使网络阻塞，攻击者只要持续不断的发出伪造的ARP响应包就能更改目标主机ARP缓存中的IP-MAC条目，造成网络中断或中间人攻击。

ARP攻击主要是存在于局域网网络中，局域网中若有一个人感染ARP木马，则感染该ARP木马的系统将会试图通过“ARP欺骗”手段截获所在网络内其它计算机的通信信息，并因此造成网内其它计算机的通信故障。

手动杀ARP：1 删除SYSTEM32\LOADHW.EXE2 删除System32\drivers\npf.sysa. 在设备管理器中, 单击”查看”-->”显示隐藏的设备”b. 在设备树结构中,打开”非即插即用….”c. 找到” NetGroup Packet Filter Driver” ,若没找到,请先刷新设备列表d. 右键点击” NetGroup Packet Filter Driver” 菜单,并选择”卸载”.e. 重启windows系统,f.删除System32\drivers\npf.sys3 删除System32\msitinit.dll4. 删除以下注册表服务项:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Npf5.ARP防护，绑定ARP攻击与防护完全手册转贴：关键字： ARP ARP病毒 ARP攻击 ARP防护 ARP故障网络分析科来网络分析系统最近在论坛上经常看到关于ARP病毒的问题，于是在Google上搜索ARP关键字，啊哦！结果出来N多关于这类问题的讨论。

ARP攻击程序使用详解arpattack –t TYPE OPTIONOPTION包括：-h , --hosts指定被攻击的主机。

可以指定一台主机-h host。

可以指定一个网段的主机-h host/netmask，掩码可以用数字例如24来代替255.255.255.0，也可以直接指定掩码例如255.255.255.0。

可以指定一个范围的主机-h host1~host2，例如-h 10.11.19.2,10.11.35.255。

可以指定多台不连续的主机，-h host1,host2,host3,…，例如-h 10.11.19.161,10.11.19.24,10.11.19.35,10.11.19.86-l , --timeslot指定发送攻击数据包的时间间隔，以秒为单位计算，若命令中未指定，则默认为3秒。

-e , --exclusive指定哪些主机不受攻击，指定的规则与-h相同，可以-e 10.11.19.25/24,-e 10.11.19.25/255.255.255.0,-e 10.11.19.1~10.11.19.28,-e 10.11.19.16,10.11.19.222,10.11.19.161。

例如-h 10.11.19.3/24 –e 10.11.19.222,10.11.19.206意思是指定网络地址10.11.19.0，掩码255.255.255.0网段内除了10.11.19.222，10.11.19.206这两台主机之外的所有主机为受攻击的目标主机。

-i , --interface指定网络接口。

-s , --sniffer指定进行嗅探的主机。

在-t sniffer中间人攻击中会用到这个选项，如果命令中未指定该选项那么默认就是本地主机作为嗅探主机。

-n , --number指定发动ARP泛滥攻击的攻击数据包个数。

如果命令中未指定该选项那么默认的攻击数据包个数是3000个。

-o , --one_end在-t sniffer中间人攻击中，用来指定需要监听一方的主机地址。

ARP防攻击命令手册目录1 简介 (3)1.1 概述 (3)1.2 ARP洪攻击和欺骗 (3)1.2.1 ARP洪攻击简述 (3)1.2.2 ARP防洪攻击简述 (3)1.2.3 ARP欺骗简述 (3)1.2.4 ARP防欺骗 (4)2 配置ARP (5)3 典型配置 (10)1简介1.1概述ARP（Address Resolution Protocol），即地址解析协议，基本功能就是通过目标设备的IP地址，查询目标设备的MAC地址，以保证通信的进行。

在TCP/IP网络环境下，每个主机都分配了一个32位的IP地址，这种互联网地址是在网际范围标识主机的一种逻辑地址。

为了让报文在物理网路上传送，必须知道对方目的主机的物理地址。

这样就存在把IP地址变换成物理地址的地址转换问题。

以以太网环境为例，为了正确地向目的主机传送报文，必须把目的主机的32位IP地址转换成为48位以太网的地址。

这就需要在互连层有一组服务将IP地址转换为相应物理地址，这组协议就是ARP协议。

1.2ARP洪攻击和欺骗1.2.1ARP洪攻击简述由于ARP协议的缺陷，通常的网络设备对ARP的请求都会做检测处理，来决定丢弃或响应，这样就给攻击者一个漏洞，只要在网内制造大量的ARP请求包来请求网关地址，网关接受到ARP请求后会做出响应，由于请求量非常大，极大的耗费了网关的CPU，导致网关工作故障，且网内物理线路上被大量的ARP垃圾报文占用，导致网络拥塞，甚至瘫痪，这是典型的ARP 洪攻击。

1.2.2ARP防洪攻击简述目前对ARP防攻击的技术主要是针对攻击源做限制，网关设备设置ARP防攻击阈值，当某一时间段内网关设备接收到的ARP报文超过阈值时，即记录下该源MAC地址，对该MAC进行限制，阻断一定的时间（通常为60秒），阻断时间内不对该源所发的ARP包进行任何处理（不响应，不转发），直接丢弃，以保证网络通畅。

1.2.3ARP欺骗简述与ARP洪攻击有所区别，ARP欺骗是通过伪造IP-MAC映射来对网关或网内主机造成攻击的，但ARP欺骗同样可以造成网络瘫痪。

1. 如何进行IP和MAC地址绑定，以防范ARP欺骗？用路由器做地址转换，上网频繁掉线，此时将PC机的网卡禁用一下或将PC机重启一下又可以上网了，并且不能上网时ping PC机的网关不通。

这种情况一般来说,都是中了ARP欺骗病毒，可以通过以下方法进行防范。

方法1[/B]：[/B]在路由器上静态绑定PC机的IP地址和MAC地址，在PC机上绑定路由器内网口的IP地址和MAC地址。

步骤如下：(1)在路由器上绑定PC机的IP地址和MAC地址，格式如下：[H3C] arp static 192.168.1.2 00e1-7778-9876注意：需要对该网段内的每一个IP都绑定MAC，没有使用的IP地址也需要绑定，可以任意指定其绑定的MAC地址，推荐使用0000-0000-0123等特殊MAC。

(2)在PC机上绑定路由器内网口的IP地址和MAC地址，命令格式如下：arp –s 192.168.1.1 00-0f-e2-21-a0-01方法2[/B]：[/B]让路由器定时发送免费ARP报文，刷新PC机的ARP表项进入路由器相应的内网接口，配置如下命令：[H3C-Ethernet1/0] arp send-gratuitous-arp 1方法3[/B]：[/B]ARP固化可以在全局视图和接口视图下配置ARP固化功能，使动态ARP转化为固定ARP，有效防范ARP 攻击。

固化ARP有三种方式：(1)全局视图下配置动态ARP固化[H3C] arpfixup(2)接口视图下配置动态ARP固化[H3C] interface ethernet 1/0/0[H3C-Ethernet1/0/0] arpfixup(3)配置指定固化ARP表项的功能[H3C] arp fixed 10.1.0.1 00-11-22【提示】(1)PC机重启后，静态配置的arp表项会丢失，需要重新配置，可以在PC机上制作一个.bat的批处理文件，放到启动项中。

怎样反攻击arpARP类病毒的解决方案1、清空ARP缓存: 大家可能都曾经有过使用ARP的指令法解决过ARP欺骗问题，该方法是针对ARP欺骗原理进行解决的。

一般来说ARP欺骗都是通过发送虚假的MAC地址与IP地址的对应ARP数据包来迷惑网络设备，用虚假的或错误的MAC地址与IP地址对应关系取代正确的对应关系。

若是一些初级的ARP欺骗，可以通过ARP的指令来清空本机的ARP缓存对应关系，让网络设备从网络中重新获得正确的对应关系，具体解决过程如下：第一步：通过点击桌面上任务栏的“开始”->“运行”，然后输入cmd后回车，进入cmd(黑色背景)命令行模式；第二步：在命令行模式下输入arp -a命令来查看当前本机储存在本地系统ARP缓存中IP和MAC对应关系的信息；第三步：使用arp -d命令，将储存在本机系统中的ARP 缓存信息清空，这样错误的ARP缓存信息就被删除了，本机将重新从网络中获得正确的ARP 信息，达到局域网机器间互访和正常上网的目的。

如果是遇到使用ARP欺骗工具来进行攻击的情况，使用上述的方法完全可以解决。

但如果是感染ARP欺骗病毒，病毒每隔一段时间自动发送ARP欺骗数据包，这时使用清空ARP缓存的方法将无能为力了。

下面将接收另外一种，可以解决感染ARP欺骗病毒的方法。

2、指定ARP对应关系：其实该方法就是强制指定ARP对应关系。

由于绝大部分ARP欺骗病毒都是针对网关MAC地址进行攻击的，使本机上ARP缓存中存储的网关设备的信息出现紊乱，这样当机器要上网发送数据包给网关时就会因为地址错误而失败，造成计算机无法上网。

第一步：我们假设网关地址的MAC信息为00-14-78-a7-77-5c，对应的IP地址为192.168.2.1。

指定ARP对应关系就是指这些地址。

在感染了病毒的机器上，点击桌面->任务栏的“开始”->“运行”，输入cmd后回车，进入cmd命令行模式；第二步：使用arp -s命令来添加一条ARP地址对应关系，例如arp -s 192.168.2.1 00-14-78-a7-77-5c命令。

防护arp攻击软件最终版-Antiarp安全软件防护arp攻击软件最终版-Antiarp安全软件使用方法：1、填入网关IP地址，点击〔获取网关地址〕将会显示出网关的MAC地址。

点击[自动防护]即可保护当前网卡与该网关的通信不会被第三方监听。

注意：如出现ARP欺骗提示，这说明攻击者发送了ARP 欺骗数据包来获取网卡的数据包，如果您想追踪攻击来源请记住攻击者的MAC地址，利用MAC地址扫描器可以找出IP 对应的MAC地址.2、IP地址冲突如频繁的出现IP地址冲突，这说明攻击者频繁发送ARP欺骗数据包，才会出现IP冲突的警告，利用Anti ARP Sniffer可以防止此类攻击。

3、您需要知道冲突的MAC地址，Windows会记录这些错误。

查看具体方法如下：右击[我的电脑]--[管理]--点击[事件查看器]--点击[系统]--查看来源为[TcpIP]---双击事件可以看到显示地址发生冲突，并记录了该MAC地址，请复制该MAC地址并填入Anti ARP Sniffer 的本地MAC 地址输入框中(请注意将:转换为-)，输入完成之后点击[防护地址冲突]，为了使MAC地址生效请禁用本地网卡然后再启用网卡，在CMD命令行中输入Ipconfig /all，查看当前MAC地址是否与本地MAC地址输入框中的MAC地址相符，如果更改失败请与我联系。

如果成功将不再会显示地址冲突。

注意:如果您想恢复默认MAC地址,请点击[恢复默认],为了使MAC 地址生效请禁用本地网卡然后再启用网卡。

全中文界面，绿色不用安装附件: [Antiarp安全软件] Antiarp.rar (2006-4-25 17:03, 353.06 K)该附件被下载次数103可惜传不上去。

解决ARP攻击一例【故障现象】当局域网内某台主机运行ARP欺骗的木马程序时，会欺骗局域网内所有主机和路由器，让所有上网的流量必须经过病毒主机。

其他用户原来直接通过路由器上网现在转由通过病毒主机上网，切换的时候用户会断一次线。

第一章ARP抗攻击配置1.1 ARP抗攻击功能概述针对目前网络上ARP欺骗导致瞬间掉线和大面积断网，可以通过限制ARP动态学习、增加信任ARP表项来防止路由器被欺骗。

另外，增添了ARP欺骗的定位功能，可以迅速定位网络中的ARP攻击主机。

1.2 ARP学习配置1.2.1 使能免费ARP学习功能免费ARP 报文的源和目的IP 地址都是本机地址，报文源MAC 地址是本机MAC 地址。

当其他设备收到免费ARP 报文后，如果发现免费ARP 报文中的IP 地址和自己的IP地址冲突，则给发送免费ARP 报文的设备返回一个ARP 应答。

ARP欺骗主机发送包含欺骗信息的免费ARP报文，可以篡改路由器的ARP缓存中正确的ARP信息。

路由器被欺骗，网络正常通信就会受到影响。

为了保证路由器不被虚假的免费ARP欺骗，我们可以关闭路由器免费ARP学习功能。

要使能免费ARP学习，请在全局配置模式下执行以下命令：关闭免费ARP学习，请在全局配置模式下执行以下命令：注意：缺省情况下，关闭免费ARP的学习功能。

1.2.2 设置ARP请求报文学习按照协议，路由器接收到ARP请求报文。

如果源IP在ARP缓存中已存在，就采用请求报文的源MAC更新缓存中对应的ARP表项；如果ARP表项不存在，并且报文的目的IP地址为路由器的IP地址，采用请求报文的源IP、源MAC生成新的ARP表项。

ARP欺骗主机发送包含欺骗信息的ARP请求报文，可以篡改路由器的ARP缓存中正确的ARP 信息。

路由器被欺骗，网络正常通信就会受到影响。

为了保证路由器不被虚假的ARP 请求报文欺骗，我们可以关闭路由器ARP 请求报文学习功能。

使能ARP 请求报文学习，请在全局配置模式下执行以下命令：闭ARP 请求报文学习，请在全局配置模式下执行以下命令：注意：1. 缺省情况下，关闭ARP 请求报文的学习功能。

2. 如果存在可信任ARP 转化功能开启的接口，在开启ARP 请求报文的学习功能前，必须关闭该接口的可信任ARP 转化功能。

第1章ARP攻击防御功能介绍近来，许多校园网络都出现了ARP攻击现象。

严重者甚至造成大面积网络不能正常访问外网，学校深受其害。

H3C公司根据ARP攻击的特点，提出了“全面防御，模块定制”的ARP攻击防御理念，并给出了两种解决方案。

(1) DHCP监控模式下的ARP攻击防御解决方案这种方式适合动态分配IP地址的网络场景，需要接入交换机支持DHCP Snooping功能。

通过全网部署，可以有效的防御“仿冒网关”、“欺骗网关”、“欺骗终端用户”、“ARP中间人攻击”、“ARP泛洪攻击”等校园网中常见的ARP攻击方式；且不需要终端用户安装额外的客户端软件，简化了网络配置。

(2) 认证方式下的ARP攻击防御解决方案这种方式适合网络中动态分配IP地址和静态分配IP地址共存的网络场景，且只能防御“仿冒网关”的ARP攻击方式。

它不需要在接入交换机上进行特殊的防攻击配置，只需要客户端通过认证协议（802.1x）登录网络，认证服务器（如CAMS服务器）会识别客户端，并下发网关的IP/MAC对应关系给客户端，来防御“仿冒网关”攻击。

1.1 ARP攻击简介按照ARP协议的设计，一个主机即使收到的ARP应答并非自身请求得到的，也会将其IP地址和MAC地址的对应关系添加到自身的ARP映射表中。

这样可以减少网络上过多的ARP数据通信，但也为“ARP欺骗”创造了条件。

校园网中，常见的ARP攻击有如下几中形式。

(1) 仿冒网关攻击者伪造ARP报文，发送源IP地址为网关IP地址，源MAC地址为伪造的MAC地址的ARP报文给被攻击的主机，使这些主机更新自身ARP表中网关IP地址与MAC地址的对应关系。

这样一来，主机访问网关的流量，被重定向到一个错误的MAC地址，导致该用户无法正常访问外网。

图1-1 “仿冒网关”攻击示意图(1) 欺骗网关攻击者伪造ARP报文，发送源IP地址为同网段内某一合法用户的IP地址，源MAC地址为伪造的MAC地址的ARP报文给网关；使网关更新自身ARP表中原合法用户的IP地址与MAC地址的对应关系。

配置ARP攻击防御2.2.1 ARP攻击防御配置任务简介表2-1 ARP攻击防御配置任务简介2.2.2 配置VLAN接口学习动态ARP表项的最大数目表2-2 配置VLAN接口学习ARP表项的最大数目2.2.3 配置ARP报文源MAC一致性检查功能表2-3 配置ARP报文源MAC一致性检查2.2.4 配置基于网关IP/MAC的ARP报文过滤功能表2-4 配置基于网关IP地址的ARP报文过滤功能表2-5 配置基于网关IP地址、MAC地址绑定的ARP报文过滤功能以太网端口上的arp filter source命令与arp filter binding命令互斥，即同一个以太网端口上只能配置其中的一种命令。

一般情况下，基于网关IP地址的ARP报文过滤功能，配置在接入交换机与用户相连的端口；而基于网关IP地址的、MAC地址绑定的ARP报文过滤功能，配置在接入交换机的级连端口或上行端口。

2.2.5 配置ARP入侵检测功能表2-6 配置ARP入侵检测功能●在接入用户多数为DHCP 动态获取IP 地址，部分为手工配置IP 地址的组网环境中，建议同时开启DHCP Snooping 功能和配置IP 静态绑定表项，配合ARP 入侵检测功能完成ARP 报文的合法性检查。

●基于802.1x 认证用户的ARP 入侵检测功能需要和交换机基于MAC 地址认证的802.1x 功能以及ARP 入侵检测功能一起配合使用。

●目前，S3600系列以太网交换机在端口上配置的IP 静态绑定表项，其所属VLAN 为端口的缺省VLAN ID 。

因此，如果ARP 报文的VLAN TAG 与端口的缺省VLAN ID 值不同，报文将无法通过根据IP 静态绑定表项进行的ARP 入侵检测。

●在开启ARP 严格转发功能之前，需要先在交换机上开启ARP 入侵检测功能，并配置ARP 信任端口。

●建议用户不要在汇聚组中的端口上配置ARP 入侵检测功能。

2.2.6 配置ARP 报文限速功能表2-7 配置ARP 报文限速功能●用户必须先开启交换机的端口状态自动恢复功能，才能设置端口状态自动恢复的时间。

G:10.DD.1Z24ARP Packet;A:10.0 £.2X24SIP; 10.0.0.2ARP 防攻击配置F 表列出了本章所包含的内容3.1ARP 地址欺骗防攻击3.1.1ARP 地址欺骗防攻击简介ARP 协议缺少安全保障机制，维护起来耗费人力，且极易受到攻击。

对于静态配置IP 地址的网络，目前只能通过配置静态 ARP 方式防止ARP 表项被非法修改，但是配置繁琐，需要花费大量人力去维护，极不方便；对于动态配置IP 地址的网络，攻击者通过伪造其他用户发出的 ARP S 文, 篡改网关设备上的用户 ARP S 项，可以造成其他合法用户的网络中断。

图3-1 ARP 地址欺骗攻击示意图如图3-1所示，A 为合法用户，通过交换机 G 与外界通讯：攻击者B 通过伪造A 的ARP S 文，使得G 设备上A 的ARP S 项中的相应信息被修改，导致A 与G 的通 讯失败。

对于动态ARP地址欺骗攻击方式，S9500系列交换机可通过以下方法进行防御。

1. 固定MAO址对于动态ARP的配置方式，交换机第一次学习到ARP表项之后就不再允许通过ARP学习对MAC地址进行修改，直到此ARP表项老化之后才允许此ARP 表项更新MAC地址，以此来确保合法用户的ARP表项不被修改。

固定MAC有两种方式：Fixed-mac和Fixed-all 。

Fixed-mac方式；不允许通过ARF学习对MAC地址进行修改，但允许对VLAN 和端口信息进行修改。

这种方式适用于静态配置IP地址，但网络存在冗余链路的情况。

当链路切换时，ARP表项中的端口信息可以快速改变。

Fixed-all 方式；对动态ARP和已解析的短静态ARP MAC VLAN和端口信息均不允许修改。

这种方式适用于静态配置IP地址、网络没有冗余链路、同一IP地址用户不会从不同端口接入交换机的情况。

2. 主动确认（Send-ack）交换机收到一个涉及MAC地址修改的ARP fi文时，不会立即修改原ARP表项，而是先对原ARP表中与此MAC地址对应的对应用户发一个单播确认：如果在一定时间内收到原用户的应答报文，说明原用户仍存在，则在后续一分钟时间内不允许对此ARP S项进行MAC地址修改；同样，ARP表项在新生成一分钟时间内，也不允许修改此ARP S项中的MAC地址；如果一定时间内没有收到原用户的应答报文，则对新用户发起一个单播请求报文，收到新用户的应答报文之后才修改ARP S项，使新用户成为合法用户。

如何有效防止ARP攻击ARP欺骗木马程序(病毒)的攻击，病毒发作时其症状表现为计算机网络连接正常，却打开网页时断时通;或由于ARP欺骗的木马程序(病毒)发作时发出大量的数据包，导致用户上网不稳定，极大地影响了用户的正常使用，给网络的安全带来严重的隐患。

下面是店铺为大家整理的防止ARP攻击的方法，希望大家能够从中有所收获!ARP欺骗木马程序的病毒原理(ARP是“Address Resolution Protocol”“地址解析协议”的缩写)：当局域网内某台主机运行ARP欺骗的木马程序时，会欺骗局域网内所有主机和交换机，让所有上网的流量必须经过病毒主机。

其他用户原来直接通过交换机上网现在转由通过病毒主机上网，切换的时候用户会断一次线。

由于ARP欺骗的木马程序发作的时候会发出大量的数据包导致局域网通讯拥塞以及其自身处理能力的限制，用户会感觉上网速度越来越慢。

当ARP欺骗的木马程序停止运行时，用户会恢复从交换机上网(此时交换机MAC地址表正常)，切换过程中用户会再断一次线。

该病毒发作时，仅影响同网段内机器的正常上网。

应对ARP攻击我们需要采取的措施：一、意识用户要增强网络安全意识，不要轻易下载、使用盗版和存在安全隐患的软件;或浏览一些缺乏可信度的网站(网页);不要随便打开不明来历的电子邮件，尤其是邮件附件;不要随便共享文件和文件夹，即使要共享，也得设置好权限，一般指定特定帐号或特定机器才能访问，另外不建议设置可写或可控制，以免个人计算机受到木马病毒的侵入给网络的安全带来隐患。

二、更新计算机用户要及时下载和更新操作系统的补丁程序，安装正版的杀毒软件，增强个人计算机防御计算机病毒的能力。

三、用户检查和处理“ ARP 欺骗”木马的方法1、检查本机是否中的“ ARP 欺骗”木马染毒同时按住键盘上的“ CTRL + ALT +DEL ”键，选择“任务管理器”，点选“进程”标签。

查看其中是否有一个名为“ MIR0.dat ”之类的进程。