ARP欺骗故障现象和解决方法

ARP问题处理思路1、什么是ARP欺骗ARP欺骗（英语：ARP spoofing），又称ARP毒化（ARP poisoning，网上上多译为ARP病毒）或ARP攻击，是针对以太网地址解析协议（ARP）的一种攻击技术，通过欺骗局域网内访问者PC的网关MAC地址，使访问者PC错以为攻击者更改后的MAC地址是网关的MAC，导致网络不通。

此种攻击可让攻击者获取局域网上的数据包甚至可篡改数据包，且可让网上上特定计算机或所有计算机无法正常连线。

最早探讨ARP欺骗的文章是由Yuri Volobuev所写的《ARP与ICMP转向游戏》（ARP and ICMP redirection games）。

2、ARP欺骗的症状（1）网络时断时通；（2）网络中断，重启网关设备，网络短暂连通（3）内网通讯正常、网关不通；（4）频繁提示IP地址冲突；（5）硬件设备正常，局域网不通；（6）特定IP网络不通，更换IP地址，网络正常；（7）禁用-启用网卡，网络短暂连通；（8）网页被重定向。

3、如何解决ARP日志中出现的ARP攻击记录ARP欺骗分为两种情况第一种情况：ARP冲突（内网双终端使用相同IP地址与路由通信）解决办法：如果mac地址熟知是哪个终端，直接到对应终端的IPV4上查询是否使用静态IP地址，故意造成冲突存在（解决办法：修改非冲突IP或者使用自动获取即可）。

如果mac地址不熟知，那么可以把IP冲突的两个设备的Mac地址添加到Mac 访问控制里，禁止这两个使用相同IP的终端上网，等待不能上网的人员联系你就OK了哈；或者从物理架构上逐一排查，从一级交换到二级交换逐层拔掉网线，验证拔到哪里时候ARP日志不再次出现，即发现设备，顺网线找到设备核准上述问题情况或者检查内网是否有其他DHCP服务端，未校验分配状态，导致双DHCP工作条件下的IP重复分发（解决办法：关闭其他DHCP服务，同局域网标准仅允许一个DHCP服务）第二种情况：ARP欺骗（一般代指网关冲突），冲突与欺骗分别对应的是所处位置的看法（一般说使用者，也就是上网终端去理解）。

检查和处理“ ARP 欺骗”木马的方法
1、检查本机的“ ARP 欺骗”木马染毒进程
同时按住键盘上的“ CTRL ”和“ ALT ”键再按“ DEL ”键，选择“任务管理器”，点选“进程”标签。

察看其中是否有一个名为“ MIR0.dat ”的进程。

如果有，则说明已经中毒。

右键点击此进程后选择“结束进程”。

2 ．检查网内感染“ ARP 欺骗”木马染毒的计算机
在“开始” - “程序” - “附件”菜单下调出“命令提示符”。

输入并执行以下命令：
ipconfig
记录网关IP 地址，即“ Default Gateway ”对应的值，例如“10.87.58.126 ”。

再输入并执行以下命令：
arp –a
在“ Internet Address ”下找到上步记录的网关IP 地址，记录其
对应的物理地址，即“ Physical Address ”值，例如
“00-00-0c-07-ac-0f ”。

在网络正常时这就是网关的正确物理地址，在网络受“ ARP 欺骗”木马影响而不正常时，它就是木马所在计算机的网卡物理地址。

3 ．设置ARP 表避免“ ARP 欺骗”木马影响的方法
本方法可在一定程度上减轻中木马的其它计算机对本机的影响。

用上边介绍的方法确定正确的网关IP 地址和网关物理地址，然后在“命令提示符”窗口中输入并执行以下命令：
arp –s 网关IP 网关物理地址。

ARP攻击与故障排除知识ARP透视——出现ARP欺骗攻击时的现象1、网上银行、游戏及QQ账号的频繁丢失一些人为了获取非法利益，利用ARP欺骗程序在网内进行非法活动，此类程序的主要目的在于破解账号登陆时的加密解密算法，通过截取局域网中的数据包，然后以分析数据通讯协议的方法截获用户的信息。

运行这类木马病毒，就可以获得整个局域网中上网用户账号的详细信息并盗取。

2、网速时快时慢，极其不稳定，但单机进行光纤数据测试时一切正常当局域内的某台计算机被ARP的欺骗程序非法侵入后，它就会持续地向网内所有的计算机及网络设备发送大量的非法ARP欺骗数据包，阻塞网络通道，造成网络设备的承载过重，导致网络的通讯质量不稳定。

3、局域网内频繁性区域或整体掉线，重启计算机或网络设备后恢复正常当带有ARP欺骗程序的计算机在网内进行通讯时，就会导致频繁掉线，出现此类问题后重启计算机或禁用网卡会暂时解决问题，但掉线情况还会发生。

发贴者dengguo 时间：下午6:390 评论标签：ARP欺骗, ARP欺骗攻击ARP透视——传统的几种解决ARP问题的方式方案一：过滤局域网的IP，关闭高危险的端口，关闭共享。

升级系统补丁，升级杀毒软件。

安装防火墙，设置防ARP的选项。

微软ISA防火墙功能强大，可是很占系统资源。

配置服务器是Linux的强项，当然能阻止部分ARP危害网络。

但是从根本上并没有解决掉ARP的问题，长时间超负荷运转对硬件的损害也显而易见。

方案二：发现乱发ARP包的主机后，即通过路由器、硬件防火墙等设备在网关上阻止与其它主机通信。

迅速找到主机，断开其网络连接。

检查机器是因为病毒木马发送ARP包破坏网络环境，还是人为的使用ARP的网络管理软件。

既然是使用的网络管理软件，先得询问使用者是否有管理网络的特权。

既然没有特权又为何管理、控制网络呢？方案三：通过高档路由器进行双向绑定，即从路由器方面对从属客户机IP-MAC地址进行绑定，同时从客户机方面对路由器进行IP-MAC地址绑定，双向绑定让IP 不容易被欺骗。

arp欺骗的解决方案1.引言1.1 概述ARP欺骗是一种常见的网络攻击手段，攻击者利用ARP协议的漏洞，通过发送虚假的ARP响应帧来篡改目标主机的ARP缓存表，从而达到欺骗目标主机的目的。

这种攻击会给网络带来严重的安全风险，可能导致数据泄露、网络崩溃甚至入侵。

本文旨在探讨ARP欺骗的解决方案，以帮助用户更好地应对网络攻击。

文章将介绍两种主要的解决方案：使用静态ARP表和使用ARP防火墙。

这两种方案不仅可以帮助用户有效应对ARP欺骗攻击，还能提升网络的安全性和稳定性。

在介绍解决方案之前，我们先对ARP欺骗的原理和危害进行了解和分析。

通过深入理解ARP欺骗攻击的原理，我们能更好地认识到这种攻击对网络安全造成的威胁，进而更好地理解解决方案的重要性和必要性。

接下来，我们将详细介绍解决方案一：使用静态ARP表。

通过使用静态ARP表，用户可以手动将IP地址和MAC地址的映射关系设置为固定值，有效地防止ARP欺骗攻击。

我们将介绍如何正确配置和管理静态ARP 表，并探讨其优势和劣势。

然后，我们将讨论解决方案二：使用ARP防火墙。

ARP防火墙是一种软件或硬件设备，通过监测和过滤网络中的ARP请求和响应，可以检测和阻止恶意ARP欺骗行为。

我们将介绍ARP防火墙的原理和配置方法，以及其在网络安全方面的优势和不足之处。

最后，我们将对本文进行总结，并对所介绍的解决方案进行评价。

我们将从安全性、实用性和成本等方面对这两种解决方案进行评估，以帮助读者全面了解和选择适合自身需求的解决方案。

通过本文的阅读，读者将能够了解ARP欺骗攻击的危害，掌握两种常见的解决方案，并能根据自身的实际情况和需求选择适合的解决方案，提升网络的安全性和稳定性。

1.2 文章结构文章结构部分的内容可以描述文章的整体框架和组织方式，以及各部分的主要内容和目标。

具体内容可以参考以下示例：文章结构：本文主要分为以下几个部分：引言、正文和结论。

引言部分：在引言部分，我们将首先概述ARP欺骗的背景和现状，介绍该问题对计算机网络和信息安全的危害。

局域网中ARP欺骗攻击解决方法当局域网内某台主机运行ARP欺骗的木马程序时，会欺骗局域网内所有主机和安全网关，让所有上网的流量必须经过病毒主机。

【故障现象】当局域网内某台主机运行ARP欺骗的木马程序时，会欺骗局域网内所有主机和安全网关，让所有上网的流量必须经过病毒主机。

其他用户原来直接通过安全网关上网现在转由通过病毒主机上网，切换的时候用户会断一次线。

切换到病毒主机上网后，如果用户已经登陆了传奇服务器，那么病毒主机就会经常伪造断线的假像，那么用户就得重新登录传奇服务器，这样病毒主机就可以盗号了。

由于ARP欺骗的木马程序发作的时候会发出大量的数据包导致局域网通讯拥塞以及其自身处理能力的限制，用户会感觉上网速度越来越慢。

当ARP欺骗的木马程序停止运行时，用户会恢复从安全网关上网，切换过程中用户会再断一次线。

【快速查找】在WebUIà系统状态à系统信息à系统历史记录中，看到大量如下的信息：MAC SPOOF 192.168.16.200MAC Old 00:01:6c:36:d1:7fMAC New 00:05:5d:60:c7:18这个消息代表了用户的MAC地址发生了变化，在ARP欺骗木马开始运行的时候，局域网所有主机的MAC地址更新为病毒主机的MAC地址（即所有信息的MAC New地址都一致为病毒主机的MAC地址）。

同时在安全网关的WebUIà高级配置à用户管理à读ARP表中看到所有用户的MAC地址信息都一样，或者在WebUIà系统状态à用户统计中看到所有用户的MAC地址信息都一样。

如果是在WebUIà系统状态à系统信息à系统历史记录中看到大量MAC Old地址都一致，则说明局域网内曾经出现过ARP欺骗（ARP欺骗的木马程序停止运行时，主机在安全网关上恢复其真实的MAC地址）。

在上面我们已经知道了使用ARP欺骗木马的主机的MAC地址，那么我们就可以使用NBTSCAN（下载地址：/upload/nbtscan.rar）工具来快速查找它。

解决ARP欺骗方法解决ARP欺骗方法想必大家在局域网中都会遇到这个问题，如果局域网中存在一台收到恶意程序感染，整个局域网的网速突然大幅下降，同时伴随着网络中断或者网页被夹杂了广告发送到了浏览器上，当发生这种事情时，企业的网络管-理-员就要小心了，请速度排查局域网中是否有Arp欺骗行为发生，及时找到相应的计算机处理威胁。

对于一些网络管理较为松散或者根本无人管理的或者疏于管理的小型局域网，如学校网络或者宿舍网络。

童鞋们可能比较头痛吧，不过在看了本文后，您就可以立即解决此问题，本文将详细的给出 Anti-Arp欺骗的解决方案。

虽然是单向绑定，但是跟使用相关专业软件具有同样的效果。

彻底解决ARP欺骗的方法就是实现交换机/路由器（网关）与计算机网卡在 IP 地址与MAC地址上进行双向绑定。

由于童鞋们无法操作交换机/路由器，所以本文仅详细介绍单向绑定（绑定本地计算机与网关）。

进行单向绑定后，ARP欺骗将会远离你。

1，单击“开始”菜单，鼠标箭头指向“运行”，出现运行窗口，在该窗口内键入“cmd”后回车。

2，在打开的“命令提示符”窗口内键入：arp -a 命令会出现如下图所示的内容：其中显示的：192.168.1.1 是网关IP地址；94-0c-6d-50-87-62 是网关的MAC地址请记录下这两个地址。

注意，记录时MAC地址大小写要一致，我这里的网关MAC地址及IP地址可能与您这里不同，请根据实际情况记录。

3，单击“开始”菜单，鼠标箭头指向“运行”，出现运行窗口，在该窗口内键入“notepad”后回车(即打开记事本程序)。

在打开的“记事本”程序内输入如下命令： arp -s 192.168.1.1 94-0c-6d-50-87-624，单击“文件”下拉菜单，选择“另存为”命令，在打开的“另存为”窗口内，文件名处输入“Anti-ARP command.bat”，请注意，无论您取什么名字，但是后缀名必须为.（点）bat，然后将文件保存到启动文件夹下对于XP系统而言启动文件夹位于：C:\Documents and Settings\“您的`用户账户名”\「开始」菜单\程序\启动\对于Vista、win7系统而言启动文件夹位于：C:\Users\“您的用户账户名”\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\如您所看到的，“您的用户账户名”是值的您当前用户账户名称，我的用户账户名称是 Wesly.Zhang。

解决和防患局域网内Arp欺骗当局域网种存再ARP欺骗包的话，总的来说有主要又这么两种可能。

一、有人恶意破坏网络。

这种事情，一般会出现在网吧，或是一些人为了找到更好的网吧上网座位，强行让别人断线。

又或是通过ARP欺骗偷取内网帐号密码。

二，病毒木马如：传奇网吧杀手等，通过ARP欺骗网络内的机器，假冒网关。

从而偷取对外连接传奇服务器的密码。

ARP欺骗的原理如下：假设这样一个网络，一个交换机接了3台机器HostA HostB HostC 其中A的地址为：IP：192.168.1.1 MAC: AA-AA-AA-AA-AA-AA －－－－－－－－－网关B的地址为：IP：192.168.1.2 MAC: BB-BB-BB-BB-BB-BB －－－－－－－－黑客C的地址为：IP：192.168.1.3 MAC: CC-CC-CC-CC-CC-CC －－－－－－－－－被欺骗者正常情况下C:\arp -aInterface: 192.168.1.3 on Interface 0x1000003Internet Address Physical Address Type192.168.1.1 BB-BB-BB-BB-BB-BB dynamic现在假设HostB开始了罪恶的ARP欺骗：假冒A像c发送ARP欺骗包B向C发送一个自己伪造的ARP欺骗包，而这个应答中的数据为发送方IP地址是192.168.1.1（网关的IP地址），MAC地址是BB-BB-BB-BB-BB-BB (A的MAC地址本来应该是AA-AA-AA-AA-AA-AA，这里被伪造了）。

当C接收到B伪造的ARP应答，就会更新本地的ARP缓存（C可不知道被伪造了）。

而且C不知道其实是从B发送过来的，这样C 就受到了B的欺骗了，凡是发往A的数据就会发往B，这时候那么是比较可怕的，你的上网数据都会先流向B,在通过B去上网，如果这时候B上装了SNIFFER软件，那么你的所有出去的密码都将被截获。

1ARP病毒爆发解决【故障现象】当局域网内某台主机运行ARP欺骗的木马程序时，会欺骗局域网内所有主机和交换机，让所有上网的流量必须经过病毒主机。

病毒主机在局域网中发送假的APR 应答包进行APR欺骗，造成其他客户机无法获得网关和其他客户机的网卡真实MAC地址，导致无法上网和正常的局域网通信。

由于ARP欺骗的木马程序发作的时候会发出大量的数据包导致局域网通讯拥塞以及其自身处理能力的限制，用户会感觉上网速度越来越慢。

当ARP欺骗的木马程序停止运行时，用户会恢复从交换机上网（此时交换机MAC地址表正常），切换过程中用户会再断一次线。

该病毒发作时，仅影响同网段内机器的正常上网。

【故障分析与解决】(1)清空ARP缓存:大家可能都曾经有过使用ARP的指令法解决过ARP欺骗问题，该方法是针对ARP欺骗原理进行解决的。

一般来说ARP欺骗都是通过发送虚假的MAC地址与IP 地址的对应ARP数据包来迷惑网络设备，用虚假的或错误的MAC地址与IP地址对应关系取代正确的对应关系。

若是一些初级的ARP欺骗，可以通过ARP的指令来清空本机的ARP缓存对应关系，让网络设备从网络中重新获得正确的对应关系，具体解决过程如下：⏹第一步：通过点击桌面上任务栏的“开始”->“运行”，然后输入cmd后回车，进入cmd(黑色背景)命令行模式；⏹第二步：在命令行模式下输入arp -a命令来查看当前本机储存在本地系统ARP缓存中IP和MAC对应关系的信息；⏹第三步：使用arp -d命令，将储存在本机系统中的ARP缓存信息清空，这样错误的ARP缓存信息就被删除了，本机将重新从网络中获得正确的ARP信息，达到局域网机器间互访和正常上网的目的。

如果是遇到使用ARP欺骗工具来进行攻击的情况，使用上述的方法完全可以解决。

但如果是感染ARP欺骗病毒，病毒每隔一段时间自动发送ARP欺骗数据包，这时使用清空ARP缓存的方法将无能为力了。

下面将接收另外一种，可以解决感染ARP欺骗病毒的方法。

ARP欺骗全攻略(修订稿)近两年，让网管们最头疼的事情莫过于ARP欺骗。

ARP欺骗是一种网络病毒攻击行为。

如熊猫烧香等重灾病毒发作时会产生ARP欺骗行为，即使局域网中有一台电脑中毒，也足以让整个网络“手忙脚乱”，不是这一台上不了网，就是那一台上不了网。

这种病毒还会在网络中自动探索有漏洞的主机并自动传染，也可通过共享传染，或通过U盘传播。

一、判断ARP欺骗的行为上网时断时续，当你“禁用”—“启用”网卡，或重启电脑，或更换有效的IP之后又能上网，但过一段时间又不能上网，这种情况很可能就是受到了ARP欺骗攻击。

在遭到ARP欺骗时，你会发现网卡的工作状态，往往是只发数据而不能接收到数据。

在遭到ARP欺骗时，很多朋友总误以为自己的电脑中了病毒。

二、查找ARP欺骗的根源1．当你遇到上述情况，在DOS状态下用ARP -a命令（这个命令是用来查看本机的ARP缓存状态列表），正常情况下除了网关外不会有太多的记录：看网关的MAC地址（在DOS状态下用ipconfig/all命令可显示本机的MAC地址，也就是网卡的物理地址）是否和正常的一样。

如果这个MAC地址和平常的不一样，说明这台电脑被ARP欺骗了。

那么，网关IP对应的这个错误的MAC地址就是中病毒主机的MAC地址。

若还有其它IP存在于ARP列表中，看它的IP和Mac 地址是否对应，如果不对应，则说明这个错误的MAC地址就是中病毒主机的MAC地址。

注：作为网管人员，应该对本单位网关的MAC地址及所有电脑的MAC地址都有登记。

2．在网关设备中查看ARP列表。

如果你的网关设备是可“管理”的交换机、路由器或防火墙等，最好登录到网关设备，查看ARP列表，看看有没有一个MAC地址对应多个IP地址。

如果有，这个MAC地址就是中病毒主机的MAC地址。

知道了中毒主机的MAC地址，查找到这台电脑就不难了。

三、防治ARP欺骗的方法由于网络协议自身的问题， ARP欺骗往往会伴随网络病毒或黑客而存在。

这段时间以来，我们都遭受着arp 欺骗之苦，根据个人在实际中的经验，特此把本人排除此类网络故障的一些心得体会，供大家互相学习，有不对的地方请大家指正。

网络故障现象：网速变得很慢，部分机能正常上网，但也会偶尔出现连续几个掉包现象，大部分机器不能正常上网，出现了严重的连续的掉包现象，过一段时间又能自动连上，ping 网关，time 在波动比较大。

故障排除过程：运行Arp –a 命令，发现网关指向不正确。

（注本网络网关是3d0a ），初步判断是31b6机器在进行arp 欺骗，如下图把分析故障主机连在镜像口上，运行sniffer pro 4.7。

打开dashboard 面版，发现broadcasts/s ，因为本人抓的是其中一个网段，此网段也不过是１００多台主机，每秒钟26个广播包很不正常，但也不应该能引起广播风暴，应该是arp 欺骗包ａｒｐ欺骗处理方法及ｓｎｉｆｆｅｒ使用整理：正常的情况broadcasts/s维持在比较低的水平, 如下图。

如果发现某个时间段以来broadcasts/s 居高不下，就应该引起足够的中重视.切换到Hosttable面版，发现其中一台主机的广播量远远大于其他主机（正常情况下维持比较低的广播量，具体要看监控时间长短但分布比较均匀，不会出现某一台主机的广播量远远大于其他正常主机的现象），因为没有截取31b6机器当时hosttable的图，用这张图片做示例，如下图：切换到Protocol distribudion ,发现Arp协议使用率占很大比例（一般在正常网络运行，ip占99％以上），如下图：对广播量最大的主机31b6进行抓包解码分析,发现31b6主机不断欺骗网关，宣称它是192.168.2.0/24网段的主机（够狠毒，让其他的主机不能和网关正常通讯），如下图：附图说明：31b6对网关宣称它是192.168.2.2主机31B6对网关3d0a宣称它是192.168.2.15的主机，如下图：到此，造成这次的网络故障原因就已经很清楚了，是31b6机器在进行arp欺骗活动，所以造成其他主机不能正常上网，很遗憾因为抓包时间不够长，所以不能看到31b6欺骗其他主机，宣称它是网关的数据包，因此，对31b6进行隔离,杀毒，发现了是一个可疑进程npf，用超级魔法兔子清除此进程，用反间谍专家清除木马文件，用kav6杀毒（就差点没有低格了，哈哈）整个网络又回复了正常。

某局ARP欺骗故障分析1.1. 故障环境该局的网络环境比较简单，大体如下图所示：办公机的网段是192.168.200.X/24的，办公机的网关地址是192.168.200.254在Cisco 3560上，服务器的地址段为10.139.144.X/24。

1.2. 故障现象在办公区访问服务器区时，会出现时通时断的现象。

办公机是通过DHCP来获取IP地址，当访问出现不通时，重新获取一下IP地址，就可以连通，但是用一会又会出现访问中断的情况。

1.3. 故障分析1. 分析测试在出现故障时，我们通过Ping服务器地址发现无法Ping通，然后通过Ping办公机的网关地址，发现网关地址也无法Ping通过！通过查看办公机的ARP表发现网关地址对应的MAC地址为全0的MAC地址。

如下图所示：通过上面的分析测试我们可以了解到，当主机无法访问服务器时，主机连网关都无法Ping通，而且主机中网关的MAC地址全0，即主机没有学习到网关的MAC地址，所以主机无法跟网关进行通信，从而导致主机无法连通服务器。

2. 数据包捕获本来正常连接时主机应该有网关的IP地址和MAC地址的ARP映射表的，但是在访问服务器不成功时并没有学习到网关的MAC地址，造成这种故障的原因很大可能性是网络中ARP欺骗！为了验证网络是否有ARP欺骗，我们通过在交换机3560上做端口镜像来抓取交互的数据包，具体部署如下图所示：如上图所示，因为办公机连到3560的端口是f 0/46，所以我们只镜像f 0/46，将该端口镜像到端口f 0/25，然后把科来网络分析系统接到f 0/25端口上捕获通信的数据包。

3. 数据包分析我们在分析数据包时发现，网络中存在大量的IP冲突，如下图所示：通过诊断视图中的诊断提示，发现产生IP地址冲突的源IP地址是故障网段的网关地址：通过观察上图，我们可以发现192.168.200.254对应的MAC地址有两个，一个是00:25:64:A8:74:AD，一个是00:1A:A2:87:D1:5A，通过具体的分析我们发现MAC地址为00:25:64:A8:74:AD的主机对应的IP 地址为192.168.200.33，如下图所示：00:1A:A2:87:D1:5A才是192.168.200.254真实的MAC地址。

酒店网络系统ARP欺骗的解决方案1、什么是ARP欺骗?从影响网络连接通畅的方式来看，ARP欺骗分为二种，一种是对路由器ARP 表的欺骗;另一种是对内网PC的网关欺骗：第一种ARP欺骗的原理是——截获网关数据。

它通知路由器一系列错误的内网MAC地址，并按照一定的频率不断进行，使真实的地址信息无法通过更新保存在路由器中，结果路由器的所有数据只能发送给错误的MAC地址，造成正常PC无法收到信息。

第二种ARP欺骗的原理是——伪造网关。

它的原理是建立假网关，让被它欺骗的PC向假网关发数据，而不是通过正常的路由器途径上网。

在PC看来，就是上不了网了，“网络掉线了”。

2、ARP欺骗的危害?ARP欺骗可以造成内部网络的混乱，让某些被欺骗的计算机无法正常访问内外网，让网关无法和客户端正常通信。

实际上他的危害还不仅仅如此，一般来说IP地址的冲突我们可以通过多种方法和手段来避免，而ARP协议工作在更低层，隐蔽性更高。

系统并不会判断ARP缓存的正确与否，无法像IP地址冲突那样给出提示。

而且很多黑客工具例如网络剪刀手等，可以随时发送ARP欺骗数据包和ARP恢复数据包，这样就可以实现在一台普通计算机上通过发送ARP数据包的方法来控制网络中任何一台计算机的上网与否，甚至还可以直接对网关进行攻击，让所有连接网络的计算机都无法正常上网。

这点在以前是不可能的，因为普通计算机没有管理权限来控制网关，而现在却成为可能，所以说ARP欺骗的危害是巨大的，而且非常难对付，非法用户和恶意用户可以随时发送ARP欺骗和恢复数据包，这样就增加了网络管理员查找真凶的难度。

正文近段时间，国内网吧、企业、酒店等行业大都出现过由于ARP病毒引起的断线(全断或部分断线)的现象，由于该病毒变种太多，传播速度太快，国内外的反病毒厂商都没有很好的办法来解决ARP病毒问题。

绝大多数路由器厂商建议用户在内网主机和路由器之间建立双向的ARP绑定来解决这个问题，这也是目前看来最行之有效的解决方案(具体方法可以参考艾泰科技文章《解决ARP攻击的方法》，下载页面：/referrencedoc.php)。

ARP网络欺骗的故障及处理方法目前许多单位宽带用户在正常上网过程中出现了意外掉线的问题。

其具体描述为用户在上网时出现网络中断，导致无法访问网络，但是物理链路并没有中断，重新启动网卡后可以正常访问网络，但是不久会继续出现网络中断的情况，根据上述情况初步判断为ARP欺骗导致出现网络中断。

ARP欺骗的原理ARP协议的基本功能就是通过目标设备的IP地址，查询目标设备的MAC地址，以保证通信的顺利进行。

每台安装有TCP/IP协议的电脑里都有一个ARP缓存表，用来存放已经查找到的IP，MAC地址对应表。

ARP欺骗的原理为:在局域网中，通过ARP协议来完成IP地址转换为第二层物理地址(即MAC地址)的。

ARP协议对网络安全具有重要的意义。

通过伪造IP地址和MAC地址实现ARP 欺骗，能够在网络中产生大量的ARP通信量使网络阻塞。

导致欺骗成功的最主要的原因就是ARP协议在最初设计的时候就没有考虑安全机制，默认就是信任全部以太网内的主机的。

下面描述一下ARP欺骗的全过程(发起ARP欺骗的主机以下简称攻击机，被攻击导致不能上网的主机以下简称受害机)。

受害机重启网卡后(或者在终端本地执行arp –d 操作)，arp entry被清空，然后受害机再次和外部通讯的时候，在一段时间间隔内，会寻找到正确的网关可以正常上网，然而之后攻击机会对以太网内的所有ARP请求(包括请求网关地址和以太网内主机的地址)做回应，这样会导致所有的主机都无法请求到正确的目标主机地址，也就导致了网络中断。

上面是本次网络中断的具体描述，还有一种攻击机是利用自己做上网代理，以获取受害机帐号密码等为目的的“man in the middle”攻击不在此次讨论范围之内，原理类似，就不再赘述。

解决办法1、自我防御由于ARP攻击是利用了受害机善良的轻信了攻击机发来的回应，那么我们现在就要对受害机进行防护措施。

采用双向绑定的方法解决来防止ARP欺骗。

1)首先要获取真实的网关信息，包括网关的IP地址和MAC地址。

检查是否有服务器对网关地址欺骗的方式：1，在ARP表所在的交换机上检查日志（大二层网络为45，小二层为35），以沙河堡小二层为例。

登陆3550交换机，用show log命令查看日志：如出现上面这样的记录，网关地址被冒用了，因为网管地址交换机默认是在VLAN10里面，这里提示125.64.16.1地址出现在VLAN20，交换机认为异常，所以记录了网管异常时所在MAC地址。

2，复制此地址。

用show mac-address-table address 后面跟mac地址的命令查找该MAC 所在位置（命令可以简写为：sh mac-ad ad ）：上图的结果说明该MAC地址出现在了该35交换机的11口。

3，登陆到11口下联的29交换机，用sh mac-ad ad命令同样可以查找到该MAC地址在29上面的具体端口，从而可以判断到具体是某台服务器。

4，通知客户后，可以选择直接在交换机端口上shut，可以选择拔服务器端的网线。

一般情况下这样操作后网络可以回复正常，但是也经常出现网络仍然不通或掉包严重，那么就需要回到2台35交换机上，进入EN模式将清空ARP缓存。

命令为：clear arp-cache （可简写成cle ar）。

这里需要注意的是，该命令严重增加交换机负担，在操作一次后，一段时间内不能再次使用此命令，否则交换机有卡死的可能。

备注：除了down端口和清ARP缓存以外，判断MAC位置的操作和查看日志的操作均可以不用EN权限。

另外，有很多ARP攻击是针对部分IP而不是针对网关，这样的情况就需要在35上查看ARP 表，命令：show arp，从各个IP对应的MAC地址上面查看是否存在同一MAC对应多个IP的情况，如果有，需要判断是否该客户采用单机多IP的技术，如果不是那么就可以确认该IP在进行ARP欺骗，查找和处理步骤同上。

局域网ARP欺骗的应对一、故障现象及原因分析情况一、当局域网内某台主机感染了ARP病毒时，会向本局域网内（指某一网段，比如：10.10.75.0这一段）所有主机发送ARP欺骗攻击谎称自己是这个网端的网关设备，让原本流向网关的流量改道流向病毒主机，造成受害者正常上网。

情况二、局域网内有某些用户使用了ARP欺骗程序（如：网络执法官,QQ盗号软件等）发送ARP欺骗数据包，致使被攻击的电脑出现突然不能上网，过一段时间又能上网，反复掉线的现象。

关于APR欺骗的具体原理请看我收集的资料ARP欺骗的原理二、故障诊断如果用户发现以上疑似情况，可以通过如下操作进行诊断：点击“开始”按钮->选择“运行”->输入“arp–d”->点击“确定”按钮，然后重新尝试上网，如果能恢复正常，则说明此次掉线可能是受ARP欺骗所致。

注：arp-d命令用于清除并重建本机arp表。

arp–d命令并不能抵御ARP欺骗，执行后仍有可能再次遭受ARP攻击。

三、故障处理1、中毒者：建议使用趋势科技SysClean工具或其他杀毒软件清除病毒。

2、被害者：(1)绑定网关mac地址。

具体方法如下：1）首先，获得路由器的内网的MAC地址（例如网关地址10.10.75.254的MAC 地址为0022aa0022aa）。

2）编写一个批处理文件AntiArp.bat内容如下：@echo offarp-darp-s10.10.75.25400-22-aa-00-22-aa将文件中的网关IP地址和MAC地址更改为您自己的网关IP地址和MAC地址即可，计算机重新启动后需要重新进行绑定，因此我们可以将该批处理文件AntiArp.ba t文件拖到“windows--开始--程序--启动”中。

这样开机时这个批处理就被执行了。

(2)使用ARP防火墙(例如AntiArp)软件抵御ARP攻击。

AntiArp软件会在提示框内出现病毒主机的MAC地址四，找出ARP病毒源第一招：使用Sniffer抓包在网络内任意一台主机上运行抓包软件，捕获所有到达本机的数据包。