ARP攻击与防护完全手册

出现原因（可能）：

木马病毒

嗅探

人为欺骗

◆第二种：导致断网

通讯模式：

应答 -> 应答 -> 应答 -> 应答 -> 应答 -> 应答 -> 请求…

描述：

这类情况就是在ARP欺骗过程中，欺骗者只欺骗了其中一方，如B欺骗了A，但是同时B没有对C进行欺骗，这样A实质上是在和B通讯，所以A就不能和C通讯了，另外一种情况还可能就是欺骗者伪造一个不存在地址进行欺骗。

对于伪造地址进行的欺骗，在排查上比较有难度，这里最好是借用TAP设备（呵呵，这个东东好像有点贵勒），分别捕获单向数据流进行分析！

出现原因（可能）：

木马病毒

人为破坏

一些网管软件的控制功能

三、常用的防护方法

搜索网上，目前对于ARP攻击防护问题出现最多是绑定IP和MAC和使用ARP防护软件，也出现了具有ARP防护功能的路由器。呵呵，我们来了解下这三种方法。

3.1静态绑定

最常用的方法就是做IP和MAC静态绑定，在网内把主机和网关都做IP和MAC绑定。

欺骗是通过ARP的动态实时的规则欺骗内网机器，所以我们把ARP全部设置为静态可以解决对内网PC的欺骗，同时在网关也要进行IP和MAC的静态绑定，这样双向绑定才比较保险。

方法：

对每台主机进行IP和MAC地址静态绑定。

通过命令，arp -s可以实现 “arp –s IP MAC地址 ”。

例如：“arp –s192.168.10.1 AA-AA-AA-AA-AA-AA”。

如果设置成功会在PC上面通过执行arp -a 可以看到相关的提示： Internet Address Physical Address Type

192.168.10.1AA-AA-AA-AA-AA-AA static(静态)

一般不绑定,在动态的情况下：