ARP攻擊：導致瞬間掉線和大面積斷網的罪魁禍首。在局域網中，通過ARP協議來進行IP地址（第三層）與第二層物理地址（即MAC地址）的相互轉換。局域網中的一些設備如路由器、裝有TCP/IP協議的電腦等都提供ARP緩存表，以提高通信速度。目前很多帶有ARP欺騙功能的攻擊軟件都是利用ARP協議的這個特點來對網絡設備進行攻擊，通過偽造的MAC與局域網內的IP地址對應，并修改路由器或電腦的ARP緩存表，使得具有合法MAC的電腦無法與IP對應，從而無法通過路由器上網。在掉線重啟路由器后，ARP緩存表會刷新，網絡會在短時間內恢復正常，待ARP攻擊啟動后，又出現斷網現象，如此反復，很容易被誤斷為路由器“死機”，從而使得網絡管理員無法及時采取行動迅速恢復局域網。

本次以TP-LINK 路由器TL-R4148為例，介紹一下如何防范ARP攻擊：（大部分路由器大同小異，原理是一樣）

如果路由器上有“IP與MAC地址綁定”功能，一般可以有效防范ARP攻擊。在網絡正常時，啟用IP與MAC地址綁定功能（如圖1），可將局域網內的每一臺電腦的MAC與內網IP建立一一對應的關系保存到ARP緩存表中（如圖2），此后，局域網即使受到ARP攻擊也不能修改ARP緩存表，從根本上排除ARP攻擊對路由器的影響，保證局域網的正常。

圖1

圖2

　　而且，設置IP與MAC綁定功能很簡便，無須逐一輸入電腦的IP與MAC，不論局域網規模如何，只需在局域網工作正常時在路由器管理界面的ARP映射表中點擊一下“全部綁定”按鈕（如圖3），就可以完成IP與MAC綁定；點擊“全部導入”按鈕將已建立的IP與MAC綁定關系保存到系統，即使重新啟動也無需重新綁定。

圖3

　　另外，在局域網的設備中，一般只有兩類設備帶有ARP緩存，一類是路由器，另一類是上網電腦，也只有這兩類設備最容易受到ARP攻擊。如同路由器受到ARP攻擊時數據包不能到達電腦一樣，上網電腦受到ARP攻擊時，數據包也不會發送到路由器上，而是發送到一個錯誤的地方，當然也就無法通過路由器上網了。因此，局域網要對付ARP攻擊，除對路由器進行IP與MAC綁定以外，在電腦上進行IP與MAC綁定也必不可少。

　　在電腦上進行IP與MAC綁定該如何操作呢？其實微軟的操作系統中都帶有ARP這一命令行程序，在電腦的Windows命令行界面中輸入“arp　-s ＋路由器IP如192.168.1.1＋路由器LAN口MAC地址”就可以將的路由器IP和MAC綁定到電腦的ARP表中。 若通過Windows命令行界面中輸入ARP命令來綁定IP與MAC，電腦每次在重啟后都需要先輸入ARP命令，還有更簡單的辦法，可以讓電腦每次啟動時，自動將路由器的IP與MAC綁定到電腦的ARP表中：

　　STEP 1 新建一個批處理文件如static_arp.bat，注意后綴名為bat。編輯它，在里面加入ARP命令，并保存。

　　要得到路由器的LAN口MAC地址，可以查看路由器的界面中的“LAN運行狀態”。

　　STEP 2 將建立好的批處理文件static_arp.bat拷貝到系統的啟動目錄中。電腦每次啟動時將自動運行該文件，自動綁定IP與MAC。

　　STEP 3 將static_arp.bat文件拷貝到局域網內所有電腦的系統啟動目錄中。

Windows 7系統的設置方法：

1、管理員身份運行命令提示符。

2、命令：netsh -c i i show in 查看網絡連接準確名稱。如：本地連接、無線網絡連接。

3、執行綁定:netsh -c i i add neighbors "網絡連接名稱" "IP地址" "MAC地址"。

4、綁定完成，電腦重啟靜態ARP不失效，不用像XP一樣建批處理文件。

如圖所示：

　　至此，局域網中的所有電腦都將路由器的IP與MAC綁定到ARP表中，無需再擔心因ARP攻擊而無法上網。

　　經驗分享：當使用了ARP防范功能（IP和MAC綁定功能）后，電腦應使用固定IP，而不要使用動態IP（通過DHCP自動獲取IP），因為若使用動態IP，電腦每次啟動時所獲得的IP可能不一樣，從而可能造成與路由器中保存的IP與MAC綁定條目不一致，這樣電腦將無法上網。

RP（Address Resolution Protocol，地址解析協議）是一個位于TCP/IP協議棧中的網絡層，負責將某個IP地址解析成對應的MAC地址。
　　ARP 病毒攻擊是局域網最常見的一種攻擊方式。由于TCP/IP協議存在的一些漏洞給ARP病毒有進行欺騙攻擊的機會，ARP利用TCP/IP協議的漏洞進行欺騙攻擊，現已嚴重影響到人們正常上網和通信安全。當局域網內的計算機遭到ARP的攻擊時，它就會持續地向局域網內所有的計算機及網絡通信設備發送大量的ARP欺騙數據包，如果不及時處理，便會造成網絡通道阻塞、網絡設備的承載過重、網絡的通訊質量不佳等情況。

注：本演示環境使用虛擬環境模擬搭建，非真實攻擊，請嚴格遵守國家安全法規?。?/h1>

實驗環境：

攻擊流程：

1、在攻擊機上安裝Wireshark和Arpspoof工具。

　　注：Arpspoof工具無需安裝，直接使用；Wireshark請參照環境部署安裝教程。
　　

2、在攻擊機上嘗試Ping靶機，并啟動Wireshark對靶機的網卡進行抓包。

3、靶機上可以抓到正常訪問ICMP流量。

4、為了實驗效果明顯，用攻擊機持續Ping靶機，保證雙方通訊正常。

5、靶機上抓包正常ICMP流量。

6、現在對靶機進行ARP攻擊，在攻擊機上選擇對應攻擊的網卡，同時填寫靶機IP地址。

7、靶機將會被大量ARP報文占滿。

8、這時已經無法訪問靶機。

寫在最后的話

　　對于ARP攻擊來說，ARP攻擊是利用ARP協議設計時缺乏安全驗證漏洞來實現的，通過偽造ARP數據包來竊取合法用戶的通信數據，造成影響網絡傳輸速率和盜取用戶隱私信息等嚴重危害。 同時ARP攻擊分很多種，這里只是舉例了泛洪攻擊一種，這里的泛洪攻擊的效果是根據攻擊者的設備性能以及網絡情況而定，并不一定ARP百分百有效，而且現在防御ARP攻擊的手段也非常多，對于學習信息安全來說的話這是必備的知識點。

題：

公司內網中有大量的arp請求，詢問一個沒人使用的地址，比如20.133只詢問20.103 而 20.82只詢問21.41 問題是20.103和21.41都沒人使用。不是掃描，這兩臺電腦很固執得只詢問這兩個地址。內網中其他電腦沒有這個問題

arp請求基本一直存在，占了很大的比例，而且內網中的無線設備間互ping，延遲較大50ms以上。對這兩臺電腦殺過毒，沒找到有病毒，是否是Windows的某項服務，或者說有沒有辦法找到是哪個程序，造成的arp請求？

解決：

原因是103/41上有過共享的打印機，然后這個地址沒了，133/82連不上打印機就一直找。

檢查這兩臺電腦的打印機驅動，他們的這兩個IP的打印機驅動還在，刪掉就好了。