有時，局域網(wǎng)內(nèi)大家突然都不可以上網(wǎng)，使用抓包工具可以發(fā)現(xiàn)有個別機器在不停的發(fā)送ARP廣播包。這種情況一般都是內(nèi)網(wǎng)的某臺機器中了arp病毒，然后這臺機器便不斷的發(fā)送欺騙包給所有機器來冒充網(wǎng)關(guān)，這樣其他機器就會把這個中毒的機器當作網(wǎng)關(guān)而把數(shù)據(jù)包發(fā)給它，而它在接到數(shù)據(jù)包后又沒有轉(zhuǎn)發(fā)數(shù)據(jù)包到真正的網(wǎng)關(guān)去，所以造成大家都無法上網(wǎng)。

一般的，arp病毒使用欺騙的手段是為了竊聽內(nèi)網(wǎng)中所有的通信數(shù)據(jù)以達到它的某種目的。

由于一般的arp病毒在發(fā)送欺騙包時會修改自身的Mac地址，這使我們在快速排查中毒機器有一定困難。但這可以通過mac與ip綁定的方式解決，即所有內(nèi)網(wǎng)機器的ip都通與mac綁定的方式分配，這樣所有未登記的不合法mac就無法連接到內(nèi)網(wǎng)了。

如果局域網(wǎng)內(nèi)已經(jīng)有網(wǎng)關(guān)欺騙而導致無法上網(wǎng)時，我們還可以通過在本機上綁定網(wǎng)關(guān)的mac地址和ip來解決欺騙問題。但此步需要一個條件，即你要知道真實的網(wǎng)關(guān)ip和mac地址。操作如下：

防范arp病毒攻擊方法一：(此方法對Linux和Windows都適用)

列出局域網(wǎng)內(nèi)所有機器的mac地址,如果此步列出的路由表中網(wǎng)關(guān)ip 和網(wǎng)關(guān)mac地址與真實不符，就也證明你已經(jīng)被網(wǎng)關(guān)欺騙了。

# arp -a

綁定mac地址

# arp -s 192.168.1.1 00:07:E9:xx:xx:xx

注意：這里192.168.1.1有可能有換成hostname，假如你的網(wǎng)關(guān)設置了hostname的話。

防范arp病毒攻擊方法二：(適用于linux)

創(chuàng)建一個/etc/ethers文件，比如你要綁定網(wǎng)關(guān)，那就在/etc/ethers里寫上：

192.168.1.1 00:07:E9:xx:xx:xx

然后執(zhí)行

# arp -f

操作完成你可以使用arp -a查看當前的arp緩存表，如果列表顯示正確，那么你的綁定操作已成功，如果還有綁定其它機器的話，比如FTP等，那就繼續(xù)添加記錄。

說明：此處的192.168.1.1為你的網(wǎng)關(guān)地址，00:07:E9:xx:xx:xx為你的網(wǎng)關(guān)mac地址。

注意：Linux和Widows上的MAC地址格式不同。Linux表示為：AA:AA:AA:AA:AA:AA，Windows表示為：AA-AA-AA-AA-AA-AA。每次重啟機器后需要重新綁定mac地址，你可以寫一個自動腳本后加到自啟動項目中。

另外，mac地址的綁定需要雙向的，即機器a綁定了機器b，機器b也要綁定機器a，這樣防范arp病毒攻擊才會有效。

防范arp病毒攻擊的方法有很多，本文知識介紹了比較實用的兩種，而且是針對linux和windows兩種不同系統(tǒng)的辦法，所以使用時一定要看清系統(tǒng)，對癥下藥。