ARP（Address Resolution Protocol），即地址解析協(xié)議，具體來說就是將IP地址解析為數(shù)據(jù)鏈路（數(shù)據(jù)鏈路層，位于OSI 模型的第二層）的MAC（ Media Access Control ）地址。而ARP欺騙則會擾亂網(wǎng)絡(luò)設(shè)備間的正常通信。通過偽造IP地址和MAC地址實(shí)現(xiàn)ARP欺騙，對網(wǎng)絡(luò)的正常傳輸和安全都是一個很嚴(yán)峻的考驗(yàn)。

目前知道的帶有ARP欺騙功能的軟件有“QQ第六感”、“網(wǎng)絡(luò)執(zhí)法官”、“P2P終結(jié)者”、“網(wǎng)吧傳奇殺手”等，這些軟件中，有些是人為手工操作來破壞網(wǎng)絡(luò)的，有些是作為病毒或者木馬出現(xiàn)，使用者可能根本不知道它的存在，所以更加擴(kuò)大了ARP攻擊的殺傷力。

從影響網(wǎng)絡(luò)連接通暢的方式來看，ARP欺騙有兩種攻擊可能，一種是對路由器ARP表的欺騙；另一種是對內(nèi)網(wǎng)電腦ARP表的欺騙，當(dāng)然也可能兩種攻擊同時進(jìn)行。不管怎么樣，欺騙發(fā)送后，電腦和路由器之間發(fā)送的數(shù)據(jù)可能就被送到錯誤的MAC地址上，從表面上來看，就是“上不了網(wǎng)”，“訪問不了路由器”，“路由器死機(jī)了”，因?yàn)橐恢貑⒙酚善?，ARP表會重建，如果ARP攻擊不是一直存在，就會表現(xiàn)為網(wǎng)絡(luò)正常，所以用戶更加確定是路由器“死機(jī)”了，而不會想到其他原因。為此，寬帶路由器背了不少“黑鍋”，但實(shí)際上應(yīng)該ARP協(xié)議本身的問題。下面我們來看看如何來防范ARP欺騙。

上面也已經(jīng)說了，欺騙形式有欺騙路由器ARP表和欺騙電腦ARP兩種，我們的防護(hù)當(dāng)然也是兩個方面的，首先在路由器上進(jìn)行設(shè)置，來防止路由器的ARP表被惡意的ARP數(shù)據(jù)包更改；其次，我們也會在電腦上進(jìn)行一下設(shè)置，來防止電腦的ARP表受惡意更改。兩個方面的設(shè)置都是必須的，不然，如果您只設(shè)置了路由器的防止ARP欺騙功能而沒有設(shè)置電腦，電腦被欺騙后就不會把數(shù)據(jù)包發(fā)送到路由器上，而是發(fā)送到一個錯誤的地方，當(dāng)然無法上網(wǎng)和訪問路由器了。

我司路由器上IP與MAC地址綁定的方式有兩種模式，普通綁定與強(qiáng)制綁定。SOHO級路由器上模式為普通綁定，而企業(yè)級的路由器上既有普通綁定，也有強(qiáng)制綁定。

普通綁定是在路由器上記錄了局域網(wǎng)內(nèi)計(jì)算機(jī)MAC地址對應(yīng)的IP地址，建立了一個對應(yīng)關(guān)系，不會受到ARP欺騙，導(dǎo)致無法正常通訊。對于沒有進(jìn)行IP與MAC地址綁定的計(jì)算機(jī)就可能受到ARP攻擊。普通綁定只是設(shè)置了一個IP與MAC的對應(yīng)關(guān)系，若計(jì)算機(jī)更改了其IP地址，路由器仍然能進(jìn)行ARP映射表自動學(xué)習(xí)，掃描到計(jì)算機(jī)新的對應(yīng)關(guān)系，該計(jì)算機(jī)仍能與路由器進(jìn)行通訊。

強(qiáng)制綁定是通過添加IP與MAC對應(yīng)的關(guān)系來進(jìn)行數(shù)據(jù)的通訊的，沒有自動學(xué)習(xí)ARP映射表的能力，若沒有添加計(jì)算機(jī)IP與MAC的對應(yīng)關(guān)系，該計(jì)算機(jī)是無法與路由器進(jìn)行通訊的。所以在設(shè)置了強(qiáng)制綁定后，新接入路由器的計(jì)算機(jī)，若沒有添加IP與MAC地址對應(yīng)關(guān)系，該計(jì)算機(jī)是不能通訊的。或者路由器下的計(jì)算機(jī)更改了其IP地址，導(dǎo)致與路由器上記錄的IP與MAC對應(yīng)關(guān)系不一致，也無法進(jìn)行通訊。

下面就對SOHO級路由器上的普通綁定設(shè)置，進(jìn)行詳細(xì)地介紹，以及如何設(shè)置來防止ARP欺騙。

一、設(shè)置前準(zhǔn)備

設(shè)置IP和MAC綁定功能，請給電腦手動設(shè)定靜態(tài)IP地址，若為動態(tài)獲取，電腦可能獲取到和IP與MAC綁定條目不同的IP，會導(dǎo)致通信異常。

1、把路由器的DHCP功能關(guān)閉：打開路由器管理界面，“DHCP服務(wù)器”－＞“DHCP服務(wù)”，把狀態(tài)由默認(rèn)的“啟用”更改為“不啟用”，保存并重啟路由器。

2、給電腦手工指定IP地址、網(wǎng)關(guān)、DNS服務(wù)器地址，如果您不是很清楚當(dāng)?shù)氐腄NS地址，可以咨詢您的網(wǎng)絡(luò)服務(wù)商。

二、設(shè)置路由器防止ARP欺騙

打開路由器的管理界面，在左側(cè)的菜單中可以看到：

“IP與MAC綁定”，在該項(xiàng)來設(shè)置IP和MAC綁定。

打開“靜態(tài)ARP綁定設(shè)置”窗口如下：

注意：默認(rèn)情況下ARP綁定功能是關(guān)閉，請選中啟用后，點(diǎn)擊保存來啟用。

在添加IP與MAC地址綁定的時候，可以手工進(jìn)行條目的添加，也可以通過“ARP映射表”查看IP與MAC地址的對應(yīng)關(guān)系，通過導(dǎo)入后，進(jìn)行綁定。

1、手工進(jìn)行添加，單擊“增加單個條目”。

填入電腦的MAC地址與對應(yīng)的IP地址，然后保存，就實(shí)現(xiàn)了IP與MAC地址綁定。

2、通過“ARP映射表”，導(dǎo)入條目，進(jìn)行綁定。

打開“ARP映射表”窗口如下：

這是路由器動態(tài)學(xué)習(xí)到的ARP表，可以看到狀態(tài)這一欄顯示為“未綁定”。如果確認(rèn)這一個動態(tài)學(xué)習(xí)的表正確無誤，也就是說當(dāng)時網(wǎng)絡(luò)中不存在ARP欺騙，把條目導(dǎo)入，并且保存為靜態(tài)表。

若存在許多計(jì)算機(jī)，可以點(diǎn)擊“全部導(dǎo)入”，自動導(dǎo)入所有計(jì)算機(jī)的IP與MAC信息。

導(dǎo)入成功以后，即已完成IP與MAC綁定的設(shè)置。如下：

可以看到狀態(tài)中顯示為已綁定，此時路由器已經(jīng)具備了防止ARP欺騙的功能，上述示范中只有一個條目，如果您的電腦數(shù)量較多，操作過程也是類似的。除了這種利用動態(tài)學(xué)習(xí)到的ARP表來導(dǎo)入外，也可以使用手工添加的方式，只要知道電腦的MAC地址，手工添加相應(yīng)條目即可。

在“ARP映射表”中可以看到，此計(jì)算機(jī)的IP地址與MAC地址已經(jīng)綁定，在路由器重啟以后，該條目仍然生效。

三、設(shè)置電腦防止ARP欺騙

路由器端已經(jīng)設(shè)置了ARP綁定功能，接下來我們就來設(shè)置電腦端的ARP綁定了。Windows操作系統(tǒng)中都帶有ARP命令行程序，我們可以在其命令提示符界面來進(jìn)行配置。點(diǎn)擊“開始”，選擇“運(yùn)行”，輸入“cmd”，打開Windows的命令行提示符

通過“arp –s 路由器IP+路由器MAC”這一條命令來實(shí)現(xiàn)對路由器的ARP條目的靜態(tài)綁定，如輸入：arp –s 192.168.1.1 00-0a-eb-d5-60-80，然后通過arp -a 命令輸出，可以看到已經(jīng)有了我們剛才添加的條目，Type類型為static表示是靜態(tài)添加的。至此，我們也已經(jīng)設(shè)置了電腦的靜態(tài)ARP條目，這樣電腦發(fā)送到路由器的數(shù)據(jù)包就不會發(fā)送到錯誤的地方去了。

怎么知道路由器的MAC地址是多少呢？可以打開路由器的管理界面，進(jìn)入“網(wǎng)絡(luò)參數(shù)”－＞“LAN口設(shè)置”：

LAN口的MAC地址就是電腦的網(wǎng)關(guān)的MAC地址。

細(xì)心的人可能已經(jīng)發(fā)現(xiàn)了，如果使用上面的方法，電腦每次在重啟后都需要輸入上面的命令來實(shí)現(xiàn)防止ARP欺騙，有沒有更簡單的方法自動來完成，不用手工輸入呢？有！

我們可以新建一個批處理文件如static_arp.bat，注意后綴名為bat。編輯它，在里面加入我們剛才的命令：

保存就可以了，以后可以通過雙擊它來執(zhí)行這條命令，還可以把它放置到系統(tǒng)的啟動目錄下來實(shí)現(xiàn)啟動時自己執(zhí)行。打開電腦“開始”－＞“程序”，雙擊“啟動”打開啟動的文件夾目錄，把剛才建立的static_arp.bat復(fù)制到里面去：

好了，以后電腦每次啟動時就會自己執(zhí)行arp –s命令了，在以后使用網(wǎng)絡(luò)的時候，不再受到ARP攻擊的干擾。