在局域網(wǎng)中，通信前必須通過(guò)ARP協(xié)議來(lái)完成IP地址轉(zhuǎn)換為第二層物理地址（即MAC地址）。ARP協(xié)議對(duì)網(wǎng)絡(luò)安全具有重要的意義。通過(guò)偽造IP地址和MAC地址實(shí)現(xiàn)ARP欺騙，對(duì)網(wǎng)絡(luò)的正常傳輸和安全都是一個(gè)很?chē)?yán)峻的考驗(yàn)。

目前知道的帶有ARP欺騙功能的軟件有“QQ第六感”、“網(wǎng)絡(luò)執(zhí)法官”、“P2P終結(jié)者”、“網(wǎng)吧傳奇殺手”等，這些軟件中，有些是人為手工操作來(lái)破壞網(wǎng)絡(luò)的，有些是作為病毒或者木馬出現(xiàn)，使用者可能根本不知道它的存在，所以更加擴(kuò)大了ARP攻擊的殺傷力。

從影響網(wǎng)絡(luò)連接通暢的方式來(lái)看，ARP欺騙有兩種攻擊可能，一種是對(duì)路由器ARP表的欺騙；另一種是對(duì)內(nèi)網(wǎng)電腦ARP表的欺騙，當(dāng)然也可能兩種攻擊同時(shí)進(jìn)行。不管怎么樣，欺騙發(fā)送后，電腦和路由器之間發(fā)送的數(shù)據(jù)可能就被送到錯(cuò)誤的MAC地址上，從表面上來(lái)看，就是“上不了網(wǎng)”，“訪問(wèn)不了路由器”，“路由器死機(jī)了”，因?yàn)橐恢貑⒙酚善鳎珹RP表會(huì)重建，如果ARP攻擊不是一直存在，就會(huì)表現(xiàn)為網(wǎng)絡(luò)正常，所以網(wǎng)吧業(yè)主會(huì)更加確定是路由器“死機(jī)”了，而不會(huì)想到其他原因。為此，寬帶路由器背了不少“黑鍋”，但實(shí)際上應(yīng)該ARP協(xié)議本身的問(wèn)題。我們來(lái)看看如何來(lái)防止ARP欺騙。

上面也已經(jīng)說(shuō)了，欺騙形式有欺騙路由器ARP表和欺騙電腦ARP兩種，我們的防護(hù)當(dāng)然也是兩個(gè)方面的，首先在路由器上進(jìn)行設(shè)置，來(lái)防止路由器的ARP表被惡意的ARP數(shù)據(jù)包更改；其次，我們也會(huì)在電腦上進(jìn)行一下設(shè)置，來(lái)防止電腦的ARP表受惡意更改。兩個(gè)方面的設(shè)置都是必須的，不然，如果您只設(shè)置了路由器的防止ARP欺騙功能而沒(méi)有設(shè)置電腦，電腦被欺騙后就不會(huì)把數(shù)據(jù)包發(fā)送到路由器上，而是發(fā)送到一個(gè)錯(cuò)誤的地方，當(dāng)然無(wú)法上網(wǎng)和訪問(wèn)路由器了。

我司路由器上主要的IP與MAC地址綁定的方式有兩種，普通綁定與強(qiáng)制綁定。SOHO級(jí)路由器上主要進(jìn)行的是普通綁定，企業(yè)級(jí)的路由器上有普通綁定，也有強(qiáng)制綁定。

普通綁定是在路由器上記錄了局域網(wǎng)內(nèi)計(jì)算機(jī)MAC地址對(duì)應(yīng)的IP地址，建立了一個(gè)對(duì)應(yīng)關(guān)系，不會(huì)受到ARP欺騙，導(dǎo)致無(wú)法正常通訊。對(duì)于沒(méi)有進(jìn)行IP與MAC地址綁定的計(jì)算機(jī)就可能受到ARP攻擊。SOHO級(jí)路由器普通綁定只是設(shè)置了一個(gè)IP與MAC的對(duì)應(yīng)關(guān)系，若計(jì)算機(jī)更改了其IP地址，路由器仍然能進(jìn)行ARP映射表自動(dòng)學(xué)習(xí)，掃描到計(jì)算機(jī)新的對(duì)應(yīng)關(guān)系，該計(jì)算機(jī)仍能與路由器進(jìn)行通訊；而企業(yè)級(jí)路由器在普通綁定之后IP和MAC地址就是一一對(duì)應(yīng)的關(guān)系了，若計(jì)算機(jī)更改了其IP地址，路由器會(huì)認(rèn)為其IP地址錯(cuò)誤，從而不能與路由器進(jìn)行通信。

強(qiáng)制綁定:是指關(guān)閉路由器的學(xué)習(xí)IP與MAC地址能力，手動(dòng)在路由器中添加計(jì)算機(jī)IP與MAC地址。所以在設(shè)置了強(qiáng)制綁定后，新接入路由器的計(jì)算機(jī)，若沒(méi)有添加IP與MAC地址對(duì)應(yīng)關(guān)系，該計(jì)算機(jī)是不能與路由器進(jìn)行通訊的。或者路由器下的計(jì)算機(jī)更改了其IP地址，導(dǎo)致與路由器上記錄的IP與MAC對(duì)應(yīng)關(guān)系不一致，也無(wú)法進(jìn)行通訊。

下面就以TL-4299G為例對(duì)企業(yè)級(jí)級(jí)路由器上的普通綁定和強(qiáng)制綁定的設(shè)置，進(jìn)行詳細(xì)地介紹，以及如何設(shè)置來(lái)防止ARP欺騙。

一、設(shè)置前準(zhǔn)備

當(dāng)使用了防止ARP欺騙功能（IP和MAC綁定功能）后，最好是不要使用動(dòng)態(tài)IP，因?yàn)殡娔X可能獲取到和IP與MAC綁定條目不同的IP，這時(shí)候可能會(huì)無(wú)法上網(wǎng)，通過(guò)下面的步驟來(lái)避免這一情況發(fā)生吧。

1）把路由器的DHCP功能關(guān)閉：打開(kāi)路由器管理界面，“DHCP服務(wù)器”－＞“DHCP服務(wù)”，把狀態(tài)由默認(rèn)的“啟用”更改為“不啟用”，保存并重啟路由器。

2）給電腦手工指定IP地址、網(wǎng)關(guān)、DNS服務(wù)器地址，如果您不是很清楚當(dāng)?shù)氐腄NS地址，可以咨詢(xún)您的網(wǎng)絡(luò)服務(wù)商。

二、設(shè)置路由器防止ARP欺騙

打開(kāi)路由器的管理界面，在左側(cè)的菜單中可以看到：

“IP與MAC綁定”的功能，這個(gè)功能除了可以實(shí)現(xiàn)IP和MAC綁定外，還可以實(shí)現(xiàn)防止ARP欺騙功能。

打開(kāi)“靜態(tài)ARP綁定設(shè)置”窗口如下：

注意，默認(rèn)情況下ARP綁定功能是關(guān)閉，請(qǐng)選中啟用后，點(diǎn)擊保存來(lái)啟用。

在添加IP與MAC地址綁定的時(shí)候，可以手工進(jìn)行條目的添加，也可以通過(guò)“ARP映射表”查看IP與MAC地址的對(duì)應(yīng)關(guān)系，通過(guò)導(dǎo)入后，進(jìn)行綁定。

1、手工進(jìn)行添加，單擊“增加單個(gè)條目”。

填入電腦的MAC地址與對(duì)應(yīng)的IP地址，然后保存，就實(shí)現(xiàn)了IP與MAC地址綁定。

2、通過(guò)“ARP映射表”，導(dǎo)入條目，進(jìn)行綁定。

打開(kāi)“ARP映射表”窗口如下：

這是路由器動(dòng)態(tài)學(xué)習(xí)到的ARP表，可以看到狀態(tài)這一欄顯示為“未綁定”。如果確認(rèn)這一個(gè)動(dòng)態(tài)學(xué)習(xí)的表沒(méi)有錯(cuò)誤，也就是說(shuō)當(dāng)時(shí)不存在arp欺騙的情況下，把條目導(dǎo)入，并且保存為靜態(tài)表，這樣路由器重啟后這些條目都會(huì)存在，實(shí)現(xiàn)綁定的效果。

若存在許多計(jì)算機(jī)，可以點(diǎn)擊“全部導(dǎo)入”，自動(dòng)導(dǎo)入所有計(jì)算機(jī)的IP與MAC信息。

導(dǎo)入成功以后，即已完成IP與MAC綁定的設(shè)置。如下：

可以看到狀態(tài)中已經(jīng)為已綁定，這時(shí)候，路由器已經(jīng)具備了防止ARP欺騙的功能，上面的示范中只有一個(gè)條目，如果您的電腦多，操作過(guò)程也是類(lèi)似的。有些條目如果沒(méi)有添加，也可以下次補(bǔ)充上去。除了這種利用動(dòng)態(tài)學(xué)習(xí)到的ARP表來(lái)導(dǎo)入外，也可以使用手工添加的方式，只要知道電腦的MAC地址，手工添加相應(yīng)條目就可。

在“ARP映射表”中可以看到，此計(jì)算機(jī)的IP地址與MAC地址已經(jīng)綁定，在路由器重啟以后，該條目仍然生效

三、設(shè)置電腦防止ARP欺騙

路由器已經(jīng)設(shè)置了防止ARP欺騙功能，接下來(lái)我們就來(lái)設(shè)置電腦的防止ARP欺騙了。微軟的操作系統(tǒng)中都帶有ARP這一命令行程序，我們可以在windows的命令行界面來(lái)進(jìn)行配置。

Windows XP系統(tǒng)的設(shè)置方法：

點(diǎn)擊“開(kāi)始”，選擇“運(yùn)行”，輸入“cmd”，打開(kāi)windows的命令行提示符如下：

通過(guò)“arp –s 路由器IP+路由器MAC”這一條命令來(lái)實(shí)現(xiàn)對(duì)路由器的ARP條目的靜態(tài)綁定，如：arp –s 192.168.1.1 00-0a-eb-d5-60-80；可以看到在arp -a 命令的輸出中，已經(jīng)有了我們剛才添加的條目，Type類(lèi)型為static表示是靜態(tài)添加的。至此，我們也已經(jīng)設(shè)置了電腦的靜態(tài)ARP條目，這樣電腦發(fā)送到路由器的數(shù)據(jù)包就不會(huì)發(fā)送到錯(cuò)誤的地方去了。

怎么知道路由器的MAC地址是多少呢？可以打開(kāi)路由器的管理界面，進(jìn)入“網(wǎng)絡(luò)參數(shù)”－＞“LAN口設(shè)置”：

LAN口的MAC地址就是電腦的網(wǎng)關(guān)的MAC地址。

細(xì)心的人可能已經(jīng)發(fā)現(xiàn)了，如果使用上面的方法，電腦每次在重啟后都需要輸入上面的命令來(lái)實(shí)現(xiàn)防止ARP欺騙，有沒(méi)有更簡(jiǎn)單的方法自動(dòng)來(lái)完成，不用手工輸入呢？有！

我們可以新建一個(gè)批處理文件如static_arp.bat，注意后綴名為bat。編輯它，在里面加入我們剛才的命令：

保存就可以了，以后可以通過(guò)雙擊它來(lái)執(zhí)行這條命令，還可以把它放置到系統(tǒng)的啟動(dòng)目錄下來(lái)實(shí)現(xiàn)啟動(dòng)時(shí)自己執(zhí)行。打開(kāi)電腦“開(kāi)始”－＞“程序”，雙擊“啟動(dòng)”打開(kāi)啟動(dòng)的文件夾目錄，把剛才建立的static_arp.bat復(fù)制到里面去：

好了，以后電腦每次啟動(dòng)時(shí)就會(huì)自己執(zhí)行arp –s命令了，在以后使用網(wǎng)絡(luò)的時(shí)候，不再受到ARP攻擊的干擾。

Windows Vista和Windows 7系統(tǒng)的設(shè)置方法：

1、管理員身份運(yùn)行命令提示符。

2、命令：netsh -c i i show in 查看網(wǎng)絡(luò)連接準(zhǔn)確名稱(chēng)。如：本地連接、無(wú)線網(wǎng)絡(luò)連接。

3、執(zhí)行綁定:netsh -c i i add neighbors "網(wǎng)絡(luò)連接名稱(chēng)" "IP地址" "MAC地址"。

4、綁定完成，電腦重啟靜態(tài)ARP不失效，不用像XP一樣建批處理文件。

如圖所示：