如何解决局域网中的ARP欺骗和攻击问题？

ARP协议对网络安全具有重要意义。在局域网中，IP地址在通信前必须通过ARP协议转换为第2层物理地址(即MAC地址)。ARP欺骗攻击已经成为破坏网吧运营的罪魁祸首。如何解决ARP欺骗攻击？我们来谈谈边肖解决局域网中ARP欺骗和攻击的方法。

　　步骤如下：

　　一、设置前准备

1.使用ARP防欺骗功能(IP和MAC绑定功能)后，最好不要使用动态IP，因为计算机可能会获得一个与IP和MAC绑定条目不同的IP，此时可能无法上网。请采取以下步骤避免这种情况。

2.关闭路由器的DHCP功能：打开路由器管理界面，“DHCP服务器”->“DHCP服务”，将状态从默认的“已启用”更改为“未启用”，保存并重启路由器。

3.手动为计算机分配IP地址、网关和DNS服务器地址。如果您不太清楚本地DNS地址，可以咨询您的网络服务提供商。

　　二、设置防止ARP欺骗 路由器

1.有很多路由器产品都有这个功能。让我们以路由器为例，设置一个路由器来防止ARP欺骗。

打开路由器的管理界面，可以看到如下左侧窗口：

2.可以看到“IP和MAC绑定”功能比上一版本多了。该功能不仅可以绑定IP和MAC，还可以防止ARP欺骗。

打开静态ARP绑定设置窗口，如下所示：

3.请注意，默认情况下，ARP绑定功能是关闭的。请选择“启用”，然后单击“保存”将其启用。

打开ARP映射表窗口，如下所示：

4.这是路由器动态获知的ARP表。您可以看到状态列显示为“未绑定”。如果确认这个动态学习的表没有错误，也就是说当时没有arp欺骗(如果网络运行正常，不同IP对应的MAC地址不一样，一般没有错误)，我们就绑定这个表，保存为静态表，这样路由器重启后这些条目就会一劳永逸。

点击【全部绑定】，出现如下界面：

5.可见状态已经绑定了。此时路由器具有防止ARP欺骗的功能。上面的演示只有三个条目。如果你的电脑多，操作过程也差不多。有些条目如果没有添加，可以在下次添加。这种导入除了使用动态学习的ARP表外，还可以使用手动添加，只要知道电脑的MAC地址，就可以手动添加相应的条目。

为了使这些条目在下次路由器重启后仍然存在，我们单击了全部导入，然后再次打开静态ARP绑定设置窗口：

6.可以看到静态条目已经添加，绑定列已经勾选，表示对应条目的绑定已经启用。到目前为止，我们已经成功设置了路由器，以防止IP 192.168.1.111、192.168.1.112和222.77.77.1受到ARP欺骗的攻击。如果电脑多了，但条目数不一样，设置过程当然是一样的，不是很难吗？

　　三、设置电脑防止ARP欺骗

1.防止ARP欺骗的功能已经设置好了。接下来，我们将设置计算机的预防a。

RP作弊。微软有ARP，一个命令行程序，我们可以在windows的命令行界面使用。打开windows的命令提示符如下：操作系统路由器

2.通过命令“ARP-S路由器IP，如192.168.1.1路由器MAC地址”实现路由器ARP条目的静态绑定。可以看到，我们刚才添加的条目已经存在于arp -a命令的输出中，Type是静态的，也就是说是静态添加的。此时，我们还设置了计算机的静态ARP入口，这样计算机发送给路由器的数据包就不会被发送到错误的地方。

你怎么知道路由器的MAC地址？可以打开路由器的管理界面，输入“网络参数”->“局域网端口设置”:

局域网端口的媒体访问控制地址是计算机网关的媒体访问控制地址。

细心的人可能已经发现，如果使用上述方法，电脑每次重启后都需要输入上述命令，防止ARP欺骗。有没有更简单的方法不用手动输入就能自动完成？没错。

我们可以创建一个新的批处理文件，比如static_arp.bat，注意后缀是bat。编辑它并添加我们刚才给出的命令：

4.省省吧。以后双击就可以执行这个命令，也可以放在系统的启动目录中，在启动时自己执行。打开电脑“开始”->“程序”，双击“开始”打开启动文件夹目录，将刚刚创建的static_arp.bat复制到其中：

5.嗯，每次电脑启动，它都会自己执行arp -s命令。网吧网络管理员和老板终于可以好好休息，不再被ARP攻击打扰。

详细介绍了局域网中ARP欺骗和攻击的解决方案。遇到ARP欺骗攻击，保持冷静，按照以上步骤操作，可以帮助你解决ARP欺骗攻击的问题。我希望我能在这里帮助你。