宿舍局域网攻击成风~！

arp攻击没法防御的 是不是你bt了啊？
那帮搞arp的都是网游一族 商量一下 白天bt吧

弱弱的问下，360带攻击性吗。

谁说不能防御，除非网关ARP你

自从用LNS无法防御的时候，我换了CHX-I，这东西牛X，效率极高，不卡数据包，bt emule严重流畅，哈哈

ARP也有可能是中了ARP病毒的

en?那你说说arp欺骗的防御原理？
从原理上讲，只有绑定网关ip--mac才能绝对的防御。

我的理解可能有错
大体上是这样
首先，保证网关不会被ARP攻击，网关的防御软件上我想没有别的办法，保证mac地址为静态，绑定好
其次，网关下的机器过滤掉非网关的一切mac地址，ip也过滤掉，格杀勿论

如果网关先挂了，那就没啥好说的了

网关如果强行绑定ip--mac,那么必须机器都是静态ip。如果网关是交换机，那么很多交换机没有绑定ip--mac功能。
网关下的机器过滤掉非网关的一切mac地址:网关如果是二层交换机，那么它没有mac地址。三层交换机不了解，也许有mac?

给出解决方案吧

这里我在说网关的时候发生概念混乱
先给网关下个定义吧：公网和局域网的接口。
在这种情况下，网关肯定有ip地址和mac，那么基本属于路由器范畴。
不过我的观点不变，只能在主机端绑定ip--mac。

》保证网关不会被ARP攻击
网关被arp攻击也不会改变自己的ip--mac。

》网关下的机器过滤掉非网关的一切mac地址
网关下机器无法判定哪个是网关的mac。

没有那么复杂。

1.  买个有IP和MAC地址绑定功能的路由器；局域网每台机子分配固定IP，并且把IP和MAC在路由器里做绑定。

2.  局域网的每台机子都将网关IP和路由器的MAC地址做绑定。

比如：

> arp -s 192.168.0.1 00-aa-00-62-c6-09  #Adds a static entry.
> arp -a                                #Displays the arp table.

命令为：arp -s 路由器的网关 路由器的MAC地址

但是如果客户机有中arp病毒的，会伪造成网关。所以客户机只运行apr -s的绑定命令还是不够，仍然会被欺骗，而通过病毒伪造的网关，访问网络。
这种情况下，你装个arp防火墙，时时检测绑定的网关IP和MAC地址是否正确，如果是错误的则自动重新绑定正确的。（推荐个防火墙：AntiARP，如果用的是房东给的线路，整栋楼公用的，设备你控制不到的话，就单装这个防火墙就可以了）

3.  几乎所有的ARP攻击都可以通过上面的步骤有限防御，如果这么处理了仍然受到攻击，那么建议买个有IP和MAC地址绑定功能的交换机，关闭mac自动学习功能，把IP,MAC地址和端口进行绑定，关闭arp自动学习功能。（限制具体的端口只能由具体的MAC地址进行访问，只有这个MAC地址才能存取网络）具体的看相应的交换机的说明书。

现在arp攻击流行这么久了，相应的防arp攻击的产品都很成熟了，网管如果连arp攻击都防范不了，估计要被炒鱿鱼的，至少说明不是个合格的网管。