现在ARP不只是协议的简写，还成了掉线的代名词。很多网吧和企业网络不稳，无故掉线，经济了很大的损失。根据情况可以看出这是一种存在于网络中的一种普遍问题。出现此类问题的主要原因就是遭受了ARP。由于其变种版本之多，速度之快，很多技术人员和企业对其束手无策。下面就来给大家从原理到应用谈一谈这方面的话题。希望能够帮大家解决此类问题，净化网络。

　　在局域网中，通过ARP协议来完成IP地址转换为第二层物理地址，实现局域网机器的通信。ARP协议对网络安全具有重要的意义。这是建立在相互信任的基础上。如果通过伪造IP地址和MAC地址实现ARP，将在网络中产生大量的ARP通信量使网络阻塞、掉线、重定向、嗅探。

　　我们知道每个主机都用一个ARP高速缓存，存放最近IP地址到MAC硬件地址之间的映射记录。Windows高速缓存中的每一条记录的时间一般为60秒，起始时间从被创建时开始算起。默认情况下，ARP从缓存中读取IP-MAC条目，缓存中的IP-MAC条目是根据ARP响应包动态变化的。因此，只要网络上有ARP响应包发送到本机，即会更新ARP高速缓存中的IP-MAC条目。如：X向Y发送一个自己伪造的ARP应答，而这个应答中的数据发送方IP地址是192.168.1.3（Z的IP地址），MAC地址是DD-DD-DD-DD-D192.168.1.7D-DD（Z的真实MAC地址却是CC-CC-CC-CC-CC-CC，这里被伪造了）。当Y接收到X伪造的ARP应答，就会更新本地的ARP缓存（Y可不知道被伪造了）。那么如果伪造成网关呢?

　　Switch上同样着一个动态的MAC缓存，它一般是这样，首先，交换机内部有一个对应的列表，交换机的端口对应MAC地址表Portn<->Mac记录着每一个端口下面存在那些MAC地址，这个表开始是空的，交换机从来往数据帧中学习。因为MAC-PORT缓存表是动态更新的，那么让整个Switch的端口表都改变，对Switch进行MAC地址的Flood，不断发送大量假MAC地址的数据包，Switch就更新MAC-PORT缓存，如果能通过这样的办法把以前正常的MAC和Port对应的关系了，那么Switch就会进行泛洪发送给每一个端口，让Switch基本变成一个HUB，向所有的端口发送数据包，要进行嗅探的目的一样能够达到。也将造成SwitchMAC-PORT缓存的崩溃，如下面交换机中日志所示：

　　Internet192.168.1.40000b.cd85.a193ARPAVlan256

　　Internet192.168.1.50000b.cd85.a193ARPAVlan256

　　Internet192.168.1.60000b.cd85.a193ARPAVlan256

　　Internet192.168.1.70000b.cd85.a193ARPAVlan256

　　Internet192.168.1.80000b.cd85.a193ARPAVlan256

　　Internet192.168.1.90000b.cd85.a193ARPAVlan256

　　ARP时的主要现象

　　网上银行、保密数据的频繁丢失。域网内某台主机运行ARP的木马程序时，会欺域网内所有主机和路由器，让所有上网的流量必须经过病毒主机。其他用户原来直接通过路由器上网现在转由通过病毒主机上网，切换的时候用户会断一次线。切换到病毒主机上网后，如果用户已经登陆服务器，那么病毒主机就会经常伪造断线的假像，那么用户就得重新登录服务器，这样病毒主机就可以窃取所有机器的资料了。

　　网速时快时慢，极其不稳定，但单机进行光纤数据测试时一切正常。局域网内频繁性区域或整体掉线，重启计算机或网络设备后恢复正常

　　由于ARP的木马程序发作的时候会发出大量的数据包导致局域网通讯拥塞以及其自身处理能力的，用户会感觉上网速度越来越慢。当ARP的木马程序停止运行时，用户会恢复从路由器上网，切换过程中用户会再次断线。

　　ARP的解决办法：

　　目前来看普遍的解决办法都是采用双绑,具体方法：

　　先找到正确的网关IP网关物理地址然后在客户端做对网关的arp绑定。

　　步骤一：

　　查找本网段的网关地址，比如192．168．1．1，以下以此网关为例。在正常上网时，“开始→运行→cmd→确定”，输入：arp－a，点回车，查看网关对应的PhysicalAddress。

　　比如：网关192.168.1.1对应0A－0B－0C－0D－0E－0F。

　　步骤二：

　　编写一个批处理文件rarp.bat，内容如下：

　　@echooff

　　arp－d

　　arp-s192.168.1.10A－0B－0C－0D－0E－0F

　　保存为：rarp.bat。

　　步骤三：

　　运行批处理文件将这个批处理文件拖到“Windows→开始→程序→启动”中。

　　但双绑并不能彻底解决ARP问题，IP冲突以及一些ARP变种是不能应对的。

　　再有就是采用防ARP的硬件路由，但价格很高,并且不能在大量出现地情况下稳定工作.那么现在就没有，有效并能够彻底的解决办法了吗？有的，那就是采用能够以底层驱动的方式工作的软件，并全网部署来防范ARP问题.

　　此类软件是通过系统底层核心驱动，以服务及进程并存的形式随系统启动并运行，不占用计算机系统资源。这种方式不同于双绑。因为它是对通信中的数据包进行分析与判断，只有的包才可以被放行。非法包就被丢弃掉了。也不用担心计算机会在重启后新建ARP缓存列表，因为是以服务与进程相结合的形式存在于计算机中，当计算机重启后软件的防护功能也会随操作系统自动启动并工作。

　　目前满足这一要求的并能出色工作的软件推荐大家选用ARP卫士，此软件不仅仅解决了ARP问题，同时也拥有内网洪水防护功能与P2P限速功能。

　　ARP卫士在系统网络的底层安装了一个核心驱动,通过这个核心驱动过滤所有的ARP数据包,对每个ARP应答进行判断,只有符合规则的ARP包,才会被进一步处理.这样,就实现防御了计算机被.同时,ARP卫士对每一个发送出去的ARP应答都进行检测,只有符合规则的ARP数据包才会被发送出去,这样就实现了对发送的拦截...

　　洪水拦截：通过此项设置，可以对规则列表中出现了SYN洪水、UDP洪水、ICMP洪水的机器进行惩罚。域网内某台计算机所发送的SYN报文、UDP报文、ICMP报文超出此项设置中所的上限时，“ARP卫士”客户端将会按照预设值对其进行相应惩罚。在惩罚时间内，这台计算机将不会再向网络内发送相应报文。但惩罚不会对已建立的连接产生影响。

　　流量控制：通过此项设置，可以对规则列表中的所有计算机进行广域网及局域网的上传及下载流量进行（即所谓的网络限速）。鼠标右键单击“排除机器列表”窗口即可对其中内容进行修改、编辑。存在于“排除机器列表”中的IP地址将不会受到流量控制的约束。